Приложение № 1

УТВЕРЖДЕНА
приказом АО «Чувашская МСК»
от «___» ___________ 2024 г. № ___

ПОЛИТИКА
обработки персональных данных в
акционерном обществе
«Чувашская медицинская страховая компания»

1. ОБЩИЕ ПОЛОЖЕНИЯ
Политика обработки персональных данных (далее — Политика) в акционерном обществе «Чувашская медицинская страховая компания» (АО «Чувашская МСК») (далее — Общество) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152).

Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в Обществе с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

В настоящей Политике используются, следующие основные понятия:
автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Обществом для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных;

информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;

обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;

обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а также любая информация, относящаяся к пользователю официального сайта Общества в сети «Интернет» — www.msk-21.ru;

персональные данные, разрешенные субъектом персональных данных для распространения — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ;

предоставление персональных данных — действия, направленные на раскрытие персональных данньх определенному лицу или определенному кругу лиц;

распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом, в том числе на официальном сайте Общества в сети «Интернет»;

трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных;

Общество обязано опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике обработки персональных данных в соответствии с ч. 2 ст. 18.1. ФЗ-152.

2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1 Принципы обработки персональных данных.
Обработка персональных данных в Обществе осуществляется на основе следующих принципов:
законности и справедливой основы;
ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
обработки только тех персональных данных, которые отвечают целям их обработки и соответствуют содержанию и объему обрабатываемых персональных данных и заявленным целям обработки;
недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
уничтожения, блокирования или обезличивания персональных данных по достижении целей их обработки или периода их хранения, если иные действия с ними не определены действующим законодательством РФ.

2.2 Цели обработки персональных данных.
Обработка персональных данных осуществляется Обществом в следующих целях:
– выполнение требований трудового законодательства Российской Федерации, ведение бухгалтерского и кадрового учета;
– осуществление страховой деятельности в сфере обязательного медицинского страхования;
– ведение официального сайта Общества.

2.3. Условия обработки персональных данных.
Общество производит обработку персональных данных при наличии хотя бы одного из следующих условий:

  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором, Федеральным законом или иным законодательным актом РФ, в том числе законодательством об обязательном медицинском страховании на территории Российской Федерации;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться страхователем, выгодоприобретателем или поручителем.
  • Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
  • обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • обработка персональных данных необходима для осуществления и выполнения возложенных на оператора функций, полномочий и обязанностей в соответствии с действующим законодательством Российской Федерации, в том числе законодательством об обязательном медицинском страховании на территории Российской Федерации;
  • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с нормами действующего законодательства РФ, в том числе законодательством об обязательном медицинском страховании на территории Российской Федерации.

2.4. Категория субъектов, персональные данные которых обрабатываются:
В соответствии с целями обработки персональных данных, указанными в п. 2.2 настоящей Политики, Обществом осуществляется обработка следующих категорий субъектов персональных данных:

— работники Общества, в том числе страховые представители Общества, состоящие в трудовых отношениях с Обществом, в том числе уволенные работники Общества;
— близкие родственники работников, персональные данные которых необходимы в целях выполнения требований трудового законодательства Российской Федерации, в том числе близкие родственники уволенных работников Общества;
— соискатели;
— физические лица, работающие по гражданско-правовому договору;
— физические лица, застрахованные по обязательному медицинскому страхованию;
граждане, персональные данные которых необходимы для выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;
— физические лица – любой посетители официального сайта Общества в сети «Интернет» — www.msk-21.ru, а также любое физическое лицо, задавшее вопрос на официальном сайта Общества в сети «Интернет» в режиме «Вопрос-ответ» или через Единый портал государственных и муниципальных услуг.
физические лица – члены Совета директоров Общества.

