1.1. Положение об обработке персональных данных в ООО «Маяк» (далее соответственно — Организация, Положение) определяет цели, содержание и порядок обработки ПД (далее — ПД), меры, направленные на защиту ПД, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области ПД, в Организации.

1.2. Обработка ПД в Организации осуществляется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

1.3. Обработка ПД в Организации смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет (в целях достижения целей обучения).

Положение определяет политику Организации как оператора, осуществляющего обработку ПД, в отношении обработки и защиты ПД.

1.4. Положение разработано в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон

«О персональных данных»), Федеральным законом «Об образовании в Российской Федерации» от 29.12.2012 № 273-ФЗ.

1.5. Порядок ввода в действие и изменения Положения.

1.5.1. Положение вступает в силу с момента его утверждения генеральным директором Организации и действует бессрочно, до замены его новым Положением.

1.5.2. Все изменения в Положение вносятся приказом.

1.6. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии Организации, состав которой определяется приказом, если иное не определено законом.

1.7. Субъектами ПД являются физические лица (заказчики: учащиеся, их родители); физические лица, состоящие в трудовых, в договорных и иных гражданско-правовых отношениях с Организацией; законные представители физических и юридических лиц; физические лица, обратившиеся в Организацию по страхованию имущества; пенсионеры, физические лица находящихся на обслуживании банка (клиенты); больные, состоящие на диспансерном учёте по соответствующим диагнозам, медицинский персонал; граждане, имеющие право на меры социальной поддержки, пособия, доплаты к пенсии, ежемесячные денежные выплаты, компенсации и иные выплаты.

1.8. Обработка ПД в Организации осуществляется с соблюдением принципов и условий, предусмотренных Положением и законодательством Российской Федерации в области ПД.

1.9. Для целей Положения используются следующие основные понятия:

— ПД работника — любая информация, относящаяся к определенному или определяемому на основании такой информации работнику, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с трудовыми отношениями;

— обработка ПД — сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД;

— конфиденциальность ПД — обязательное для соблюдения назначенного ответственного лица, получившего доступ к ПД, требование не допускать их передачи без согласия субъекта ПД (его законного представителя) или иного законного основания;

— передача ПД — действия, направленные на передачу ПД (предоставление, доступ) субъекта ПД определенному кругу лиц или на ознакомление с ПД неограниченного круга лиц, в том числе размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом;

— использование ПД — действия (операции) с ПД, совершаемые лицом Организации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов ПД либо иным образом затрагивающих их права и свободы или права и свободы других лиц;

— блокирование ПД — временное прекращение сбора, систематизации, накопления, использования, передачи ПД;

— уничтожение ПД — действия, в результате которых невозможно восстановить содержание ПД в информационной системе или в результате которых уничтожаются материальные носители ПД;

— обезличивание ПД — действия, в результате которых невозможно определить принадлежность ПД конкретному лицу;

— общедоступные ПД — ПД, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральным законодательством Российской Федерации не распространяется требование соблюдения конфиденциальности.

— информация — сведения (сообщения, данные) независимо от формы их представления.

— документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

2.1. ПД обрабатываются в Организации в целях оказания услуг учащимся в области образования, ПД работников, сведений об их профессиональной служебной деятельности, подачи отчетности в налоговые органы, федеральные органы исполнительной власти, осуществления образовательной деятельности, оформления трудовых отношений, ведения кадрового и бухгалтерского учёта, оформления гражданско-правовых отношений в процессе осуществления образовательной деятельности Организацией.

В рамках указанных целей Организацией обрабатываются следующие ПД: фамилия, имя, отчество (при наличии), год рождения, месяц рождения, дата рождения, место рождения, семейное положение, социальное положение, имущественное положение, доходы, адрес электронной почты, адрес регистрации, номер телефона, СНИЛС, данные документа, удостоверяющего личность, профессия, сведения об образовании.

2.2. Обработка ПД и биометрических ПД субъектов ПД Организацией осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 2.1 Положения, в соответствии с пунктами 2–11 части 1 статьи 6, пунктами 2-10 части 2 статьи 10 и частью 2 статьи 11 Федерального закона «О персональных данных», статьей 88 Трудового кодекса Российской Федерации.

