Политика
Общества с ограниченной ответственностью
Управляющая компания «АстраханьЖилСервис»
в отношении обработки персональных данных

1.    Общие положения

1.1.    Политика Общества с ограниченной ответственностью Управляющая Компания «АстраханьЖилСервис» в отношении обработки персональных данных (далее – Политика) разработана в соответствии с Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Жилищным кодексом Российской Федерации, Федеральным законом Российской Федерации от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом Российской Федерации от 21 июля 2014 г. № 209-ФЗ «О государственной информационной системе жилищно-коммунального хозяйства», Постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», и иными нормативными актами в области защиты персональных данных, действующими на территории Российской Федерации.
1.2.    Общество с ограниченной ответственностью Управляющая компания «АстраханьЖилСервис» (далее – Общество) является оператором персональных данных и внесена в реестр операторов, осуществляющих обработку персональных данных (регистрационный номер 30-13-000622).
1.3.    Цель разработки Политики – определение порядка обработки персональных данных субъектов персональных данных, обеспечение защиты прав и свобод при обработки их персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.4. В Политике используются следующие понятия, термины и сокращения:
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
субъект персональных данных - физическое лицо, определяемое на основании персональных данных, обрабатываемых в ООО УК «АстраханьЖилСервис».
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными – ООО УК «АстраханьЖилСервис».
1.5. Настоящая Политика вступает в силу с момента её утверждения генеральным директором и действует бессрочно, до замены её новым документом.
1.6. Все работники Общества должны быть ознакомлены с настоящей Политикой и изменениями к ней под роспись.
1.7. Настоящая Политика является обязательным для исполнения всеми работниками Общества, непосредственно осуществляющими обработку персональных данных и (или) имеющими доступ к персональным данным. 

2.    Объём и категории обрабатываемых персональных данных, категории субъектов персональных данных

2.1.    В Обществе обрабатываются персональные данные следующих категорий субъектов:
•    Работники, состоящие в трудовых (договорных) отношениях, родственники работников; 
•    собственники помещений многоквартирных домов, находящихся в управлении Общества;
•    лица, обращающиеся в Общество.
2.2. К персональным данным работников, состоящих в трудовых (договорных) отношениях, относятся следующие сведения:
- фамилия, имя, отчество;
- год, месяц, дата и место рождения;
- адрес проживания, регистрации;
- гражданство;
- семейное положение;
- сведения из записей актов гражданского состояния;
- сведения о близких родственниках;
- сведения об образовании (наименования оконченных учебных заведений, факультет, специальность, год окончания), информация о дополнительном образовании, повышении квалификации, аттестации;
- профессия;
- паспортные данные;
- ИНН;
- номер страхового свидетельства государственного пенсионного страхования;
- пол;
- трудовой и общий стаж;
- сведения о воинском учете;
- контактные телефоны и адрес электронной почты;
- данные об опыте работы (сведения о предыдущих местах работы, занимаемых должностях, выполняемых обязанностях, о периоде работы);
- сведения о заработной плате;
- сведения о реквизитах банковских счетов;
- уровень владения иностранными языками;
- профессиональные навыки;
- социальные льготы;
-  награды;
- наименование структурного подразделения, наименование должности;
- цветное цифровое фотографическое изображение лица;
- состояние здоровья.
2.3. К персональным данным собственников помещений многоквартирных домов, находящихся в управлении Общества, относятся следующие сведения:
- фамилия, имя, отчество;
- год, месяц, дата и место рождения;
- адрес проживания, регистрации;
- сведения о наличии льгот;
- сведения о зарегистрированном праве собственности на жилое помещение в многоквартирном доме;
- сведения о проживающих в помещении лицах;
- паспортные данные;
- ИНН;
- контактные телефоны и адрес электронной почты;
- иные данные, необходимые для реализации договора об управлении многоквартирным домом.
2.4. К персональным данным лиц, обращающихся в Общество, относятся следующие сведения:
- фамилия, имя, отчество;
- адрес проживания, регистрации;
- контактные телефоны, адрес электронной почты;
- иные персональные данные, указанные заявителем в обращении или ставшие известными в процессе рассмотрения поступившего обращения.