Цели и способы обработки персональных данных исходя из каждой категории:

  • Цель обработки персональных данных субъектов персональных данных в Обществе — обеспечение предоставления услуг в сфере обязательного медицинского страхования, определенного Уставом и лицензией Общества, защита прав застрахованных лиц по обязательному медицинскому страхованию, выполнения договорных обязательств Общества перед работниками и клиентами, предоставления возможности работникам контрагентов Общества выполнения обязанностей, предусмотренных договорами между Обществом и его контрагентами, а также иные действия в соответствии с действующим законодательством РФ.
  • Цель обработки персональных данных страховых представителей, состоящие в трудовых отношениях с Обществом, путем размещения на официальном сайта Общества в сети «Интернет» — www.msk-21.ru, с их письменного согласия их персональных данных (Ф.И.О., должности, контактного номера телефона) является защита прав застрахованных лиц по обязательному медицинскому страхованию путем информационного сопровождения застрахованных лиц на всех этапах оказания им медицинской помощи.
  • Цель обработки персональных данных физических лиц, являющиеся членами Совета директоров Общества и ревизионной комиссии Общества, является выполнение Обществом требований законодательства о страховом деле на территории Российской Федерации – соблюдение деловой репутации такими лицами (предоставление таких сведений в Центральный банк Российской Федерации).
  • Обработка (сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение) персональных данных подразделяется на:
    — обработку персональных данных в информационных системах персональных данных с использованием средств автоматизации, в том числе на официальном сайте в сети «Интернет»;
    — обработку персональных данных, осуществляемую без использования средств автоматизации.

2.6. Перечень действий с персональными данными, осуществляемых Оператором:
Сбор; Систематизация; Накопление; Хранение; Уточнение (обновление, изменение); Использование; Распространение (в том числе передача); Обезличивание; Блокирование; Уничтожение, а также иные действия с персональными данными, предусмотренные действующим законодательством РФ.

При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Обществом;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые Обществом способы обработки персональных данных;
4) наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ-152;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
9.1) информацию о способах исполнения Обществом обязанностей, установленных статьей 18.1 ФЗ-152;
10) иные сведения, предусмотренные ФЗ-152 или другими федеральными законами.

Если в соответствии с федеральным законом предоставление персональных данных и (или) получение Обществом согласия на обработку персональных данных являются обязательными, Общество обязано разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.

2.7. Сбор и обработка персональных данных с использованием официального сайта Общества в сети «Интернет» или Единый портал государственных и муниципальных услуг:
Общество с письменного согласия определенной категории субъекта, персональные данные которого обрабатываются – работника Общества, страхового представителя Общества, производит сбор и обработку персональных данных таких категорий с использованием официального сайта Общества в сети «Интернет» — www.msk-21.ru с целью защита прав застрахованных лиц по обязательному медицинскому страхованию путем информационного сопровождения застрахованных лиц на всех этапах оказания им медицинской помощи.

На официальном сайте Общества в сети «Интернет» Общество размещается следующие персональные данные таких категорий субъектов с их письменного согласия:
— Ф.И.О.;
— должность;
— номер контактного телефона.

Общество с целью защиты прав застрахованных лиц по обязательному медицинскому страхованию производит сбор и обработку персональных данных физических лиц, задавшие вопрос на официальном сайта Общества в сети «Интернет» в режиме «Вопрос-ответ», с согласия такого лица путем проставления «галочки» в поле «Я даю согласие на обработку своих персональных данных» с ссылкой на настоящую Политику Общества или задавший вопрос через Единый портал государственных и муниципальных услуг.

На официальном сайте Общества в сети «Интернет» в режиме «Вопрос-ответ» Общество или через Единый портал государственных и муниципальных услуг производит сбор и обработку следующих персональных данных таких категорий субъектов:
— имя;
— электронный адрес для обратной связи.

Сведения о субъектах персональных данных, указанных в настоящем разделе, исключаются из официального сайта Общества сети «Интернет» или полученные в режиме «Вопрос-ответ» по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

2.8. Условия прекращения обработки персональных данных.
Персональные данные подлежат уничтожению по достижении целей их обработки, а также в случае утраты необходимости в их достижении, периода их хранения, а также в случаях если действия с ними не определены иными федеральными законами и законодательными актами РФ.
Обработка персональных данных прекращается при реорганизации или ликвидации Общества.

2.9. Конфиденциальность персональных данных.
Общество принимает все меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, а также самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения возложенных на нее обязанностей, в соответствии с ФЗ-152 и другими федеральными законами РФ. Передача персональных данных субъекта третьим лицам осуществляется Обществом на основании соответствующего договора, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных. Общество и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ.

