Обновленный текст от 23 августа 2022 года

Утвержден генеральным директором ООО «СРМ СОЛЮШНС»

Настоящая Политика является основополагающим локальным актом ООО «СРМ Солюшнс» (ИНН: 7451278717, КПП: 770301001, ОГРН: 1097451001273, местонахождение: 123022, Москва, Звенигородская 2-я ул, дом №13, строение 43, помещение VIII комната 4) (далее – Общество, Оператор), регулирующим вопросы обработки персональных данных компании (ПДн).

Настоящая Политика разработана в соответствии с пп. 2 ч. 1 статьи 18.1 Федерального закона от 27.07.2006 г. №152 «О персональных данных» (далее – Закон о персональных данных).

Во исполнение требований ч. 2 статьи 18.1 Закона о персональных данных настоящая Политика публикуется (и регулярно обновляется) в свободном доступе в информационно-телекоммуникационной сети «Интернет» на сайте по адресу: www.konnektu.ai.

Политика раскрывает основные категории ПДн, обрабатываемых Оператором, цели, способы и принципы обработки ПДн, права субъектов ПДн и Оператора, а также перечень мер, применяемых Оператором в целях обеспечения безопасности ПДн при их обработке.

Действие настоящей Политики распространяется на все процессы Оператора, в рамках которых осуществляется обработка ПДн, как с использованием средств вычислительной техники, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств.

Политика распространяется на отношения в области обработки ПДн, возникшие у Общества как до, так и после утверждения настоящей Политики.

Политика является основой для разработки локальных нормативных актов Общества по обеспечению безопасности ПДн.

Настоящая Политика вступает в силу с момента ее утверждения Генеральным директором Общества и действует бессрочно.

Общество проводит пересмотр положений настоящей Политики и их актуализацию по мере необходимости, но не реже одного раза в три года, а также:

— при изменении нормативной базы, затрагивающей принципы и/или процессы обработки ПДн в Обществе;

— при создании новых и внесении изменений в существующие процессы обработки ПДн.

При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее утверждения Генеральным директором и размещения на сайте Общества, если иное не предусмотрено новой редакцией Политики. Действующая редакция постоянно доступна на сайте по адресу: www.konnektu.ai.

Политика разработана в соответствии с требованиями следующих нормативно-правовых документов в области обработки и защиты ПДн:

• Федеральный закон Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных»

• Федеральный закон Российской Федерации от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

• Постановления Правительства Российской Федерации от 15.09. 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

• Постановления Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Конфиденциальность персональных данных – обязательное для соблюдения Операторомили иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Субъект персональных данных – физическое лицо, обладающее ПДн прямо или косвенно его определяющими.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящей Политики ООО «СРМ Солюшнс» выступает оператором персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится
невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Защита персональных данных – деятельность, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные.

Работник – физическое лицо, вступившее в трудовые отношения с Оператором на основании трудового договора и на иных основаниях, предусмотренных ст. 16 Трудового кодекса Российской Федерации.

Кандидат – физическое лицо, рассматриваемое Обществом по заявке/анкете/резюме, размещенной в общедоступных источниках данных — сайт по поиску работы, социальные сети и др. соответствующие источники информации — для принятия решения о приглашении на собеседование или предложении о приеме на работу в Общество и/или получивший приглашение на собеседование/предложение о работе от Общества

Соискатель на вакантную должность – физическое лицо, разместившее своё заявку/анкету/резюме на сайтах по поиску работы или иных советующих источниках информации и/или подавшее заявку/анкету/резюме непосредственно в Общество на рассмотрение своей кандидатуры в качестве работника Общества.

Сайт Оператора – Интернет-сайты, чат-боты и страницы, принадлежащие Оператору, и/или администрирование которых осуществляет Оператор или третьим лицом по поручению и для Оператора (далее – сайт).

Участник акций – субъект персональных данных, участвующий в стимулирующих акциях, проводимых Оператором или в интересах Оператора или по поручению третьих лиц, чьи данные хранятся и обрабатываются

С целью поддержания деловой репутации и обеспечения выполнения требований Закона о персональных данных и принятых в соответствии с ним нормативных правовых актов, Общество, являясь оператором персональных данных с соответствующим правами и обязанностями, обеспечивает правомерность обработки ПДн, а также надлежащий уровень безопасности обрабатываемых ПДн.

Обработка ПДн в Обществе осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только те ПДн, которые отвечают целям их обработки. Содержание и объем обрабатываемых ПДн соответствует заявленным целям обработки, избыточность обрабатываемых ПДн не допускается.

При обработке ПДн Оператор обеспечивает точность ПДн, их достаточность, и, в необходимых случаях, их актуальность по отношению к целям обработки ПДн. Оператор принимает или обеспечивает принятие необходимых мер по удалению или уточнению неполных или неточных ПДн.

