1. Общие положения
1.1. Настоящая Политика Общества в отношении обработки персональных
данных (далее — Политика) устанавливает общие подходы к обработке персональных данных (далее — ПД) физических лиц), определяет цели и правовое основание обработки ПД, а также категории ПД, обрабатываемых в Обществом.
1.2. Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152ФЗ «О персональных данных» (далее № 152ФЗ).
1.3. Настоящая Политика регламентирует следующие вопросы:
− организация приема и обработки обращений и запросов субъектов ПД;
− перечень мер, направленных на предотвращение и выявление нарушений
законодательства Российской Федерации в сфере обработки ПД, устранение
последствий таких нарушений;
− порядок ознакомления работников Общества с законодательством и
внутренними документами о ПД;
− перечень правовых, организационных и технических мер по обеспечению безопасности ПД;
− порядок осуществления внутреннего контроля за соблюдением Обществом и его работниками законодательства Российской Федерации о ПД, в том числе
требований к защите ПД.
1.4. В целях обеспечения выполнения Обществом обязанностей,
предусмотренных законодательством РФ о ПД, в Обществе назначается Ответственный по ПД.
1.5.Термины, используемые в настоящей Политике: персональные данные (ПД) — любая информация, относящаяся к прямо или
косвенно определенному или определяемому физическому лицу (субъекту
персональных данных);
оператор персональных данных (оператор) — государственный орган,
муниципальный орган, юридическое или физическое лицо, самостоятельно или
совместно с другими лицами организующие и (или) осуществляющие обработку ПД, а также определяющие цели обработки ПД состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД. Общество является оператором;
обработка ПД — любое действие (операция) или совокупность действий
(операций) с ПД, совершаемых с использованием средств автоматизации или без их использования. Обработка ПД включает в себя, в том числе: сбор; запись;
систематизацию; накопление; хранение; уточнение (обновление, изменение);
извлечение; использование; передачу (распространение, предоставление, доступ);
обезличивание; блокирование; удаление; уничтожение.
автоматизированная обработка ПД — обработка ПД с помощью средств вычислительной техники;
распространение ПД — действия, направленные на раскрытие ПД
неопределенному кругу лиц;
предоставление ПД — действия, направленные на раскрытие ПД определенному лицу или определенному кругу лиц;
блокирование персональных данных — временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД);
уничтожение ПД — действия, в результате которых становится невозможным восстановить содержание ПД в ИСПД и (или) в результате которых уничтожаются материальные носители ПД;
обезличивание ПД — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному субъекту ПД;
информационная система персональных данных (ИСПД) — совокупность
содержащихся в базах, данных ПД и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача ПД — передача ПД на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
субъект ПД физическое лицо, чьи персональные данные Общество обрабатывает, предполагает обрабатывать в будущем или ранее обрабатывал.
конфиденциальность ПД — обязательное для соблюдения Обществом или иным лицом, получившим доступ к ПД требование, не раскрывать третьим лицам и не допускать их распространения без согласия субъекта ПД или наличия иного законного основания.
1.6. Права и обязанности Общества и субъекта ПД
1.6.1. Общество вправе:
− предоставлять ПД субъектов третьим лицам, если это предусмотрено
требованиями действующего законодательства (налоговые, правоохранительные органы и др.);
− производить обработку ПД субъекта без его согласия в случаях,
предусмотренных законодательством.
− защищать свои права и законные интересы в судебном порядке.
1.6.2. Общество обязано:
− производить обработку ПД при наличии правовых оснований;
− принимать меры по обеспечению конфиденциальности и безопасности ПД;
− обеспечить неограниченный доступ к документу, определяющему его
политику в отношении обработки ПД,
− предоставлять ответы на запросы субъектов ПД;
− выполнять иные предусмотренные законодательством Российской Федерации обязанности.