3.    Цели, условия и порядок обработки персональных данных

3.1. Обработка персональных данных в Обществе осуществляется в целях обеспечения соблюдения требований законодательства Российской Федерации; осуществления деятельности согласно Уставу; оформления и регулирования трудовых отношений; обеспечения безопасных условий труда; ведения бухгалтерского учета; оформления доверенностей; осуществления гражданско-правовых отношений; оказания услуг в сфере ЖКХ в многоквартирном доме; начисления платы; планирования организации и выполнения работ по договору управления многоквартирным домом, взыскания обязательных платежей (задолженности) в судебном порядке; подготовки отчетной документации; рассмотрения обращений граждан.
3.2. Обработка персональных данных заключается в сборе, записи, систематизации, накоплении, хранении, уточнении (обновление, изменение), извлечении, использовании, передаче (распространение, предоставление, доступ), обезличивании, удалении, уничтожении персональных данных.
3.3. Все персональные данные следует получать непосредственно от субъекта персональных данных. Субъект свободно, своей волей и в своем интересе принимает решение о предоставлении своих персональных данных и дает согласие на их обработку Обществу по форме, представленной в Приложении № 1 к настоящей Политике.
3.4. Письменное согласие субъекта на обработку его персональных данных должно включать в себя:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных;
- наименование и адрес оператора, получающего согласие на обработку персональных данных;
- цель обработки персональных данных;
- перечень персональных данных на обработку которых требуется согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена другому лицу;
- перечень действий с персональными данными на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
- подпись субъекта персональных данных.
3.5. Собственники помещений многоквартирных домов, находящихся в управлении Общества дают согласие на обработку персональных данных в рамках договора об управлении многоквартирным домом.
3.6. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных путем подачи заявления в простой письменной форме.
3.7. При возникновении необходимости получения персональных данных субъекта от третьих лиц, субъект должен быть уведомлен и от него должно быть получено письменное согласие. 
3.8. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
3.9. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
3.10. Согласие субъекта персональных данных не требуется в случаях, предусмотренных пп. 2-11 ч.1 ст. 6 Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».
3.11. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных (Приложение № 2). Субъект персональных данных определяет перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения и вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Обществом неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. 
3.11.1. Общество обязано в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.
3.11.2.    Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.
3.11.3.    В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления Обществу согласия, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.
3.11.4.    В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.
3.11.5.    В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются Обществом без права распространения.
3.11.6.    В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, такие персональные данные обрабатываются оператором, Обществом без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.
3.11.7.    Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
3.11.8.    Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. 
3.11.9.    Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления Обществу требования. 
3.11.10.    Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения указанных положений или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.
3.12.    Общество осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
3.13.    К обработке персональных данных могут иметь доступ только работники Общества, допущенные к работе с персональными данными субъектов персональных данных и подписавшие Соглашение о неразглашении персональных данных (Приложение № 3).
3.14. Доступ к персональным данным имеют:
- генеральный директор;
- заместитель генерального директора по юридическим вопросам;
- главный инженер;
- главный бухгалтер;
- специалист по кадрам;
- секретарь-делопроизводитель;
- начальник расчетно-абонентского отдела;
- специалист по расчетам с жильцами;
- юрисконсульт.
3.15.    Перечень работников (фамилии, имена, отчества и должности), осуществляющих обработку персональных данных как в бумажном, так и в электронном виде и (или) имеющих доступ к персональным данным, утверждается приказом генерального директора Общества. При этом указанные лица должны иметь право получать только те персональные данные субъектов, которые необходимы для выполнения непосредственных должностных обязанностей. 
3.16. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
3.17. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

4.    Передача и хранение персональных данных

4.1. При передаче персональных данных субъекта работники Общества обязаны соблюдать следующие требования:
•    не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым Кодексом Российской Федерации или иными федеральными законами.
•    предупреждать лица, получающие персональные данные субъектов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц обеспечения конфиденциальности, полученных персональных данных;
•    не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;
•    передавать персональные данные субъекта представителям субъектов в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций;
•    не отвечать на вопросы, связанные с передачей персональных данных субъекта по телефону или факсу, за исключением случаев, связанных с выполнением соответствующими работниками своих непосредственных должностных обязанностей, адресатам в чью компетенцию входит получение такой информации.
4.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей.
4.2.1. В Обществе хранение персональных данных субъектов осуществляется на бумажных и электронных носителях, доступ к которым ограничен списком лиц, допущенных к обработке персональных данных.
4.2.2. Персональные данные в электронном виде хранятся в электронных папках и файлах в персональных компьютерах работников, допущенных к обработке персональных данных в соответствии с направлением их работы. Передача, а равно разглашение пароля доступа к персональному компьютеру работника не допускается.
4.2.3. Персональные данные, содержащиеся на бумажных носителях, хранятся в служебных помещениях Общества в условиях, исключающих ознакомление лиц, не имеющих допуска к работе с персональными данными. Вынос персональных данных за пределы служебных помещений, а равно их передача третьим лицам запрещена.
4.3. Все меры, направленные на соблюдение конфиденциальности при сборе, обработке и хранении персональных данных субъекта, распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

