Политика АО «ЦПЛ» в отношении обработки персональных данных

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Оператор – Акционерное общество «Центр программ лояльности» (АО «ЦПЛ») (зарегистрировано Межрайонной инспекцией ФНС № 46 по г. Москве 31 августа 2011 г., ОГРН 1117746689840, ИНН 7702770003 КПП 773001001, место нахождения: 121170, г. Москва, вн.тер.г. муниципальный округ Дорогомилово, ул. Поклонная, д. 3, этаж 3/помещ.120), самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка ПДн – обработка персональных данных с помощью средств вычислительной техники.

Предоставление ПДн – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование ПДн – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных (ИСПДн)– совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Участник – физическое лицо, присоединившееся к Программе лояльности «СберСпасибо» (далее – Программа[1]) любым из способов, перечисленных в Правилах Программы, и участвующее в Программе на условиях, изложенных в Правилах Программы.

Пользователь Подпиской – физическое лицо, присоединившееся к договору (заключившее договор)  на Подписку в порядке и на условиях, установленных Публичной Офертой на Подписку, полная информация о которой приведена на сайте в сети Интернет: https://www.sberbank.com/sberprime (далее – Подписка).

Клиент - физическое лицо, достигшее возраста 18 лет, зарегистрированное и использующее раздел «Лотереи» сайта https://spasibosberbank.ru/ и(или) Мобильного приложения Программы - МП «СберСпасибо» (далее совместно – Сервисы Оператора) в целях, связанных с участием во всероссийской государственной лотерее (в т.ч. но не ограничиваясь, для заключения договора на участие во всероссийской государственной лотерее, получения информации о выигрыше по электронному лотерейному билету, оформленному  в Сервисах Оператора) на условиях договора – оферты, размещенного на сайте: https://spasibosberbank.ru/

При толковании терминов, значение которых не приведено в настоящей Политике в отношении обработки персональных данных (включая, но не ограничиваясь, термины Персональный кабинет лояльности, Участник, Мобильное устройство, Банк, Система Сбербанк Онлайн, Сайт Банка, Правила, Программа, Подписка, Сервисы Подписки), следует руководствоваться терминологией правил Программы лояльности «СберСпасибо», договора о Подписке (Публичной офертой о Подписке) и иных договоров, заключаемых Оператором с Участником/Клиентом.

2.1. Настоящий документ определяет политику Оператора в отношении обработки персональных данных (далее – ПДн).

2.2. Настоящая Политика является открытым документом и предназначена для ознакомления неограниченного круга лиц.

2.3. Настоящая Политика разработана в соответствии с:

• Конституцией Российской Федерации.
• Трудовым кодексом Российской Федерации от 30.12.2001 № 197-ФЗ.
• Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
• Постановлением Правительства Российской Федерации от 15.09.2008  № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
• Постановлением Правительства Российской Федерации от 01.112012  № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Иными нормативными правовыми актами Российской Федерации и нормативными документами уполномоченных органов государственной власти.

2.4. Политика распространяется на любое действие (операцию) или совокупность действий (операций), совершаемых с ПДн с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, уничтожение (удаление) ПДн.

2.5. Политика подлежит пересмотру и, при необходимости, актуализации в случае внесения изменений в законодательство Российской Федерации о ПДн.

3.1. Обработка ПДн осуществляется на законной и справедливой основе.

3.2. Обработка ПДн ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

3.3. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

3.4. Обработке подлежат только ПДн, которые отвечают целям их обработки.

3.5. Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки.

3.6. При обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор принимает необходимые меры по удалению или уточнению неполных, или неточных данных.

3.7. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению либо обезличиванию.

4.1. Перечень ПДн, обрабатываемых Оператором, определяется Оператором самостоятельно исходя из принципов обработки ПДн и утверждается организационно-распорядительными документами по Обществу.

4.2. Оператор осуществляет обработку ПДн следующих субъектов ПДн в следующих целях: 

4.2.1. Физических лиц - кандидатов на замещение вакантных должностей в Обществе: 

• привлечение и отбор кандидатов на работу в Обществе;
• комплаенс-контроль, осуществление проверок в целях обеспечения безопасности;
• содействие в трудоустройстве.

