//виджет Facebook Политика конфиденциальности ООО «Екассир – Банковские системы»

Политика конфиденциальности ООО “Екассир – банковские системы”

 

  1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Общество с ограниченной ответственностью ООО «Екассир – Банковские системы» (далее – Общество) при осуществлении своей деятельности уделяет приоритетное внимание обеспечению информационной безопасности, включая, но не ограничиваясь, защите информации, являющейся персональными данными Субъектов персональных данных. В частности, в Обществе принят комплекс правовых, организационных и технических мер, направленных на защиту информации о клиентах, контрагентов, работников и иных Субъектов персональных данных.

1.2. Настоящая Политика об обработке персональных данных (далее – Политика) принята с целью определения принципов, целей, правовых оснований, порядка и условий обработки персональных данных, об объеме и категории обрабатываемых персональных данных, а также для определения реализуемых Обществом требований к их защите.

1.3. Общество, его должностные лица, а также работники Общества несут ответственность, предусмотренную действующим законодательством, за несоблюдение требований к защите, обработке персональных данных, а также за разглашение или незаконное использование персональных данных физических лиц.

1.4. Положение разработано на основе норм и требований действующего законодательства Российской Федерации, нормативно-правовых актов и рекомендаций в области персональных данных, в том числе на основе:

– Конституции Российской Федерации;

– Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»;

– Федерального закона от 06.04.2011 №63-ФЗ «Об электронной подписи»;

– Федеральный закон от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации»;

– Постановления Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

– Приказ Росархива от 20.12.2019 №236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;

– Приказ Роскомнадзора от 05.09.2013 №996 «Об утверждении требований и методов по обезличиванию персональных данных»;

– Приказ Роскомнадзора от 15.03.2013 №274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных»;

– Приказ

  1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

2.2. Близкие родственники – родственники по прямой восходящей или нисходящей линии (родители и дети, дедушки / бабушки и внуки), полнородные и не полнородные (имеющие общих отца или мать) братья и сестры, супруг ил супруга, а также приравненные к ним лица в силу закона.

2.3. Блокировка персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.4. Доступ к информации – возможность получения информации и ее использование;

2.5. Информация – сведения (сообщения, данные) независимо от формы их представления;

2.6. Конфиденциальность персональных данных – режим ограниченного доступа к сведениям, являющимися персональными данными, предусматривающий требование о запрете раскрытия соответствующих сведений третьим лицам, и требование о недопущении распространения персональных данных без согласия Субъекта персональных данных, за исключением случаев, когда раскрытие персональных данных без согласия Субъекта персональных данных допускается положениями законодательства.

2.7. Материальный носитель персональных данных – объект, содержащий персональные данные (флэш-карта, диск, дискета, бумажный носитель, SD-карта, жесткий диск и т.п.

2.8. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

2.9. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.10. Оператор персональных данных – Общество с ограниченной ответственностью «Екассир – Банковские системы», организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

2.11. Общедоступные персональные данные – персональные данные, сделанные субъектом персональных данных или по его просьбе известными, доступными неограниченному кругу лиц;

2.12. Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2.13. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.14. Представитель – физическое лицо, являющее представителем, действующим от имени другого физического или юридического лица, полномочия которого основаны на доверенности, договоре, законе либо акте уполномоченного на то, государственного органа или органа местного самоуправления.

2.15. Распространение – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

2.16. Сайт Общества – официальный сайт Общества с ограниченной ответственностью «Екассир – Банковские системы», размещенный по адресу: https://ekassir.com/;

2.17. Сведения о посетителях сайта (Пользовательские данные) – перечень данный пользователей сайта Общества, собираемых с помощью аналитических интернет-сервисов с целью анализа их поведения на сайте, а также для анализа эффективности используемых в сети «Интернет» рекламных материалов Общества и продвижения в сети «Интернет» сайта Общества.

2.18. Страна, обеспечивающая адекватную защиту персональных данных – иностранное государство, являющееся стороной Конвенции Совета Европы о защите физических лиц при автоматическое обработке персональных данных, а также государства, которые не являются стороной указанной Конвенции, но обеспечивающие адекватную защиту прав Субъектов персональных данных в соответствии с местным законодательством. Перечень государств не являющихся участниками указанной Конвенции, но обеспечивающих адекватную защиту прав субъектов персональных данных утверждается Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций(далее – Роскомнадзор), зарегистрированным в Министерстве Юстиции Российской Федерации.

2.19. Субъект персональных данных –   физическое лицо, которое прямо или косвенно определенное и (или) определяемое через информацию, составляющую персональные данные;

2.20. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

2.21. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

 

  1. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. 3.1. Обработка персональных данных осуществляется на основании следующих принципов:

– законности и справедливости оснований для обработки персональных данных, законности целей и способов обработки персональных данных;

– соответствия целей обработки персональных данных целям, конкретизированным и заранее определенным, заявленным при сборе персональных данных;

– соответствие содержания и объема обрабатываемых персональных данных, способов обработки персональных данных заявленным целям обработки персональных данных. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

– обеспечение точности, достоверности, достаточности, а в необходимых случаях, актуальности персональных данных по отношению к заявленным целям их обработки;

– недопустимость объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.3. Общество не осуществляет принятие решений на основании исключительно автоматизированной обработки персональных данных, порождающих юридические последствия в отношении Субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, когда получено согласие Субъекта персональных данных в письменной форме, или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов Субъекта персональных данных.

