1. Общие положения
1.1. Настоящая политика конфиденциальности (далее – «Политика») представляет собой локальный нормативный акт общества с ограниченной ответственностью «Траст-Инвест» (ИНН 2466219360 ОГРН 1092468012890) (далее – ООО «Траст-Инвест» или «Оператор»), определяющий основные понятия и принципы обработки персональных данных, цели их сбора, правовые основания, категории обрабатываемых персональных данных и субъектов, а также порядок и условия их обработки, актуализации, исправления, уничтожения и реагирования на запросы субъектов персональных данных и уполномоченных органов.
1.2. Политика разработана в соответствии с положениями Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных») и иных нормативных правовых актов Российской Федерации.
1.3. Целью настоящей Политики является обеспечение защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.4. Политика является общедоступным документом и размещается на официальном сайте Оператора в информационно-телекоммуникационной сети «Интернет» на сайте Оператора по сетевому адресу – https://winebox24.ru/ (далее – «Сайт») во исполнение п. 2 ч. 1 ст. 18.1 Закона о персональных данных.
1.5. Сфера действия Политики.
1.5.1. Политика действует в отношении всех персональных данных, которые обрабатывает Оператор, в том числе в отношении персональных данных пользователей, зарегистрированных на Сайте, лиц, которые обращаются к Сайту, а также связываются с Оператором посредством возможных способов связи (далее – «Пользователи»).
1.5.2. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.6. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.
1.7. Ответственность за нарушение требований законодательства Российской Федерации в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.
2. Основные понятия
2.1. Основные понятия, используемые в Политике:
1) персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (далее – «субъект персональных данных»), в том числе полученная от Пользователей Сайта во время его использования;
2) оператор персональных данных – юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
4) автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8) уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту персональных данных;
10) информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
11) трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3. Основные права и обязанности
3.1. Оператор обязан:
1) в случае получения доступа к персональным данным – соблюдать их конфиденциальность (не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации и настоящей Политикой);
2) при сборе персональных данных – предоставить субъекту персональных данных по его просьбе информацию, предусмотренную ч. 7 ст. 14 Закона о персональных данных;
3) при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пп. 2, 3, 4, 8 ч. 1 ст. 6 Закона о персональных данных.
3.2. Оператор имеет право:
1) отстаивать свои интересы в суде;
2) предоставлять персональные данные субъектов третьим лицам в порядке, предусмотренным разделом 7 настоящей Политики;
3) отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством Российской Федерации;
4) использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством Российской Федерации.
3.3. Субъект персональных данных имеет право:
1) получать информацию, касающуюся обработки его персональных данных, в том числе содержащую:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании законодательства Российской Федерации;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством Российской Федерации;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения Оператором обязанностей, установленных ст. 18.1 Закона о персональных данных;
- иные сведения, предусмотренные Законом о персональных данных или другими нормативными правовыми актами Российской Федерации;
2) требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
3) на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
4. Цели обработки персональных данных
4.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4.2. К целям обработки персональных данных Оператором относятся:
1) осуществление трудовых отношений с работниками, включая ведение кадрового и бухгалтерского учета;
2) исполнение обязанностей, установленных налоговым, трудовым и пенсионным законодательством, включая исчисление и уплату налогов и страховых взносов, передачу персонифицированных сведений в государственные внебюджетные фонды, а также заполнение первичной статистической документации;
3) подготовка, заключение, исполнение (в т.ч. осуществление расчетов) и прекращение гражданско-правовых договоров;
4) продвижение товаров и услуг на рынке, включая размещение информации об Операторе и организация рекламных кампаний;
5) подбор персонала (соискателей) на вакантные должности Оператора;
6) прием и обработка заказов и бронирований, а также реализация программ лояльности и иных мероприятий, направленных на повышение клиентской активности;
7) регистрация гостей в гостинице и ведение миграционного учета;
8) управление корпоративными правами и участие в других юридических лицах;
9) проведение статистического учета (аналитики).
5. Объем и перечень персональных данных пользователей, обрабатываемых при использовании сайта
5.1. Содержание и объем обрабатываемых персональных данных Пользователей должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
5.2. Пользователь передает Оператору персональные данные при осуществлении следующих действий:
1) регистрация на Сайте;
2) оформление заказа через Сайт;
3) подписка на рекламные и информационные рассылки;
4) заполнение формы обратной связи, обращение в чат, отправка запросов на электронную почту или через мессенджеры;
5) участие в мероприятиях, акциях и других активностях, организуемых Оператором;
6) использование Сайта с авторизацией или без нее, если такие действия сопровождаются предоставлением персональных данных;
7) иное пользование правами или выполнение обязанностей при использовании Сайта, в том числе вытекающих из условий оказания услуг либо иных документов Оператора.