2.3. Обработка ПД субъектов ПД в Организации осуществляется исключительно при условии получения согласия указанных лиц (законных представителей) в следующих случаях:

2.3.1. При передаче ПД третьим лицам, неопределенному кругу лиц в случаях, не предусмотренных законодательством Российской Федерации в области ПД.

2.3.2. При трансграничной передаче ПД.

2.3.3. При принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их ПД.

2.4. В случаях, предусмотренных пунктом 2.3 Положения, согласие субъекта ПД оформляется в письменной форме, если иное не установлено Федеральным законом

«О персональных данных».

2.5. Обработка ПД субъектов ПД осуществляется работниками Организации, занимающими должности, включенные в перечень должностей работников ООО «Маяк», осуществляющих обработку ПД либо имеющих доступ к ПД, утверждаемый приказом (далее — Перечень).

2.6. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПД осуществляется путем получения ПД непосредственно от субъектов ПД Организации, за исключением случаев, предусмотренных пунктом 2.8 Положения.

2.7. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПД работников Организации осуществляется следующими способами:

2.7.1. Получение оригиналов необходимых документов (заявление, трудовая книжка, иные документы, предоставляемые в Организацию).

2.7.2. Копирование оригиналов документов.

2.7.3. Внесение сведений в учетные формы (на бумажных и электронных носителях).

2.7.4. Формирование ПД в ходе кадровой работы.

2.7.5. Внесение ПД в информационные системы, используемые в Организации.

2.8. В случае возникновения необходимости получения ПД у третьей стороны субъект ПД заранее извещается об этом с целью получения его письменного согласия (законного представителя), при этом ему сообщается о правовых основаниях и целях обработки ПД, перечне ПД, предполагаемых пользователях ПД, правах, источниках получения ПД, за исключением случаев, установленных частью 4 статьи 18 Федерального закона «О персональных данных».

2.9. При сборе ПД работник Организации, осуществляющий сбор ПД непосредственно у субъектов ПД, обязан разъяснить указанным субъектам юридические последствия отказа предоставить их ПД.

2.10. Не допускается получать, обрабатывать и приобщать к личному делу работника Организации ПД, не предусмотренные пунктом 2.1 Положения, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, о его членстве в общественных объединениях или его профсоюзной деятельности, состоянии здоровья, интимной жизни. Обработка указанных ПД может производиться лишь в случаях, установленных законодательством Российской Федерации в области ПД.

2.11. В случаях, установленных законодательством Российской Федерации, Организация вправе осуществлять передачу ПД субъектов ПД третьим лицам, неопределенному кругу лиц. Передача ПД осуществляется в соответствии с требованиями законодательства Российской Федерации в области ПД.

2.12. Организация вправе поручить обработку ПД другим лицам в соответствии со статьей 6 Федерального закона «О персональных данных».

2.13. После получения ПД Организация обязана обеспечить их конфиденциальность и защиту.

2.14. Доступ в помещения Организации, где хранятся и обрабатываются ПД, предоставляется работникам Организации, занимающим должности, включенные в Перечень, или лицам, не являющимся работниками Организации, занимающими должности, включенные в Перечень, в том числе при проведении контрольных (проверочных) мероприятий, только в сопровождении работника Организации, занимающего должность, включенную в Перечень.

2.15. Для помещений, в которых хранятся и обрабатываются ПД, организуется режим обеспечения безопасности, при котором осуществляется защита от неправомерных действий в отношении ПД, который включает в т.ч. запирание служебного помещения на ключ при выходе из него и закрытие (запирание) шкафов, где хранятся носители информации, содержащие ПД.

2.16. В случае расторжения трудового договора работник Организации, осуществляющий обработку ПД либо имеющий доступ к ПД, обязан прекратить обработку ПД, ставших известными ему в связи с исполнением должностных обязанностей, о чем такой работник дает соответствующее обязательство по форме, утверждаемой приказом руководителя Организации.

3.1. Обработка ПД в Организации может осуществляться с использованием информационных систем: 1С, Федеральная информационная система федерального

реестра документов об образовании дополнительного профессионального образования (ФИС ФРДО ДПО) и других информационных систем, используемых работниками Организации для исполнения их должностных обязанностей, в том числе достижения образовательных целей.

3.2. Информация может вноситься в информационные системы ПД как в автоматическом режиме, так и в ручном режиме при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

3.3. Работникам Организации, осуществляющим обработку ПД в информационных системах ПД, предоставляется уникальный логин и пароль для доступа

к соответствующей информационной системе ПД.

