ПОЛИТИКА

Мацулева Владимира Александровича

в отношении обработки персональных данных

1. Сокращения и аббревиатуры
        Ниже приведен перечень используемых в настоящем документе сокращений и аббревиатур:

2. Общие положения
        Мацулев Владимир Александрович, осуществляющий адвокатскую деятельность, в терминах Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее –ФЗ «О персональных данных») является оператором ПДн – физическим лицом, осуществляющим обработку ПДн и определяющим цели обработки ПДн, состав ПДн, подлежащих обработке, действия, совершаемые с ПДн (далее – Оператор).
Под ПДн в соответствии с ФЗ «О персональных данных», понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
Обработка ПДн осуществляется Оператором в соответствии с требованиями ФЗ «О персональных данных» и принятых в соответствии с ним иных нормативных правовых актов, регулирующих вопросы обработки и защиты ПДн. При обработке ПДн Оператор придерживается принципов, установленных законодательством Российской Федерации в области ПДн.
Цели обработки ПДн, категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения определены в Перечне целей и сроков обработки персональных данных, являющемся неотъемлемой частью настоящей Политики (Приложение № 1).
В целях предотвращения нарушений законодательства Российской Федерации в сфере ПДн Оператором обеспечивается надлежащее документальное сопровождение процессов обработки ПДн:
– анализ правовых оснований обработки ПДн;
– документальное закрепление целей обработки;
– установление сроков обработки ПДн;
– регламентация процессов обработки ПДн (в том числе процесса допуска к ПДн, процесса прекращения обработки ПДн).

3. Права субъектов персональных данных и способ их реализации
В соответствии с частью 7 статьи 14 ФЗ «О персональных данных» субъект ПДн имеет следующие права в отношении своих ПДн:
1) право на получение сведений, касающихся обработки ПДн Оператором:
– подтверждение факта обработки ПДн Оператором;
– правовые основания и цели обработки ПДн;
– применяемые Оператором способы обработки ПДн;
– наименование и место нахождения Оператора, сведения о лицах, которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
– обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
– сроки обработки ПДн, в том числе сроки их хранения;
– порядок осуществления субъектом ПДн прав, предусмотренных ФЗ «О персональных данных»;
– информацию об осуществленной или о предполагаемой трансграничной передаче данных;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
– информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 ФЗ «О персональных данных»;
2) право на ознакомление с ПДн, принадлежащими субъекту ПДн, обрабатываемыми Оператором;
3) право требования от Оператора уточнения его ПДн, их блокирования или уничтожения, в случае, еслиПДн являются неполными, устаревшими (неактуальными), неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
4) право на отзыв согласия на обработку ПДн (если такое согласие было дано Оператору);
5) право требования от Оператора прекращения обработки ПДн;
6) право требования от Оператора прекращения передачи (распространения, предоставления, доступа) ПДн, ранее разрешенных субъектом ПДн для распространения.
Субъект ПДн может реализовать свои права на получение сведений, касающихся обработки его ПДн Оператором, и на ознакомление с ПДн, принадлежащими субъекту, обрабатываемыми Оператором, путем направления письменного запроса по адресу: 150049, Ярославская обл., г. Ярославль, до востребования (адресат – Мацулев Владимир Александрович) или 150001, Ярославская Область, Ярославль Город, Малый Московский Переулок, дом 1/17. Запрос также может быть направлен в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации, по адресу электронной почты: vmlawyer@mail.ru.
В случае, если сведения, указанные в части 7 статьи 14 ФЗ «О персональных данных», а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно к оператору или направить ему повторный запрос не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.
В соответствии с частью 3 статьи 14 ФЗ «О персональных данных» запрос субъекта ПДн (или его представителя) должен содержать:
– номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
– сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором;
– подпись субъекта ПДн или его представителя.

4. Права и обязанности Оператора
Оператор имеет право:
– требовать от субъекта ПДн достоверности предоставляемых ПДн, их достаточности для целей обработки, а также в иных случаях, предусмотренных законодательством России;
– ограничить доступ субъекта ПДн к его ПДн в установленных законодательством случаях;
– поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное правовое основание обработки ПДн не предусмотрено ФЗ «О персональных данных»;
– продолжить обработку ПДн субъекта ПДн в случае отзыва им согласия при наличии правового основания;
– осуществлять иные права, предусмотренные законодательством России.
Обязанности Оператора:
– принять правовые, организационные и технические меры для обеспечения безопасности ПДн в соответствии с требованиями действующего законодательства;
– предоставить субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн;
– уточнить, блокировать или уничтожить ПДн при наступлении оснований, предусмотренных законодательством;
– разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн, если их предоставление является обязательным;
– рассматривать обращения и жалобы со стороны субъектов ПДн и уполномоченных органов.
Оператор обязуется безвозмездно предоставить запрашиваемые сведения субъекту ПДн или его представителю в доступной форме в течение десяти рабочих дней с даты обращения или даты получения запроса субъекта ПДн или его представителя либо дать в письменной форме мотивированный ответ, содержащий ссылку на положения федерального закона (законов), являющиеся основанием для отказа в предоставлении информации.
В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн, обрабатываемые Оператором, являются неполными, неточными или неактуальными, Оператор обязуется внести в них необходимые изменения.
Оператор обязан уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
Оператор обязан сообщить в уполномоченный орган по защите прав субъектов ПДн по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса.
В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, Оператор обязуется с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПДн:
– в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов ПДн, по вопросам, связанным с выявленным инцидентом;
– в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
В случае обращения субъекта ПДн к Оператору с требованием о прекращении обработки ПДн Оператор обязуется в срок, не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПДн).
В случае обращения субъекта ПДн с требованием прекратить передачу (распространение, предоставление, доступ) своих ПДн, ранее разрешенных субъектом ПДн для распространения, к любому лицу, обрабатывающему его ПДн, данное лицо обязано прекратить передачу (распространение, предоставление, доступ) ПДн в течение трех рабочих дней с момента получения требования субъекта ПДн.