5.3. Оператор осуществляет обработку следующих персональных данных Пользователей:
- фамилия, имя, отчество;
- дата рождения;
- адрес электронной почты;
- номер телефона;
- сведения, собираемые посредством метрических программ;
- иные персональные данные, предоставляемые Пользователями для подготовки, заключения, исполнения и прекращения гражданско-правовых договоров.
5.4. Оператором не осуществляется обработка:
- специальных категорий персональных данных Пользователей, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением следующих случаев, предусмотренных законодательством Российской Федерации;
- биометрических персональных данных Пользователей.
5.5. Продолжая использование Сайта, Пользователь выражает согласие на обработку информации, сохраненной в файлах куки (cookie), и иных технических данных, включая информацию о браузере и его настройках, дате и времени доступа к Сайту, адресах запрашиваемых страниц, действиях на Сайте, технических характеристиках устройства, IP-адресе и иные технические сведения. Обработка указанных данных осуществляется с использованием сервисов интернет-аналитики, в том числе применением сервиса «Яндекс.Метрика».
5.6. Оператор вправе установить, что предоставление отдельных функций Сайта возможно только при условии разрешения Пользователем приема и обработки файлов куки (cookie).
6. Правовые основания обработки персональных данных
6.1. Персональные данные, необходимые Оператору для заключения и исполнения договора, стороной (выгодоприобретателем/поручителем) которого (по которому) является субъект персональных данных, обрабатываются Оператором на основании п. 5 ч. 1 ст. 6 Закона о персональных данных.
6.2. В иных случаях Оператор обрабатывает персональные данные субъекта персональных данных на основании:
1) нормативных правовых актов Российской Федерации, в числе которых:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Закон РФ от 07.02.1992 № 2300-1«О защите прав потребителей»;
- Постановление Правительства РФ от 18.11.2020 № 1853 «Об утверждении Правил предоставления гостиничных услуг в Российской Федерации»;
- Постановление Правительства РФ от 17.07.1995 № 713 «Об утверждении Правил регистрации и снятия граждан Российской Федерации с регистрационного учета по месту пребывания и по месту жительства в пределах Российской Федерации и перечня лиц, ответственных за прием и передачу в органы регистрационного учета документов для регистрации и снятия с регистрационного учета граждан Российской Федерации по месту пребывания и по месту жительства в пределах Российской Федерации»;
- Постановление Правительства РФ от 15.01.2007 № 9 «О порядке осуществления миграционного учета иностранных граждан и лиц без гражданства в Российской Федерации»;
- иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора;
2) локальных нормативных актов Оператора, в числе которых:
- Устав;
- Правила внутреннего трудового распорядка;
- Политика конфиденциальности;
- Политика оператора в отношении обработки персональных данных;
- Положение об обработке персональных данных работников;
- Положение о конфиденциальной информации (коммерческой тайне);
3) согласия субъекта персональных данных на обработку его персональных данных;
4) исполнения обязанностей и полномочий государственных органов и организаций в рамках предоставления государственных и муниципальных услуг;
5) исполнения обязанностей по раскрытию или публикации персональных данных в соответствии с законодательством Российской Федерации;
6) осуществления статистической (исследовательской) обработки обезличенных персональных данных.
6.3. Субъект персональных данных дает согласие на обработку персональных данных при регистрации на Сайте, оформлении заказов, заполнении форм обратной связи, нажатии на специальные кнопки, инициировании (продолжении) телефонного звонка либо совершении иных действий, свидетельствующих о выражении согласия.
6.4. Согласие на обработку персональных данных предоставляется субъектом персональных данных на весь период использования Сайта, а также на срок, необходимый для достижения целей обработки персональных данных или соблюдения требований законодательства Российской Федерации, если не установлено иное.
6.5. Моментом предоставления согласия на обработку персональных данных считается:
1) проставление субъектом персональных данных отметки в поле (чекбоксе) рядом с утверждением «Даю согласие на обработку своих персональных данных» на Сайте;
2) совершение субъектом персональных данных иных однозначных действий, свидетельствующих о его намерении предоставить персональные данные, в том числе перечисленные в п. 6.3 настоящей Политики.