4.2.2. Работников Оператора:

• кадровый учет, ведение кадровой работы, воинский учет; 
• регулирования трудовых и иных, непосредственно связанных с ними отношений (включая, но не ограничиваясь, расчет и начисление заработной платы подготовка статистической отчетности, выполнение требований законодательства Российской Федерации); 
• комплаенс-контроль, осуществление проверок в целях обеспечения безопасности;
• повышение лояльности работников, предоставление корпоративных льгот и привилегий; 
• осуществления Оператором административно-хозяйственной деятельности; на организацию документооборота (ведение архива, справочников, баз данных); на организацию эксплуатации зданий, помещений, территорий; на организацию рабочего процесса;
• оформление доверенностей, судебная работа;
• администрирование вопросов доступа в офисы и иные помещения Общества, доступа к автоматизированным системам Общества и использования сервисов в рамках производственных и иных бизнес-процессов; 
• выявления случаев противоправных действий в отношении Общества, предотвращения таких противоправных действий в дальнейшем; 
• администрирование ИТ-инфраструктуры Оператора; 
• обучение, повышение квалификации, оказание консультационных услуг.

4.2.3. Лиц, принятых для прохождения практики/стажировки к Оператору: 

• содействие в прохождении практики/стажировки;
• предоставление доступов в офисы и иные помещения Оператора.

4.2.4. Посетителей Оператора:

• предоставление допусков в офисные и иные помещения Оператора;
• проведения встреч, совещаний, иных деловых мероприятий. 

 4.2.5. Лиц, связанных с работниками Оператора, или иных субъектов ПДн, чьи данные необходимо обрабатывать в том числе в соответствии с трудовым, налоговым и иным законодательством Российской Федерации: 

• организация мероприятий с участием лиц, связанных с работниками, и/или в их интересах, организация поздравлений с праздниками и другими событиями;
• выплата алиментов;
• осуществление действий в рамках исполнительного производства;
• ведения воинского и кадрового учета;
• комплаенс-контроль.

4.2.6. Физических лиц, входящих в органы управления Оператора:

• деятельность в составе Совета директоров Общества, представление интересов Единственного акционера Общества.

4.2.7. Контрагентов, с которыми заключаются договоры гражданско-правового характера (представителей организаций, индивидуальных предпринимателей, физических лиц, имеющих статус самозанятых, и иных физических лиц): 

• комплаенс-контроль, осуществление проверок в целях обеспечения безопасности;
• заключение, изменение, исполнение и прекращение гражданско-правовых договоров с юридическими лицами, индивидуальными предпринимателями физическими, и иными лицами, в случаях, предусмотренных законодательством Российской Федерации и Уставом Общества. 

4.2.8. Участников: 

• регистрация Участника в Программе;
• участия в Программе и Акциях, проводимых на базе Программы;
• обеспечение реализации Программы и/или Акций, проводимых на базе Программы; 
• организации предоставления Поощрений Участникам в рамках Программы и/или в рамках Акций, проводимых на базе Программы;
• рассылки Участнику и получение Участником посредством СМС-рассылки, мессенджеров или через каналы электронной почты информационных и рекламных сообщений и материалов, в том числе с использованием автоматизированных ресурсов и Сервисов Банка, Сервисов Уполномоченной компании;
• рассмотрение претензионных  обращений Участника;
•  организация оформления и продажи билетов (на транспорт, в музеи), аренда авто, бронирование отелей, продажа комбо-туров, продажа VIP-обслуживания в аэропортах;
• выявление злоупотреблений Правилами Программы или злоупотреблений правилами Акций, проводимых на базе Программы, или злоупотреблений использования Сервисов Банка и/или Сервисов Уполномоченной компании, предоставляемых в рамках Программы; 
• проведение аналитических, статистических, маркетинговых исследований, опросов;
• осуществление деятельности по распространению лотерей с использованием каналов коммуникаций Программы «СберСпасибо»;
• иных целях, указанных в Правилах Программы.