2.10. Общедоступные источники персональных данных.
В целях информационного обеспечения в Обществе могут создаваться общедоступные источники персональных данных субъектов, в том числе справочники и адресные книги. В общедоступные источники персональных данных с письменного согласия субъекта могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных для этих целей.
Сведения о субъекте должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта либо по решению суда или иных уполномоченных государственных органов.

2.11. Специальные категории персональных данных.
Обработка Обществом специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев:

субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
персональные данные сделаны общедоступными субъектом персональных данных;

обработка персональных данных необходима для зашиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования;

обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях.

обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 ФЗ-152;

Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если причины, вследствие которых осуществлялась эта обработка, не соответствуют целям и задачам их обработки или обработка этих персональных данных, осуществлялась без согласия и с нарушением прав субъекта персональных данных, либо осуществлялись иные действия с персональными данными не предусмотренные действующим законодательством РФ.

Обработка персональных данных о судимости может осуществляться Обществом исключительно в случаях и в порядке, которые определяются в соответствии с федеральными законами и законодательными актами РФ.

2.12. Обработки персональных данных, разрешенных субъектом персональных данных для распространения
Требования обработки персональных данных, разрешенных субъектом персональных данных для распространения, на Общество не применяются в связи с обработкой персональных данных в целях выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей.

2.13. Поручение обработки персональных данных другому лицу.
Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иные действия не предусмотрены федеральным законом или иными законодательными актами РФ, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать условия договора, принципы и правила обработки персональных данных, предусмотренные ФЗ-152, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 ФЗ-152, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 ФЗ-152, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 ФЗ-152.

2.14. Трансграничная передача персональных данных.
Общество не осуществляет трансграничную передачу персональных данных.

2.13. Обязанности Оператора по использованию баз данных, находящихся на территории РФ.
При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Общество обязано обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 ФЗ-152.

3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 Согласие субъекта персональных данных на обработку его персональных данных.
Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пункте 2 статьи 6 ФЗ-152.

Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в ФЗ-152, возлагается на Общество.

Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилия, имя, отчество (при наличии) субъекта персональных данных, контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных);
2) сведения об Обществе — наименование, адрес, указанный в Едином государственном реестре юридических лиц, идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);
3) сведения об информационных ресурсах Общества (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных;
4) цель (цели) обработки персональных данных;
5) категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных:
персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);
специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);
биометрические персональные данные;
7) категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов 3 (заполняется по желанию субъекта персональных данных);
8) условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных);
9) срок действия согласия;
10) подпись субъекта персональных данных.

3.2. Права субъекта персональных данных.
Субъект персональных данных имеет право на получение у Общества информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Соответствующая информация предоставляется субъекту персональных данных или его представителю Обществом в течение десяти рабочих дней с момента обращения либо получения Обществом запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Обществом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Общество предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами РФ, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право письменно обратиться в Общество. Общество персональных данных рассматривает обращения и запросы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций.

Общество не осуществляет обработку персональных данных в целях продвижения товаров, работ, услуг.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.

Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований ФЗ-152 или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества в Уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

4. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Безопасность персональных данных, обрабатываемых Обществом, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения исполнения требований федерального законодательства в области защиты персональных данных.

Для предотвращения несанкционированного доступа к персональным данным Обществом применяются следующие организационно-технические меры:
— назначение должностных лиц, ответственных за организацию обработки персональных данных;
— ограничение состава лиц, имеющих доступ к персональным данным;
— ознакомление субъектов с требованиями федерального законодательства и нормативных документов Общества по обработке и защите персональных данных;
— определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
— проверка готовности и эффективности использования средств защиты информации;
— разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
-регистрация и учет действий пользователей информационных систем персональных данных;
использование антивирусных средств и средств восстановления системы защиты персональных данных;
— применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации, применение защищенных каналов передачи персональных данных;
— охраны помещений с техническими средствами обработки персональных данных, организация хранилища ключевых носителей.

5. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Иные права и обязанности Общества как оператора персональных данных определяются законодательством Российской Федерации в области персональных данных.

Должностные лица Общества, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами РФ.