6.6. Соглашаясь на обработку персональных данных субъект персональных данных:
- выражает согласие на обработку персональных данных без оговорок и ограничений, свободно, по своей воле и в своих интересах;
- подтверждает, что указанные им персональные данные являются достоверными и принадлежат лично ему;
- выражает согласие на обработку персональных данных любыми способами: с использованием средств автоматизации и без их использования.
7. Порядок и условия обработки персональных данных
7.1. Оператор осуществляет обработку персональных данных – операции, совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, используя при этом базы данных, находящиеся на территории Российской Федерации.
К числу указанных операций относятся:
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передача (распространение, предоставление, доступ);
- блокирование;
- удаление;
- уничтожение персональных данных.
7.2. Обработка персональных данных Оператором ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
7.3. Оператор хранит персональные данные с применением центров обработки данных, расположенных в г. Красноярске, а также на российских серверах (хостингах), обеспечивающих надлежащий уровень безопасности.
7.4. Оператор осуществляет хранение персональных данных не дольше, чем этого требуют цели обработки персональных данных, установленные разделом 4 настоящей Политики, если срок хранения персональных данных не установлен законодательством Российской Федерации, разделом 11 настоящей Политики и (или) договором, стороной которого, выгодоприобретателем (поручителем) по которому является субъект персональных данных.
7.5. Передача персональных данных третьим лицам.
7.5.1. Оператор вправе поручить обработку персональных данных третьим лицам, в числе которых:
1) контрагенты Оператора – физические и юридические лица, в том числе индивидуальные предприниматели и самозанятые, с которыми заключены договоры (включая договоры возмездного оказания услуг) на выполнение отдельных функций, таких как юридическое, бухгалтерское, IT-сопровождение, логистика, маркетинг, сопровождение информационных систем и иные аналогичные услуги;
2) государственные органы (включая органы дознания, следствия и иные уполномоченные органы) – в случаях, предусмотренных законодательством Российской Федерации;
3) финансовые организации, в том числе банки, страховые компании, операторы электронных платежей и иные организации, участвующие в расчетах и предоставлении сопутствующих услуг;
4) иные лица, если их привлечение необходимо для достижения целей обработки персональных данных.
7.5.2. Передача персональных данных третьим лицам допускается только в объеме, необходимом для достижения конкретных целей обработки персональных данных и в рамках предусмотренных договором обязательств.
7.5.3. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
8. Безопасность
8.1. При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры (обеспечивает их принятие) для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в том числе:
1) определяет угрозы безопасности персональных данных при их обработке;
2) назначает ответственного за организацию обработки персональных данных;
3) ограничивает доступ к персональным данным:
- утверждает перечень должностей, допущенных к обработке персональных данных;
- обеспечивает подписание соглашений о неразглашении;
4) устанавливает меры аутентификации и защиты:
- применяет пароли на компьютерах, почтовых и корпоративных сервисах;
- контролирует регулярную смену паролей и их сложность;
5) использует средства защиты информации, прошедшие в установленном порядке оценку соответствия, в том числе использует антивирусное программное обеспечение. Уничтожение данных осуществляется сертифицированными средствами;
6) применяет исключительно лицензионное программное обеспечение;
7) хранит персональные данные в защищенных условиях:
- использует пароли на компьютерах;
- хранит документы в специально отведенных местах с ограниченным доступом – места хранения (ящики, непосредственно помещения) закрываются на ключ;
8) ведет учет бумажных и электронных носителей;
9) разрабатывает и внедряет локальные нормативные акты, а также включает положения о конфиденциальности и защите персональных данных в договоры с клиентами, контрагентами и третьими лицами;
10) проводит обучение и инструктаж работников, имеющих доступ к персональным данным;
11) контролирует обработку персональных данных на Сайте (в том числе размещает Политику конфиденциальности);
12) проводит внутренний контроль и (или) аудит обработки персональных данных, оценивает возможный вред субъектам ПД в случае нарушения закона и соотносит его с мерами по защите персональных данных;
13) осуществляет контроль уровня защищенности информационных систем и эффективности принимаемых мер защиты персональных данных;
14) имеет алгоритм по обеспечению восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа;
15) имеет алгоритм по реагированию на инциденты с персональными данными.
9. Согласие на получение рекламных и информационных рассылок
9.1. Оператор вправе осуществлять рекламные и информационные рассылки и необходимую для этого обработку персональных данных Пользователей при наличии отдельного соответствующего согласия на получение рассылок.