Общество в рамках выполнения своей основной деятельности осуществляет обработку ПДнсвоих работников; родственников работников; соискателей/кандидатов на вакантные должности; контрагентов/клиентов Оператора, а также лиц представляющих контрагентов/клиентов Операторапосетителей сайтов Оператора; участников акций, рекламных и иных мероприятий, организуемых или проводимых Оператором; субъектов ПДн, данные которых обрабатываются Оператором в рамках договоров с клиентом и поручения на обработку ПДн (участники акций, медицинские представители); субъектов ПДн – медицинских работников и специалистов сферы здравоохранения.

Обработка ПДн вышеперечисленных субъектов ПДн ведется Оператором в следующих целях:

• ПДн работников Общества, в том числе уволенных:

— с целью заключения, сопровождения, изменения, расторжения трудовых договоров, которые являются основанием для возникновения или прекращения трудовых отношений между работником и Обществом;

— с целью исполнения Обществом обязательств, предусмотренных локальными нормативными актами, трудовыми договорами, федеральным законодательством и иными нормативными правовыми актами, в том числе в целях ведения кадрового и бухгалтерского учета, составления налоговой и другой обязательной для Общества отчетности;

— с целью содействия работникам в обучении и продвижении по службе;

— с целью заключения, изменения, расторжения договора добровольного медицинского страхования;

— с целью обеспечения личной безопасности работников, контроля количества и качества выполняемой работниками работы, обеспечения сохранности имущества.

• ПДн родственников работников Общества:

— с целью исполнения Обществом обязательств, предусмотренных федеральным законодательством (получение алиментов, оформление социальных выплат, пособий);

— с целью заключения, изменения, расторжения договоров добровольного медицинского страхования родственников работников.

• ПДн кандидатов/соискателей на вакантные должности в Обществе:

— с целью рассмотрения резюме и подбора кандидатов на вакантную должность для дальнейшего трудоустройства в Общество;

— с целью ведения реестра кандидатов на должность;

— с целью предоставления запрашиваемой информации и коммуникации с соискателем на сайте Оператора;

— с целью получения иной информации о соискателе на вакантную должность в Обществе.

• ПДн контрагентов/клиентов Общества, а также лиц, представляющих контрагентов/клиентов Обществу:

— с целью заключения, изменения, расторжения договоров, а также выполнения обязательств по заключенным договорам;

— с целью соблюдения и/или исполнения процедур и действий, предусмотренных локальными нормативными актами и/или законодательством РФ, в том числе в целях ведения бухгалтерской отчетности, составления налоговой отчетности.

• ПДн посетителей сайтов Оператора:

— с целью обработки обращений и заявок на Сайте;

— с целью обработки заявок от соискателей на Сайте;

— с целью направления сообщений рекламного и информационного характера о товарах и услугах;

— с целью улучшения пользовательского опыта;

— с целью ведения статистики посещений Сайта;

— с целью составление профиля;

— с целью таргетирования услуг в соответствии с интересами.

• ПДн участников акций, рекламных и иных мероприятий, проводимых Оператором:

— с целью участия в стимулирующих акциях, проводимых Оператором или в интересах Оператора или по поручению третьих лиц, чьи данные хранятся и обрабатываются;

— с целью осуществления рекламно-информационных рассылок от имени Оператора и(или) от третьих лиц по поручению в отношении любых рекламных акций, любых брендов продукции в рамках коммерческой деятельности Оператора;

— с целью проведение Оператором маркетинговых исследований и аналитики в отношении полученных данных на сайтах.

• ПДн субъектов ПДн, данные которых обрабатываются Оператором в рамках договоров с клиентами Оператора и поручения на обработку ПДн (участники акций, медицинские представители):

— с целью, определяемой клиентом Общества, в поручении на обработку ПДн от клиентаОператора.

• ПДн специалистов сферы здравоохранения и медицинских работников – получателей информации о аналитических, клинических и иных исследованиях от Оператора и/или третьих лиц по поручению Оператора, а также получающие приглашения на конференции и прочие мероприятия, организуемые Оператором и/или третьими лицами;

— с целью привлечение к аналитическим, маркетинговым и иным исследованиям;

— с целью предоставления информации/услуг научного, информационного и образовательного характера;

— с целью приглашения к участию в конференциях, информирование меня о медицинских препаратах и услугах;

— с целью ведения единой актуальной информационной базы специалистов здравоохранения РФ.

Основания обработки ПДн субъектов ПДн в Обществе следующие:

Все ПДн следует собирать непосредственно от самого субъекта. Если ПДн субъекта можно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом или от него должно быть получено согласие на такую передачу.

При сборе ПДн Оператор должен сообщить субъекту ПДн о целях, предполагаемых источниках и способах получения ПДн, перечне действий с ПД, сроке, в течение которого действует согласие на обработку ПДн и порядке его отзыва, а также о последствиях отказа субъекта дать согласие на обработку ПДн.