5. Порядок уничтожения информации, содержащей персональные данные, при достижении целей обработки или при наступлении иных законных оснований
Под уничтожением обработанных ПДн понимаются действия, в результате которых невозможно восстановить содержание ПДн в информационной системе, и (или) в результате которых уничтожаются материальные носители ПДн.
Обрабатываемые ПДн подлежат уничтожению в случаях:
– представления субъектом ПДн или его законными представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки (в срок, не превышающий семи рабочих дней со дня представления указанных сведений);
– выявления неправомерной обработки ПДн при невозможности обеспечить правомерность (в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн);
– достижения целей обработки ПДн или утраты необходимости в достижении этих целей (в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, федеральными законами);
– отзыва субъектом ПДн согласия на обработку его ПДн (в срок, не превышающий тридцати дней с даты поступления отзыва и в случае, если сохранение ПДн более не требуется для целей обработки ПДн);
– достижения окончания сроков хранения ПДн.
Сроки обработки и хранения ПДн определяются в соответствии с целями их обработки, положениями законодательства Российской Федерации или договора (контракта), стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, либо согласием субъекта. По истечении установленных сроков ПДн подлежат уничтожению.
В случае невозможности уничтожения ПДн в течение указанных выше сроков, Оператор осуществляет блокирование таких ПДн или обеспечивает их блокирование и уничтожение в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
Уничтожение отобранных записей осуществляется путем удаления их из базы данных с помощью штатных средств информационной и операционной систем, а также средств администрирования систем управления базами данных или аналогичным по функционалу программным обеспечением.
Уничтожение записей ПДн может осуществляться:
– в отношении единичных записей (например, в случае отзыва согласия субъекта на обработку его ПДн);
– в отношении массива (группы) записей.
Такие действия также должны фиксироваться актом об уничтожении ПДн и выгрузкой из журнала.
Выводу носителя ПДн из эксплуатации в составе ИСПДн должно предшествовать удаление ПДн с носителя, исключающее возможность восстановления данных.
Удаление ПДн в таких случаях возможно следующими способами:
– посредством записи в области хранения ПДн на носителе псевдослучайной последовательности с последующим форматированием носителя ПДн;
– физического разрушения носителя в случае, если удаление ПДн посредством перезаписи и форматирования невозможно (например, для поврежденных накопителей или твердотельных накопителей в режиме работы «только чтение»).
Уничтожение материальных носителей информации, содержащих ПДн, осуществляется:
– для бумажных носителей – путем сжигания или шредирования;
– для машинных носителей – путем их физического разрушения (просверливание жесткого диска насквозь в нескольких местах, деформирование жесткого диска прессом, измельчение (резка, раздавливание) оптических носителей, флеш-накопителей, твердотельных накопителей).
Факт вывода носителя из эксплуатации или физического разрушения носителя ПДн фиксируется соответствующим актом.
В случае, если обработка ПДн осуществляется оператором без использования средств автоматизации, документом, подтверждающим уничтожение ПДн субъектов ПДн, является акт об уничтожении ПДн.
В случае если обработка ПДн осуществляется оператором с использованием средств автоматизации, документами, подтверждающими уничтожение ПДн субъектов ПДн, являются акт об уничтожении ПДн, соответствующий требованиям, содержащимся в пунктах 3 и 4 Требований к подтверждению уничтожения персональных данных, утвержденных Приказом Роскомнадзора от 28.10.2022 № 179, и выгрузка из журнала.
В случае если обработка ПДн осуществляется одновременно с использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение ПДн субъектов ПДн, являются акт об уничтожении ПДн, соответствующий требованиям, установленным пунктами 3 и 4 Требований к подтверждению уничтожения персональных данных, утвержденных Приказом Роскомнадзора от 28.10.2022 № 179, и выгрузка из журнала, соответствующая требованиям, установленным пунктом 5 Требований к подтверждению уничтожения персональных данных, утвержденных Приказом Роскомнадзора от 28.10.2022 № 179.
Акт об уничтожении ПДн и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения ПДн.

6. Сведения по обеспечению безопасности персональных данных
Оператором обеспечивается безопасность обрабатываемых ПДн, которая достигается применением различных по своему характеру мер как организационного, так и технического характера.
При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператором обеспечивается запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Обеспечена сохранность носителей ПДн, исключен несанкционированный доступ к персональным данным. Обеспечено раздельное хранение материальных носителей ПДн, обработка которых осуществляется в различных целях. Неконтролируемое пребывание или проникновение посторонних лиц в помещение, где хранятся ПДн, исключено.