9.2. Моментом предоставления согласия на получение рассылок считается проставление Пользователем отметки в поле (чекбоксе) рядом с утверждением «Даю согласие на получение рекламных и информационных рассылок» на Сайте.
9.3. Рассылки могут осуществляться Оператором в виде смс-сообщений, сообщений в социальных сетях (Вконтакте), мессанджерах (WhatsApp, Telegram, Viber), по электронной почте, по номеру телефона, указанным им через веб-форму на Сайте Оператора.
10. Отзыв согласия на обработку персональных данных
10.1. Субъект персональных данных вправе в любой момент отозвать ранее предоставленное согласие на обработку персональных данных, в том числе на получение информационных и рекламных рассылок, направив Оператору соответствующее требование по адресу электронной почты hello@winebox24.ru с пометкой «Отзыв согласия на обработку персональных данных».
10.2. Срок для ответа на запрос об удалении персональных данных Субъекта составляет 10 (десять) рабочих дней, если иной срок не предусмотрен законодательством Российской Федерации.
11. Актуализация, исправление, прекращение обработки, уничтожение, хранение персональных данных, ответы на запросы субъектов персональных данных
11.1. Оператор обязан сообщить в порядке, предусмотренном ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 30 (тридцати) дней с даты получения запроса субъекта персональных данных или его представителя.
11.2. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.
Субъект персональных данных вправе самостоятельно актуализировать свои персональные данные, направив Оператору соответствующее уведомление по адресу электронной почты hello@winebox24.ru с пометкой «Актуализация персональных данных».
В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения.
11.3. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 (десяти) рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
11.4. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
11.5. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
11.6. Прекращение обработки и уничтожение персональных данных.
11.6.1. Срок обработки персональных данных является неограниченным, если иное не предусмотрено законодательством Российской Федерации, договором, соглашением с субъектом персональных данных или условиями предоставленного согласия.
11.6.2. Условием прекращения обработки персональных данных может являться:
1) истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных в соответствии с разделом 10 настоящей Политики;
2) выявление неправомерной обработки персональных данных – Оператор обязан прекратить обработку персональных данных (обеспечить прекращение их обработки) в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления;
3) достижение цели обработки персональных данных;
4) прекращение деятельности (ликвидация/реорганизация) ООО «Траст-Инвест».
11.6.3. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных.
Данное требование должно включать в себя:
- фамилию, имя, отчество (при наличии);
- контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных;
- перечень персональных данных, обработка которых подлежит прекращению.
Указанные в данном требовании персональные данные могут обрабатываться только Оператором, которому оно направлено.
11.7. Уничтожение персональных данных.
11.7.1. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
11.7.2. В случаях, перечисленных в п. 11.6.2 настоящей Политики, Оператор обязан уничтожить персональные данные (обеспечить их уничтожение) в установленные сроки, а в случае выявления неправомерной обработки персональных данных – в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки персональных данных невозможно.
В случае отсутствия возможности уничтожения персональных данных в течение установленных сроков Оператор осуществляет (обеспечивает) блокирование таких персональных данных и обеспечивает их уничтожение в срок не более чем 6 (шесть) месяцев, если иной срок не установлен законодательством Российской Федерации.
11.7.3. Уничтожение документов, содержащих персональные данные, осуществляется по истечении установленных сроков их хранения либо при наступлении иных законных оснований, предусмотренных законодательством Российской Федерации.
Так, сроки, в течение которых Оператор должен прекратить и уничтожить персональные данные или обеспечить прекращение их обработки и уничтожение, могут быть увеличены, если в отношении соответствующих персональных данных законодательством Российской Федерации установлены обязательные сроки хранения. В частности, Оператором соблюдаются сроки хранения документов, установленные ст. 22.1 Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации» и Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 № 236).
До истечения обязательных сроков хранения документов персональные данные, содержащиеся в них, подлежат хранению и не могут быть уничтожены, даже в случае отзыва согласия субъекта персональных данных или достижения цели их обработки, если это соответствует нормам законодательства Российской Федерации.
11.8. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
- в течение 24 (двадцати четырех) часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
- в течение 72 (семидесяти двух) часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
12. Заключительные положения
12.1. Настоящая Политика вступает в силу с момента ее утверждения генеральным директором ООО «Траст-Инвест» в порядке, соответствующем законодательству Российской Федерации.
12.2. В случае изменения законодательства Российской Федерации необходимо руководствоваться положениями законодательства до внесения изменений и (или) дополнений в настоящую Политику.