4.2.9. Пользователей Подпиской: 

• заключение, изменение, расторжение и исполнение договора о Подписке;
• обеспечение предоставления доступа к Сервисам Подписки;
• участия в маркетинговых активностях, проводимых в рамках Подписки;
• обработка обращений; 
• разрешение возможных споров с Пользователем Подписки в рамках договора о Подписке;
• проведение аналитических, статистических, маркетинговых исследований, опросов (включая передачу партнерам Оператора, оказывающим соответствующие услуги Оператору);
• рассылка информационных и рекламных сообщений (включая передачу партнерам Оператора, оказывающим соответствующие услуги Оператору); 
• выявление злоупотреблений в рамках оказания услуг по договору о Подписке;
• передача партнерам Оператора для цели предоставления Подписки и для цели исполнения договоров между Оператором и партнером Оператора, направленных на предоставление Подписки.

4.2.10. Клиентов: 

• заключение и исполнение договора; 
• рассылка информационных и рекламных сообщений и материалов;
• рассмотрение претензионных обращений.

В качестве правовых оснований обработки ПДн Оператор руководствуется:

• Трудовым кодексом Российской Федерации от 30.12.2001 №197-ФЗ;
• Гражданским кодексом Российской Федерации от 30.11.1994 № 51-ФЗ;
• Налоговым кодексом Российской Федерации от 31.07.1998 146-ФЗ;
• Федеральным законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
• иными федеральными законами и прочими нормативными правовыми актами Российской Федерации;
• договорами, заключаемыми между Оператором и субъектами ПДн; договорами стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также если обработка ПДн необходима для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем.
• согласиями на обработку ПДн, полученными от субъектов ПДн;
• судебными актами, актами других органов или должностных лиц, если обработка ПДн необходима для исполнения такого акта в соответствии с законодательством Российской Федерации об исполнительном производстве;
• необходимостью обработки ПДн для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
• статистическими или иными исследовательскими целями, при условии обязательного обезличивания ПДн;
• необходимостью опубликования или обязательного раскрытия ПДн в случаях, предусмотренных федеральными законами. 

6.1. Обработка ПДн: 

6.1.1. Оператор не осуществляет обработку специальных категорий ПДн, касающихся расовой и национальной принадлежности, состояния здоровья, политических взглядов, религиозных и философских убеждений, интимной жизни, судимости физических лиц, если иное не установлено законодательством Российской Федерации.

6.1.2. Оператор не осуществляет обработку биометрических ПДн.

6.1.3. Оператор осуществляет обработку ПДн как с использованием средств автоматизации, так и без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, уничтожение (удаление) ПДн.

6.1.4. Лица, имеющие доступ к ПДн, получают доступ только к тем ПДн, которые необходимы им для выполнения конкретных трудовых функций и должностных обязанностей.

6.1.5. Согласие субъекта ПДн на обработку его ПДн может быть дано субъектом ПДн или его представителем в любой форме, позволяющей подтвердить факт его получения, за исключением случаев, предусмотренных законодательством Российской Федерации, когда требуется согласие субъекта ПДн на обработку его ПДн, оформленное в письменной форме.

6.2. Хранение ПДн:

6.2.1. Оператор осуществляет хранение ПДн в бумажном и электронном виде. В электронном виде ПДн хранятся в ИСПДн, а также в архивных копиях баз данных этих ИСПДн.

6.2.2. При хранении ПДн соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. Места хранения носителей ПДн, порядок хранения, учета и уничтожения ПДн регламентируются внутренними документами, утверждаемыми Генеральным директором Оператора.

6.3. Передача ПДн:

6.3.1. Для целей обработки данных Оператор может передавать ПДн исключительно своим работникам и третьим лицам, подписавшим обязательство по обеспечению конфиденциальности и безопасности полученных ПДн.

6.3.2. Передача ПДн третьим лицам возможна в исключительных случаях только с согласия субъекта ПДн и только с целью исполнения обязанностей перед субъектом ПДн в рамках договора, либо, когда такая обязанность у Оператора наступает в результате требований законодательства Российской Федерации или при поступлении запроса от уполномоченных государственных органов Российской Федерации. В последнем случае Оператор ограничивает передачу ПДн запрошенным объемом.

6.3.3. При передаче ПДн в электронном виде третьим лицам по открытым каналам связи Оператор обеспечивает все необходимые меры по защите передаваемой информации в соответствии с требованиями нормативных и методических документов в области защиты ПДн.