3.4. Работники Организации, осуществляющие обработку ПД в информационных системах ПД, обязаны:

— принимать меры, исключающие несанкционированный доступ к используемым программно-техническим средствам;

— производить запись ПД (отдельных файлов, баз данных) на электронные носители только в случаях, регламентированных процедурами работы с ПД;

— вести учет электронных носителей информации, содержащих ПД, и осуществлять их хранение в шкафах (сейфах);

— соблюдать порядок и правила доступа к информационным системам ПД, не допускать передачу логинов и паролей к ним третьим лицам и принимать все необходимые меры по обеспечению сохранности таких логинов и паролей.

3.5. Работникам Организации, осуществляющим обработку ПД, при работе на персональных компьютерах, выданных работодателем, которые содержат ПД или имеют доступ к информационным системам ПД, запрещается:

— записывать логины и пароли доступа к информационным системам ПД, передавать их другим лицам, а также пользоваться в работе логинами и паролями других пользователей, производить подбор таких логинов и паролей других пользователей;

— записывать на электронные носители с ПД посторонние программы и данные;

— выносить электронные носители с ПД за пределы Организации без согласования с работодателем;

— приносить, самостоятельно устанавливать и эксплуатировать на служебном персональном компьютере любые программные продукты без уведомления работодателя;

— открывать, разбирать, ремонтировать такое компьютерное оборудование, вносить изменения в конструкцию, подключать нештатные блоки и устройства;

— осуществлять иные действия, которые могут привести к несанкционированному доступу (в т.ч. утечке ПД) к ПД.

3.6. Работники Организации, виновные в разглашении или утрате информации, содержащей ПД, несут ответственность в соответствии с законодательством Российской Федерации.

4.1. Обработка ПД без использования средств автоматизации — это обработка ПД, в том числе содержащихся в информационных системах ПД или извлеченных из них, при которой такие действия с ПД, как использование, уточнение, передача, уничтожение ПД в отношении каждого субъекта ПД осуществляются при непосредственном участии человека.

4.2. Обработка ПД без использования средств автоматизации осуществляется как на бумажных, так и на электронных носителях.

4.3. Обработка ПД без использования средств автоматизации в электронном виде должна осуществляться на съемных материальных носителях информации с учетом пункта 3.5 Положения.

4.4. При обработке ПД без использования средств автоматизации не допускается фиксация на одном материальном носителе ПД, цели обработки которых заведомо несовместимы.

4.5. ПД при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на разных материальных носителях ПД, в специальных разделах или на полях форм (бланков).

4.6. При отсутствии технологической возможности осуществления обработки ПД без использования средств автоматизации в электронном виде на съемных материальных носителях информации принимаются организационные и технические меры, направленные на предотвращение несанкционированного доступа к ПД лицами, не допущенными к их обработке.

4.7. Уточнение ПД при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными ПД.

5.1. Сроки обработки и порядок хранения ПД в Организации устанавливаются в соответствии с законодательством Российской Федерации.

5.2. ПД, полученные Организациям на бумажном и/или электронном носителях в связи с осуществлением своих полномочий, хранятся у работников Организацяи, осуществляющих обработку соответствующих ПД.

5.3. Срок хранения ПД, внесенных в информационные системы ПД, должен соответствовать сроку хранения таких ПД на бумажных носителях.

5.4. В Организации установлены следующие сроки обработки и хранения ПД работников Организации:

5.4.1. ПД, содержащиеся в приказах по личному составу работников Организации (о приеме, о переводе, об увольнении, об установлении надбавок и другие), подлежат хранению в отделе кадров Организации в течение 2 (двух) лет с последующим формированием и передачей указанных документов в архив Организации для хранения в течение 50 (пятидесяти) лет.

5.4.2. ПД, содержащиеся в личных делах работников Организации, хранятся в отделе кадров Организации в течение 10 (десяти) лет с последующим формированием и передачей указанных документов в архив Организации для хранения.

5.4.3. ПД, содержащиеся в приказах о поощрениях, подлежат хранению в течение 2 (двух) лет в отделе кадров Организации с последующим формированием и передачей указанных документов в архив Организации для хранения.

5.4.4. ПД, содержащиеся в приказах о предоставлении отпусков, командировках, о дисциплинарных взысканиях подлежат хранению в отделе кадров Организации в течение 5 (пяти) лет с последующим уничтожением.