Базы данных, содержащие ПДн создаются путем:

— копирования оригиналов документов, предоставляемых работниками и/или кандидатами на вакантную должность Общества;

—  внесения сведений в учетные формы;

— получения оригиналов необходимых документов от работников, контрагентов и др.;

— внесение сведений в Платформу Konnektu CDP или отдельные её модули;

— внесения сведений субъектами ПДн при регистрации на сайтах, чат-ботах Общества;

— предоставление сведений в рамках выполнения обязательств по договору и в рамках поручений на обработку ПДн.

В частности, согласие считается предоставленным, если субъект ПДн остается на сайте (для файлов cookie) или ставит «галочку» напротив соответствующего текста – согласие на обработку персональных данных/ согласие на получение информационных и рекламных рассылок/согласие с настоящей Политикой обработки персональных данных – в регистрационной форме на сайте или в мобильном приложении.

Также согласие может быть получено через подтверждение субъектом ПДн своего согласия на обработку ПДн в ходе IVR звонка, USSD, SMS или чат-бот сессии, а также любым другим способом, описанным в правилах проведения маркетинговых акций Оператора.

В случае получения согласия на обработку ПДн от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн могут быть проверены Оператором.

Субъекты ПДн дают согласие на обработку своих ПДн и/или согласие на рекламную и информационную рассылку, соглашаясь с условием предоставления им информации, услуг и возможности участия в акциях, проводимых Оператором и/или в его интересах, а также проставляя «галочки» и предоставляя запрашиваемые сведения в формах обратной связи, размещенных на сайтах Оператора.

Добровольно предоставленное согласие на обработку ПДн является предоставление субъектами ПДн персональных данных, запрашиваемых Оператором, в специально разработанных для этого анкетах, чат-ботах или в веб-формах на интернет-сайтах Оператора и/или его контрагентов, организующих и проводящих акции в интересах Оператора.

Все ПДн, независимо от способа обработки, обрабатываются Оператором отдельными группами в зависимости от установленных целей обработки и не смешиваются.

ПДн, зафиксированные на бумажных носителях, хранятся в несгораемом шкафу под замком с ограниченным доступом только уполномоченных работников.

ПДн субъектов, обрабатываемые с использованием средств автоматизации в разных папках (вкладках) с ограниченным доступом и с соблюдением средств защиты уполномоченным работником Общества с соблюдением конфиденциальности логина и пароля персонального доступа.

Хранение и размещение документов, содержащих ПДн, в открытых электронных каталогах (файлообменниках) в ИСПД запрещено.

Хранение ПДн в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, если иные требования к хранению ПДн не установлены законодательством.

— наименование и контакты Оператора;

— наименование и контакты Обработчика;

— обязательства соблюдать Обработчиком принципов обработки ПДн;

— тип ПДн и категории субъектов данных;

— перечень ПДн;

— перечень действий с ПДн, при этом перечень действий не должен противоречить целям и действиям, заявленным перед субъектом ПДн в договоре с Оператором, согласии и т.п. документах;

— обязательства соблюдать конфиденциальность;

— цели обработки ПДн, при этом цели не должны противоречить целям, заявленным перед субъектом ПДн в договоре с Оператором, согласии и т.п. документах;

— соблюдение обработчиком требований по безопасности ПДн согласно ст. 19 Закона о персональных данных;

— соблюдение требований по локализации;

— соблюдение требований ст. 18.1 Закона о персональных данных;

— необходимость Обработчика уведомлять Оператора об утечках ПДн, переданных Обработчику в рамках поручения;

— предоставлять по запросу Оператора в рамках поручения сведения и документы по выполнению поручения.

— третьи лица, передача которым предусмотрена законодательством Российской Федерации;

— третьи лица, на передачу которым субъект ПДн предоставил разрешение в согласии на обработку ПДн.

Оператор установил следующие условия прекращения обработки ПДн:

— достижение целей обработки персональных данных и максимальных сроков хранения;

— утрата необходимости в достижении целей обработки ПДн;

— предоставление субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;

— невозможность обеспечения правомерности обработки персональных данных;

— отзыв субъектом ПДн согласия на обработку ПДн, если сохранение ПДн более не требуется для целей обработки ПДн

— истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка ПДн;

— истечение срока действия согласия на обработку ПДн;

— ликвидация или реорганизация Общества.

В случае отзыва субъектом ПДн согласия на обработку своих ПДн Оператор обязан прекратить их обработку и обеспечить прекращение такой обработки третьими лицами, действующими по поручению Оператора, если иное не предусмотрено договором между Оператором и субъектом ПДн, либо если Оператор вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных требованиями действующего законодательства РФ.