6.3.4. По мотивированному запросу исключительно для выполнения возложенных законодательством Российской Федерации функций в рамках соответствующих полномочий без согласия субъекта ПДн могут быть переданы:

• в судебные органы в связи с осуществлением правосудия;
• в органы федеральной службы безопасности;
• в органы прокуратуры;
• в органы полиции;
• в иные органы и организации в случаях, установленных нормативными правовыми актами Российской Федерации, обязательными для исполнения.

6.4. Поручение обработки ПДн:

6.4.1. Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн. При этом в поручении на обработку ПДн Оператор определяет перечень ПДн, перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, устанавливает обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, требования, предусмотренные статьей 18 и 18.1 Федерального закона от 27.07.2006 № 152-ФЗ  «О персональных данных», обязанность по запросу оператора ПДн в течение срока действия поручения оператора, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящим пунктом Политики, обязанность обеспечивать безопасность ПДн при их обработке, а также указывает требования к защите обрабатываемых ПДн в соответствии со ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе требование об уведомлении оператора в случаях, предусмотренных статьи 21 Федерального закона от 27.07.2006 № 152-ФЗ  «О персональных данных».

6.4.2. Лицо, осуществляющее обработку ПДн по поручению, в соответствии с договором с Оператором обязуется соблюдать принципы и правила обработки ПДн, предусмотренные законодательством Российской Федерации о ПДн. В случае поручения обработки ПДн другому лицу Оператор несет ответственность перед субъектом ПДн за действия указанного лица. Лицо, осуществляющее обработку ПДн по поручению Оператора, несет ответственность перед Оператором.

6.5. Уничтожение (удаление) персональных данных:

6.5.1. Оператор обязуется прекратить обработку ПДн и в сроки, установленные законодательством Российской Федерации, уничтожить собранные ПДн, если иное не установлено законодательством Российской Федерации, в следующих случаях:

• По достижении целей обработки ПДн или при утрате необходимости в их достижении.
• По требованию субъекта ПДн или уполномоченного органа по защите прав субъектов ПДн, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
• При отзыве субъектом ПДн согласия на обработку своих ПД, если для обработки ПДн нет иных правовых оснований.
• При невозможности устранения Оператором допущенных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» нарушений при обработке ПДн.
• Уничтожение ПДн производится Оператором в соответствии с порядком, установленным его внутренними документами.

6.6. Оператор до начала обработки ПДн, если ПДн были получены не от субъекта ПДн, предоставляет субъекту ПДн сведения об обработке, предусмотренную ч. 3 ст.18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».  Исключение составляют следующие случаи:

• субъект ПДн уведомлен об осуществлении обработки Оператором его ПДн;
• ПДн получены Оператором в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн или на основании федерального закона;
• ПДн получены из общедоступного источника, при этом обработка таких ПДн осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Оператор осуществляет обработку ПДн для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта ПДн;
• Предоставление субъекту ПДн сведений нарушает права и законные интересы третьих лиц.

6.7. Меры, направленные на обеспечение выполнения Оператором обязанностей, предусмотренных статьями 18.1, 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в частности: 

• назначен ответственный за организацию обработки ПДн; 
• приказом Генерального директора утверждены Положение об обработке персональных данных, другие локальные акты, устанавливающее процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации о ПДн, а также определяющие для каждой цели обработки ПДн, категории субъектов ПДн, содержание обрабатываемых ПДн, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
• применяются предусмотренные соответствующими нормативными правовыми актами правовые, организационные и технические меры по обеспечению безопасности ПДн при их обработке в информационных системах ПДн Оператора; 
• в целях осуществления внутреннего контроля соответствия обработки ПДн установленным требованиям Оператором организовано проведение периодических проверок условий обработки ПДн; 
• осуществляется оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в соответствии с требованиями законодательства Российской Федерации о ПДн;
• осуществляется ознакомление работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн (в том числе с требованиями к защите ПДн), локальными актами по вопросам обработки ПДн; 
• Оператор обеспечивает нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации; 
• определены угрозы безопасности ПДн при их обработке в ИСПДн;
• применены прошедшие в установленном порядке процедуру оценки соответствия средств защиты информации;
• осуществляется оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
• ведется учет машинных носителей ПДн;
• выполняются меры по обнаружению фактов несанкционированного доступа к ПДн и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;
• осуществляется восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• устанавливаются правила доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
• осуществляется контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн;
• Оператором реализованы меры физической защиты помещений, где размещены технические средства, обрабатывающие ПДн, и хранятся материальные носители ПДн, от несанкционированного проникновения.
• сроки хранения носителей ПДн определены в Перечне обрабатываемых ПДн. Порядок уничтожения носителей ПДн установлен.
• при обработке ПДн, осуществляемой без использования средств автоматизации, выполняются требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