1.6.3. Субъект ПД, обладает правами, предусмотренными законодательством, в
том числе: Получать информацию, касающуюся обработки его ПД, включая
подтверждение факта обработки ПД Обществом; правовые основания и цели обработки ПД; цели и применяемые Обществом способы обработки ПД; наименование и место нахождения Общества, информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес
лица, осуществляющего обработку ПД по поручению Общества, если обработка поручена или будет поручена такому лицу; иные сведения, предусмотренные федеральными законами.
− требовать уточнения своих ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
− обжаловать в уполномоченном органе по защите прав субъектов ПД или в судебном порядке неправомерные действия или бездействия при обработке его ПД;
− защищать свои права и законные интересы, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
1.6.4. При обращении в Общество с запросом о предоставлении информации, касающейся обработки его персональных данных, Субъект ПД обязан, указывать в запросе номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора и (или) иные сведения), либо сведения. Запрос должен содержать субъекта персональных данных или его представителя.
2. Цели сбора ПД
2.1. Обработка ПД в Обществе ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПД, несовместимая с целями сбора ПД.
2.2. Объем, характер обрабатываемых ПД, способы обработки ПД в Обществе соответствуют заявленным целям обработки ПД.
2.3. Цели обработки ПД в Обществе определяются на основании, анализа правовых актов, регламентирующих деятельность Общества, целей фактически осуществляемой Обществом деятельности, а также деятельности, которая предусмотрена учредительными документами Общества.
2.4. Обработка ПД в Обществе осуществляется в целях:
− оказания клиентам Обществом комплекса услуг
− осуществления финансово-хозяйственной деятельности Общества, рекламы
услуг Общества,
− соблюдения требований иных нормативных правовых актов Российской
Федерации
3. Правовые основания обработки ПД
3.1. ПД в Обществе обрабатываются на основании:
− Федеральных законов, а также Трудового кодекса РФ; Гражданского кодекса РФ, Налогового кодекса РФ, и иных нормативных правовых актов государственных органов, Общества России, органов местного самоуправления, принятых на основании и во исполнение федеральных законов;
− настоящей Политики, иных внутренних документов Общества, разработанных
в развитие и дополнение настоящей Политики.
− Устава Общества;
− Договоров, заключаемых между Обществом и субъектами ПД.
− Согласия на обработку персональных данных (в случаях, прямо не
предусмотренных законодательством Российской Федерации, но
соответствующих полномочиям Общества).
4. Объем и категории, обрабатываемых ПД, категории субъектов ПД.
4.1. Содержание и объем обрабатываемых ПД должны соответствовать заявленным целям обработки. Обрабатываемые ПД не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. В Обществе обрабатываются ПД, принадлежащие следующим категориям
субъектов ПД: клиентам/контрагентам Общества (представителям клиентов/контрагентов Общества), работникам Общества.
4.3. В Обществе обрабатываются следующие категории ПД: фамилия, имя, отчество; год рождения; дата и место рождения; адрес; образование.
4.4. Другие категории ПД: ИНН, СНИЛС, гражданство, данные документов,
удостоверяющих личность, данные миграционных карт, номера телефонов, факсов,
адреса электронной почты, должность, место работы, адрес места работы, сведения о наличии (отсутствии) судимости субъектов персональных данных для случаев, прямо предусмотренных федеральными законами, данные о воинской обязанности и иные категории в соответствии с требованиями действующего законодательства.
4.5. Производится обработка биометрических ПД:
− фотографических изображений,
5.Порядок и условия обработки ПД.
5.1. Обработка ПД в Обществе осуществляется следующими способами: сбор;запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
5.2. В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки ПД указываются условия передачи ПД в адрес третьих лиц (например, наличие договора поручения на обработку ПД. Поручение содержит цели осуществляемой передачи, объем передаваемых ПД, перечень действий по их обработке, способы и иные условия обработки, включая требования к защитеобрабатываемых ПД.)
5.3. Трансграничная передача ПД осуществляется в соответствии с условиями предоставления услуг и соблюдением требований законодательства.