Оператор прекращает обработку ПДн в случае расторжения договора и поручения на обработку ПДн с клиентом, уничтожение ПДн осуществляется в срок, указанный клиентом, за исключением ПДн/ части ПДн, обязанность сохранения которых остается за Оператором в целях выполнения функции налогового агента в рамках налогового законодательства Российской Федерации.

Уничтожение документов (носителей), содержащих ПДн производится путем сожжения, дробления (измельчения). Для уничтожения бумажных документов допускается применение шредера.

ПДн на электронных носителях уничтожаются путем стирания или форматирования носителя.

Уничтожение производится комиссией. Факт уничтожения ПДн подтверждается документально актом об уничтожении носителей, стирании с носителя и проч., подписанным членами комиссии.

Субъект ПДн имеет право требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

1) подтверждение факта обработки ПДн Оператором;

2) правовые основания и цели обработки ПДн;

3) цели и применяемые Оператором способы обработки ПДн;

4) наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;

5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки ПДн, в том числе сроки их хранения;

7) порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДнпо поручению Оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные законодательством РФ.

Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта ПДн к его персональным данным нарушает права и законные интересы третьих лиц.

Для реализации и защиты своих прав и законных интересов субъект ПДн имеет право обратиться к Оператору с соответствующим запросом по адресу: 123022, Москва, Звенигородская 2-я ул, дом №13, строение 43 или путем обращения к Оператору с соответствующим запросом по электронной почте Admin@konnektu.ai. Оператор рассматривает любые обращения, запросы информации и жалобы со стороны субъектов ПДн и направляет ответ субъекту ПДн не позднее 10 (десяти) рабочих дней с момента получения соответствующего запроса от субъекта либо направляет мотивированное уведомление с указанием причин продления срока на 5 (пять) рабочих дней предоставления запрашиваемой информации/ответа. Оператор предоставляет запрашиваемую информацию тем же способом, которым получен запрос, если в самом запросе не указан иной способ предоставления Оператором запрашиваемой информации.

Оператор тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

Субъект ПДн вправе обжаловать действия или бездействия Оператора путем обращения в уполномоченный орган по защите прав субъектов ПДн.

Субъект ПДн имеет право на защиту своих прав и законных интересов.

— самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;

— поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;

— вносить изменения в перечень третьих лиц, которым Оператор вправе передавать персональные данные с согласия субъекта персональных данных, который находится по адресу www.konnektu.ai

— в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

— организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;

— отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;

— сообщать в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) по запросу этого органа необходимую информацию в течении 10 (десяти) рабочих дней с момента получения запроса либо направить мотивированное уведомление о необходимости продлить срок на предоставление запрашиваемой информации на срок до 5 (пяти) рабочих дней в соответствии с требованиями Закона о персональных данных.

В соответствии с требованиями нормативных документов в Обществе создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.

Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами, защиты информации в открытой печати, публикаторской и рекламной деятельности, аналитической работы.

Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПДн.

Основными мерами защиты ПД, используемыми Обществом, являются:

• Назначение лица ответственного за обработку ПДн, которое осуществляет организацию обработки ПДн, обучение и инструктаж, внутренний контроль за соблюдением Обществом и его работниками требований к защите ПДн;

• Определение актуальных угроз безопасности ПДн при их обработке в ИСПД, и разработка мер и мероприятий по защите ПДн;

• Разработка локальных нормативных актов в отношении обработки персональных данных;

• Установление правил доступа к ПДн, обрабатываемым в ИСПД, а также обеспечения регистрации и учета всех действий, совершаемых с ПДн в ИСПД;

• Установление индивидуальных паролей доступа работников Общества в информационную систему в соответствии с их должностным обязанностями;

• Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

• Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;

• Сертифицированное программное средство защиты информации от несанкционированного доступа;

• Сертифицированные межсетевой экран и средство обнаружения вторжения;

• Соблюдаются условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ;

• Обнаружение фактов несанкционированного доступа к персональным данным и принятия мер;

• Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

• Обучение работников Общества, непосредственно осуществляющих обработку персональных данных, в рамках требований законодательства Российской Федерации в части защиты персональных данных, в том числе документам, определяющими политику Общества в отношении обработки персональных данных, локальным нормативным актам по вопросам обработки персональных данных;

• Осуществление внутреннего контроля и аудита.

В случае установления Оператором факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов ПДн, Оператор с момента выявления такого инцидента уведомляет уполномоченный орган по защите прав субъектов персональных данных:

1) в течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставляет сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

2) в течение 72 часов о результатах внутреннего расследования выявленного инцидента, а также предоставляет сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

Лица, виновные в нарушении норм, регулирующих обработку и защиту ПДн, несут ответственность, предусмотренную законодательством Российской̆ Федерации, локальными актами Общества и договорами, регламентирующими правоотношения Общества с третьими лицами.