5.5. ПД субъектов ПД, указанных в пункте 1.7, за исключением работников Организации, хранятся в течение 10 (десяти) лет или до достижения цели обработки, или до момента отзыва субъектом ПД согласия на обработку ПД.

5.6. Хранение ПД должно осуществляться в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен законодательством Российской Федерации или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД.

5.7. В Организации обеспечивается раздельное хранение ПД на разных материальных носителях, обработка которых осуществляется в различных целях, определенных Положением.

5.8. Контроль за соблюдением порядка хранения и использования материальных носителей ПД, не допускающий несанкционированное использование, уточнение, распространение и уничтожение ПД, находящихся на этих носителях, осуществляют руководители структурных подразделений Организации, в которых обрабатываются ПД.

6.1. Уничтожение ПД производится в случаях:

6.1.1. Выявления неправомерной обработки ПД, в том числе по обращению субъекта ПД или его представителя либо запросу уполномоченного органа по защите прав субъектов ПД, если обеспечить правомерность обработки ПД невозможно.

6.1.2. Требования субъекта ПД, если его ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

6.1.3. Отзыва субъектом ПД согласия на обработку его ПД, если сохранение ПД более не требуется для целей обработки ПД.

6.1.4. Достижения целей обработки ПД или утраты необходимости в достижении этих целей.

6.1.5. Истечения сроков хранения ПД, установленных законодательством Российской Федерации.

6.1.6. В иных установленных законодательством Российской Федерации случаях.

6.2. Черновики и проекты документов на бумажных носителях, содержащих ПД, уничтожаются путем шредирования.

6.3. Выделение к уничтожению документов, содержащих ПД, производится после истечения срока хранения документов.

Уничтожение документов, содержащих персональные данные, осуществляет экспертная комиссия Организации, состав которой определяется приказом, если иное не определено законом.

6.4. В случае если обработка ПД осуществляется без использования средств автоматизации документы, содержащие ПД, с истекшим сроком хранения могут быть уничтожены, что подтверждается Актом об уничтожении персональных данных.

6.5. В случае если обработка ПД осуществляется с использованием средств автоматизации, документы, содержащие ПД, с истекшим сроком хранения уничтожаются, что подтверждается Актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе ПД.

6.6. Способ уничтожения ПД выбирается в зависимости от типа носителя информации (бумажный или электронный):

— физическое уничтожение носителя (уничтожение через шредирование, сжигание);

— уничтожение информации с электронного носителя путем многократной перезаписи; механическое нарушение целостности носителя, не позволяющее произвести считывание или восстановление ПД.

7.1. Субъекты ПД имеют право на получение информации, касающейся обработки их ПД, в том числе содержащей:

7.1.1. Подтверждение факта обработки ПД в Организации.

7.1.2. Правовые основания и цели обработки ПД.

7.1.3. Применяемые в Организации способы обработки ПД.

7.1.4. Сведения о лицах, которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Организациям или на основании законодательства Российской Федерации.

7.1.5. Обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством Российской Федерации.

7.1.6. Сроки обработки ПД, в том числе сроки их хранения в Организации.

7.1.7. Порядок осуществления субъектом ПД прав, предусмотренных законодательством Российской Федерации в области ПД.

7.1.8. Сведения об осуществленной или предполагаемой трансграничной передаче данных.

7.1.9. Наименование организации или фамилию, имя, отчество (при наличии) и адрес лица, осуществляющего обработку ПД по поручению Организации, если обработка поручена или будет поручена такой организации или лицу.

7.1.10. Иные сведения, предусмотренные законодательством Российской Федерации в области ПД.

7.2. Субъекты ПД вправе требовать от Организации уточнения их ПД, их блокирования или уничтожения в случае, если ПД являются неполными,

устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством Российской Федерации меры по защите своих прав.

7.3. Информация, указанная в пункте 7.1 Положения, должна быть предоставлена субъекту ПД в доступной форме, и в ней не должны содержаться ПД, относящиеся к другим субъектам ПД, за исключением случаев, если имеются законные основания для раскрытия таких ПД.