5.4. ПД являются конфиденциальной информацией, Обществом строго соблюдаются требования конфиденциальности ПД, установленные ст. 7 Федерального закона «О персональных данных».
5.5. Общество вправе поручить обработку ПД другому лицу с согласия субъекта ПД, если иное не предусмотрено Федеральным законом, на основании заключаемого с этим лицом договора, (далее поручение оператора). Лицо, осуществляющее обработку ПД по поручению Общества, обязано соблюдать принципы и правила обработки ПД, предусмотренные законодательством.
5.6. В Обществе применяются следующие меры по обеспечению безопасности ПД:
1) технические меры:
− средства защиты от несанкционированного доступа (как встроенные в прикладное и системное программное обеспечение, так и дополнительные средства);
− антивирусное программное обеспечение;
− средства разграничения доступа к информационным ресурсам;
− межсетевые экраны;
− система обнаружения вторжений;
− средства обнаружения уязвимостей;
− система контроля почтового и вебтрафика.
2) организационные меры:
− определение уровней защищенности ПД при их обработке в ИСПД;
− определение угроз безопасности ПД при их обработке в ИСПД;
− назначение ответственных за обеспечение безопасности ПД и ответственного за организацию обработки ПД;
− учет лиц, допущенных к обработке ПД;
− получение согласия субъекта ПД на обработку его ПД, а также передачу ПД третьим лицам;
− утверждение внутренних документов, регламентирующих порядок получения и обработки ПД субъектов ПД;
− возложение на контрагентов обязанности соблюдения конфиденциальности и безопасности при обработке передаваемых им ПД;
− возложение на работников Общества, имеющих доступ к ПД, ответственности за соблюдение требований законодательства РФ и внутренних документов Общества в части, касающейся неразглашения конфиденциальной информации третьим лицам;
− внутренний контроль и аудит соответствия обработки ПД
требованиям N152ФЗ и других нормативноправовых актов;
− публикация политики в отношении обработки и защиты ПД на сайте Общества.
5.7. Условием прекращения обработки ПД является достижение целей обработки ПД, истечение срока действия согласия или отзыв согласия субъекта ПД на обработку его ПД, а также выявление неправомерной обработки ПД.
5.8. Хранение ПД осуществляется в форме, позволяющей определить субъекта ПД не дольше, чем этого требуют цели обработки ПД, за исключением случаев, когда
срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПД.
5.9. Обработка ПД осуществляется Обществом с использованием баз данных находящихся на территории Российской федерации, в соответствие с требованиями ч.5 ст. 18 № 152ФЗ.
5.10. При обработке документов на бумажном носителе, содержащих сведения о субъектах ПД Обществом соблюдаются требования, установленные Постановлением Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
5.11. Обществом соблюдаются условия хранения ПД, в том числе, при обработке ПД без использования средств автоматизации, а именно, определены места хранения, обеспечены условия, обеспечивающие сохранность ПД и исключающие несанкционированный к ним доступ.
6.Актуализация, исправление, удаление и уничтожение персональных данных,
ответы на запросы субъектов на доступ к персональным данным.
6.1. В случае подтверждения факта неточности ПД или неправомерности их обработки, ПД подлежат их актуализации Обществом, а обработка должна быть прекращена.
6.2. При достижении целей обработки ПД, а также в случае отзыва субъектом ПД согласия на их обработку ПД подлежат уничтожению, если иное не предусмотрено иным соглашением между Обществом и субъектом ПД.
6.3. Общество обязан предоставить субъекту ПД или его представителю
информацию об осуществляемой им обработке ПД такого субъекта по запросу. Запрос субъекта ПД должен содержать следующую информацию: серию, номер документа, удостоверяющего личность субъекта ПД, сведения о дате выдачи указанного документа и выдавшем его органе; сведения, подтверждающие участие субъекта ПД в отношениях с Обществом (номер договора, дата заключения договора, и/или иные сведения), либо сведения, иным образом подтверждающие факт обработки ПД Обществом; подпись субъекта ПД.