7.1. В соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» субъект ПДн имеет следующие права в отношении своих ПДн:

7.1.1. Право на получение сведений, касающихся обработки ПДн Оператором:

• подтверждение факта обработки ПДн Оператором;
• правовые основания и цели обработки ПДн;
• применяемые Оператором способы обработки ПДн;
• наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
• обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки ПДн, в том числе сроки их хранения;
• порядок осуществления субъектом ПДн прав, предусмотренных  Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»» или другими федеральными законами.

7.1.2. Право на ознакомление с ПДн, принадлежащими субъекту ПДн, обрабатываемыми Оператором.

7.1.3. Право требования от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими (неактуальными), неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

7.1.4. Право на отзыв согласия на обработку ПДн (если такое согласие было дано Оператору).

7.1.5. Если субъект ПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ  «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Оператора в уполномоченном органе по защите прав субъектов ПДн или в судебном порядке.

7.1.6. Субъект ПДн обязан:

• предоставлять Оператору достоверные ПДн, состав которых определен договором и/или согласием на обработку ПДн; 
• своевременно сообщать Оператору об изменении своих ПДн. 

8.1. Субъект ПДн может реализовать свои права на получение сведений, касающихся обработки его ПДн Оператором, путем обращения (лично или через законного представителя) либо путем направления письменного запроса по адресу: 121170, г. Москва, вн.тер.г. муниципальный округ Дорогомилово, ул. Поклонная, д. 3, этаж 3/помещ.120, 

8.2. Запрос субъекта ПДн (или его представителя) должен содержать:

• сведения, позволяющие Оператору идентифицировать субъекта ПДн;
• сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором, либо сведения, иным образом подтверждающие факт обработки ПДн Оператором.

8.2.1. Оператор обязуется безвозмездно предоставить запрашиваемые сведения субъекту ПДн или его представителю в доступной форме в течение 10 (десяти) рабочих дней с даты получения запроса субъекта ПДн или его представителя либо дать в письменной форме (либо в случае поступления запроса в электронном виде – в электронной форме) мотивированный ответ, содержащий ссылку на положения федерального закона (законов), являющиеся основанием для отказа в предоставлении информации. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

8.2.2. В случае, если необходимые сведения были предоставлены субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения данных сведений не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом Российской Федерации, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.

8.2.3. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн, обрабатываемые Оператором, являются неполными, неточными или неактуальными, Оператор обязуется внести в них необходимые изменения.

8.2.4. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн, обрабатываемые Оператором, являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязуется уничтожить такие ПДн.

8.2.5. Оператор обязан уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.

8.3. Субъект ПДн имеет право на отзыв согласия на обработку ПДн (в случае, если такое согласие было дано Оператору). Порядок отзыва согласия на обработку ПДн: указывается в согласиях на обработку ПДн и/или договорах Оператора с субъектом ПДн.

8.3.1. Отзыв согласия на обработку ПДн должен содержать:

• сведения, позволяющие Оператору идентифицировать субъекта ПДн;
• сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором, либо сведения, иным образом подтверждающие факт обработки ПДн Оператором.

8.3.2. В случае отзыва субъектом ПДн согласия на обработку его ПДн Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки, и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Оператором и субъектом ПДн, либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных федеральными законами.

8.3.3. В случае невозможности уничтожения ПДн в течение указанного срока, Оператор осуществляет блокирование таких ПДн или обеспечивает их блокирование и уничтожение в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

Оператор, а также его должностные лица и работники несут гражданско-правовую, административную, дисциплинарную и иную ответственность за несоблюдение принципов и условий обработки ПДн субъектов ПДн, а также за разглашение или незаконное использование ПДн в соответствии с законодательством Российской Федерации.

        Политика является общедоступной и подлежит размещению на ресурсах Оператора, на сайте Программы, сайте Подписки, в каналах сбора ПДн или иным образом обеспечивается неограниченный доступ к настоящему документу.