7.4. Информация, указанная в пункте 7.1 Положения, предоставляется субъекту ПД или его представителю работником Организации, осуществляющим обработку соответствующих ПД, при обращении либо при получении запроса субъекта ПД или его представителя, который содержит:

— номер, серию документа, удостоверяющего личность субъекта ПД или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя (при получении запроса от представителя субъекта ПД);

— информацию, подтверждающую участие субъекта ПД в правоотношениях с Организациям (документ, подтверждающий факт обработки ПД в Организации), подпись субъекта ПД или его представителя.

Запрос может быть направлен в форме электронного документа по адресу электронной почты 000.mayak.institute@gmail.com и подписан электронной подписью в соответствии с законодательством Российской Федерации.

7.5. В случае, если информация, предусмотренная пунктом 7.1 Положения, а также обрабатываемые ПД были предоставлены для ознакомления субъекту ПД по его запросу, субъект ПД вправе обратиться повторно в Организация или направить повторный запрос в целях получения указанных сведений и ознакомления с такими ПД не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД.

7.6. Субъект ПД вправе обратиться повторно в Организация или направить повторный запрос в целях получения информации, предусмотренной пунктом 7.1 Положения, а также в целях ознакомления с обрабатываемыми ПД до истечения срока, указанного в пункте 7.5 Положения, в случае, если такие сведения и (или) обрабатываемые ПД не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 7.4 Положения, должен содержать обоснование направления повторного запроса.

7.7. Организация вправе отказать субъекту ПД в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 7.4 — 7.6 Положения. Такой отказ должен быть мотивированным.

7.8. Право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона «О персональных данных», в том числе если доступ субъекта ПД к его ПД нарушает права и законные интересы третьих лиц.

8.1. Лицом, ответственным за организацию обработки ПД в Организации, является генеральный директор Организации.

8.2. Лицо, ответственное за организацию обработки ПД в Организации, руководствуется законодательством Российской Федерации в области ПД и Положением.

8.3. Лицо, ответственное за организацию обработки ПД в Организации, обязано:

8.3.1. Организовывать принятие правовых, организационных и технических мер для обеспечения защиты ПД, обрабатываемых в Организации, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД в соответствии со ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ

«О персональных данных».

8.3.2. Осуществлять внутренний контроль за соблюдением работниками Организации требований законодательства Российской Федерации в области ПД, в том числе требований к защите ПД.

8.3.3. Доводить до сведения работников Организации положения законодательства Российской Федерации в области ПД, локальных нормативных актов Организации по вопросам обработки ПД, требований к защите ПД.

8.3.4. Организовывать прием и обработку обращений и запросов субъектов ПД или их представителей.

8.3.5. В случае нарушения в Организации требований к защите ПД принимать необходимые меры по восстановлению нарушенных прав субъектов ПД.

8.3.6. Оценивать степень вреда, который может быть причинен субъектам ПД при обработке, а также составлять акт оценки вреда субъектам ПД.

8.4. Лицо, ответственное за организацию обработки ПД в Организации, вправе привлекать к реализации мер, направленных на обеспечение безопасности ПД, обрабатываемых в Организации, иных работников Организации на основании приказа Организации с возложением на них соответствующих обязанностей и закреплением ответственности.

8.5. Лицо, ответственное за организацию обработки ПД в Организации, несет ответственность за надлежащее выполнение возложенных функций по организации обработки ПД в Организации в соответствии с законодательством Российской Федерации в области ПД.

9.1. Внутренний контроль за соблюдением работниками Организации требований законодательства Российской Федерации в области ПД, в том числе требований к защите ПД, осуществляется в виде проведения внутренних проверок.

9.2. Внутренние плановые проверки осуществляются на основании плана, который утверждается генеральным директором Организации.

9.3. Внутренние внеплановые проверки осуществляются по решению лица, ответственного за организацию обработки ПД в Организации. Основанием для них служит информация о нарушении законодательства в области ПД, поступившая в устном или письменном виде.

9.4. В случае выявления нарушений фиксируется перечень мероприятий по их устранению и соответствующие сроки.

9.5. Внутреннее расследование в Организации проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД (далее — инцидент).

9.5.1. В случае инцидента лицо, ответственное за организацию обработки ПД в Организации, в течение 24 часов уведомляет Роскомнадзор:

— об инциденте;

— его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) ПД;

— принятых мерах по устранению последствий инцидента;

— представителе Организации, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.

9.5.2. В течение 72 часов лицо, ответственное за организацию обработки ПД в Организации, обязано:

— уведомить Роскомнадзор о результатах внутреннего расследования;

— предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).