5.    Права и обязанности сторон при обработке персональных данных

5.1. Работники Общества обязаны предоставлять специалисту по кадрам и в бухгалтерию только достоверные, документированные персональные данные и своевременно сообщать об изменении своих персональных данных.
5.2. Каждый субъект персональных данных имеет право:
- на получение полной информации о своих персональных данных и на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных действующим законодательством.
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
•    подтверждение факта обработки персональных данных Обществом;
•    правовое основание и цели обработки персональных данных;
•    цели и применяемые оператором способы обработки персональных данных;
•    наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
•    обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
•    сроки обработки персональных данных, в том числе сроки их хранения;
•    порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
•    информацию об осуществленной или о предполагаемой трансграничной передаче данных;
•    наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если такая обработка поручена или будет поручена такому лицу;
•    иные сведения, предусмотренные Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» и другими федеральными законами.
- Требовать от работников Общества уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.3.    Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
5.4. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
5.5. Общество обязано безвозмездно предоставить субъекту возможность ознакомления с персональными данными, относящимися к соответствующему субъекту. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Общество обязано внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Общество обязано уничтожить такие персональные данные. Общество обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
5.6. Все обращения и запросы субъектов персональных данных по вопросам, касающимся обработки персональных данных, фиксируются ответственным лицом за организацию обработки персональных данных в Журнале учета обращений субъектов персональных данных (работников) по вопросам обработки персональных данных и для получения доступа к своим персональным данным (Приложение № 4).
5.7. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
5.8. В случае, если сведения, указанные в п. 5.2  настоящего раздела, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Общество или направить ему повторный запрос в целях получения сведений, вышеуказанных, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
5.9. Субъект персональных данных вправе обратиться повторно в Общество или направить ему повторный запрос в целях получения сведений, указанных  в п. 5.2. настоящего раздела, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п.5.8 настоящего раздела в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п.5.7. настоящего раздела, должен содержать обоснование направления повторного запроса.
5.10. Общество вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п.5.8-5.9 настоящего раздела. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Обществе.
5.11. Право субъекта персональных данных на доступ к его персональным данным ограничивается в соответствии с ч. 8 ст. 14 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

6. Порядок уничтожения, блокирования персональных данных

6.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных Общество обязано осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Общество обязано осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
6.2. В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязано уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
6.3. В случае выявления неправомерной обработки персональных данных, осуществляемой Обществом, Общество в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные. 
6.4. Обрабатываемые персональные данные Общество должно уничтожить в следующих случаях:
•    в случае достижения цели обработки персональных данных - в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных;
•    в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных - в срок, не превышающий тридцати дней с даты поступления указанного отзыва;
•    в случае выявления неправомерной обработки с персональными данными и невозможности устранения допущенных нарушений - в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных;
•    в случае выявления незаконно полученных персональных данных или не являющихся необходимыми для заявленной цели обработки - в срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
6.5.    Об устранении допущенных нарушений или об уничтожении персональных данных Общество обязано уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган (Приложение № 5).
6.6. В случае отсутствия возможности уничтожения персональных данных в течение, указанных выше сроков, Общество осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
6.7. Уничтожение персональных данных производится на основании Акта об уничтожении персональных данных (Приложение № 6).

7. Защита персональных данных

7.1. Общество при обработке персональных данных обязано принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
7.2.    Основными организационными мерами по защите персональных данных в Обществе являются:
•    назначение ответственного за организацию обработки персональных данных;
•    разработка комплекта внутренних документов Общества, определяющих политику обработки и защиты персональных данных;
•    ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;
•    заключение Соглашения с работниками, допущенными к обработке персональных данных о неразглашении персональных данных;
•    ограничение доступа в помещения Общества, в которых ведется обработка персональных данных;
•    ознакомление работников, осуществляющих обработку персональных данных под роспись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Общества в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
•    строгое, избирательное и обоснованное распределение документов и информации между работниками;
•    рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
•    организация регулярной разъяснительной работы с работниками Общества по предупреждению утраты и утечки сведений при работе с конфиденциальными документами, содержащими персональные данные;
•    оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
•    осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 № г. 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, документам Общества в отношении обработки персональных данных.
7.3.    В качестве дополнительных организационных мер защиты персональных данных в Обществе, для защиты персональных данных от несанкционированного доступа офис обеспечен охранной сигнализацией, видеонаблюдением. 
7.4.    В качестве технических мер защиты персональных данных в Обществе применяется:
•    использование лицензионных программных продуктов, предотвращающих несанкционированный доступ к персональным данным; 
•    антивирусная защита;
•    разграничение прав доступа (пароли).

8. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

8.1. Каждый работник Общества, получающий доступ к конфиденциальному документу, содержащему персональные данные несет персональную ответственность за сохранность носителя и конфиденциальность информации.
8.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работников, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами и полную материальную ответственность в случае причинения их действиями ущерба в соответствии