9.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
9.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
9.3. Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами:
• смешанная обработка персональных данных, с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.
9.4. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи, обезличивания, блокирования, удаления, уничтожения ПДн, в том числе с помощью средств вычислительной техники.
9.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных Оператором осуществляются посредством получения персональных данных в устной, письменной форме, электронном виде непосредственно от субъектов персональных данных и (или) информационных систем персональных данных, получения оригиналов документов либо их копий, копирования оригиналов документов, внесения сведений в учетные формы на бумажных и электронных носителях, создания документов, содержащих персональные данные, на бумажных и электронных носителях и внесения персональных данных в журналы, реестры, информационные системы персональных данных Оператора.
9.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 N 18 либо иным документом, актуальным на дату его применения.
9.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Фонд пенсионного и социального страхования (Социальный фонд России, СФР) и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
9.8. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
• определяет угрозы безопасности персональных данных при их обработке в соответствии с требованиями законодательства Российской Федерации;
• создает необходимые условия для работы с персональными данными;
• принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
• применяет организационные и технические меры по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает уровни защищенности ПДн;
• применяет прошедшие в установленном порядке процедуры оценки соответствия средств защиты информации;
• проводит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• осуществляет обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
• организует восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• организует учет машинных носителей персональных данных;
• организует учет документов, содержащих персональные данные;
• организует работу с информационными системами, в которых обрабатываются персональные данные;
• хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
• проходит обучение с целью надлежащей обработки персональных данных;
• устанавливает правила доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечивает регистрацию и учет всех действий, совершаемых с ПДн в информационной системе ПДн;
• осуществляет контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
9.9. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
9.9.1. Персональные данные на бумажных носителях хранятся у Оператора в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
9.9.2. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
9.10. Оператор прекращает обработку персональных данных в следующих случаях:
• выявлен факт их неправомерной обработки. Срок - в течение трех рабочих дней с даты выявления;
• достигнута цель их обработки;
• истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия;
• прекращение деятельности Оператором.
9.11. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, если:
• иное не предусмотрено договором (соглашением), стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное не предусмотрено другим договором (соглашением) между Оператором и субъектом персональных данных.
9.12. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий десять рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
9.13. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных физических лиц с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.