 

  1. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка персональных данных осуществляется Обществом в следующих целях:

– ведение переговоров по вопросам заключения сделок;

– заключение, исполнение, расторжение сделок;

– предоставление отчетности государственным надзорным органам в соответствии с положениями действующего законодательства;

– проведение акций, рекламный кампаний, мероприятий, опросов, исследований;

– предоставление Субъекту персональных данных информации об оказываемых услугах, продукта Общества, о разработке Обществом новых продуктов, об услугах партнеров Общества, информирование о предложениях по продукту и услугам Общества, об оценке качества продуктов Общества и качества выполняемых Обществом работ / оказываемых услуг, информирование о мероприятиях (по которым имеется предварительное согласие на их получение);

– обработка обращений, запросов Субъектов персональных данных;

– рассмотрение, обработка заявлений, претензий, обращений Субъектов персональных данных и направление ответов на них по вопросам сотрудничества, качества продуктов Общества, качества выполняемых работ / оказываемых услуг, качества каналов продаж;

– обеспечение пропускного режима на объекты Общества;

– прием на стажировку студентов и выпускников учебных заведений для прохождения ознакомительной, учебной, производственной или преддипломной практики, а также для ознакомления с работой Общества и дальнейшее рассмотрение практиканта в качестве кандидата на открытые вакансии;

– рассмотрение возможности заключения, заключение и исполнение трудового договора, гражданско-правового договора с Субъектом персональных данных;

– передача Обществом персональных данных или поручения их обработки третьим лицам в соответствии с положениями действующего законодательства;

– осуществление функций, задач, полномочий, исполнение обязанностей, возложенных на Общество действующим законодательством;

– осуществление мероприятий по проверке контрагентов Общества до заключения договора, проверка наличия / отсутствия сведений о банкротстве в Едином федеральном реестре сведений о банкротстве;

– осуществление телефонной связи, связи с использованием электронной почты и иных электронных каналов связи по вопросам заключения, исполнения, расторжения сделок;

– взыскание задолженности по договорам;

– получение и обработка сведений, содержащихся на индивидуальном лицевом счете в Пенсионном фонде;

– исполнение поручения третьего лица на обработку персональных данных в соответствии с требованиями действующего законодательства;

– для достижения целей, предусмотренных международными договорами, участником которых является Российская Федерация, или законодательством, и для выполнения функций и обязанностей, возложенных на Общество законодательством.

4.2.  Общество самостоятельно, а также с помощью интернет-сервисов осуществляет обработку Пользовательских данных для целей анализа поведения посетителей сайта Общества, а также для анализа эффективности средств рекламы, оптимизации и продвижения ресурсов в сети «Интернет»; отслеживание состояния сеанса посетителя сайта; сохранение пользовательских предпочтений (язык, настройки интерфейса сайта Общества) и для улучшения работы и удобства использования сайта Общества; совершенствование продуктов и услуг Общества; для обеспечения безопасности посетителей сайта во время его использования в авторизованном режиме; для поддержки процессов взаимодействия с посетителем сайта Общества, предоставления целевой информации по продуктам и услугам Общества на основе рекламных предпочтений. Посетители сайта заранее уведомляются о такой обработке Пользовательских данных, и в случае несогласия, могут покинуть сайт Общества. В этом случае их данные не обрабатываются. Условий сбора и сроки обработки Пользовательских данных, определение цели их использования, перечня действий над ними и прав посетителей сайта Общества регламентируется Положением об использовании пользовательских данных, утвержденном в Общества и размещенном на сайте Общества (https://ekassir.com/).

  1. ОБЪЕМ И КАТЕГОРИЯ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. При определении состава обрабатываемых персональных данных Общество руководствуется минимально необходимым перечнем персональных данных для достижения целей обработки персональных данных.

5.2. При обработке персональных данных не допускается сбор избыточных персональных данных по отношению к заявленным целям обработки персональных данных.

5.3. В состав обрабатываемых персональных данных могут входить следующие сведения:

– фамилия, имя, отчество;

– пол;

– дата рождения (число, месяц и год);

– место и страна рождения;

– гражданство;

– статус (резидент / нерезидент);

– семейное положение;

– адрес проживания (адрес и дата постоянной / временной регистрации; адрес фактического проживания);

– образование, должность, место работы, доходы, сведения о трудовой деятельности, данные документов, удостоверяющих личность, и иных документов выданных Субъекту персональных данных;

– сведения об ИНН, СНИЛС;

– реквизиты банковских счетов Субъекта персональных данных;

– контактные данные (адрес электронной почты, номер телефона, почтовый адрес);

– сведения, содержащиеся в документах, подтверждающих право на льготы в соответствии с действующим законодательством;

– фото и видеоизображения;

– сведения, содержащиеся в актах гражданского состояния;

– сведения, содержащиеся в свидетельстве о рождении детей;

– данные разрешения на работу или патент;

– сведения о посетителях сайта, файлы cookie;

–  IP – адрес, используемый устройствами Пользователя в сети Интернет для взаимодействия с сайтом Общества, включая адрес в сети Интернет, используемый техническим устройством Пользователя, а также время данного взаимодействия, наименование интернет-провайдера Пользователя, поисковые запросы Пользователя, географический адрес точки подключения Пользователя к сети «Интернет», наименование страны Пользователя, сведения об объеме потребляемого сетевого трафика;

– параметры технического устройства доступа к сервисам Обществам;

– другая информация Пользователя технического характера – идентификатор Пользователя, поисковые запросы Пользователя на сайте Общества, количество просмотренных страниц, длительность пребывания на сайте Общества, области экрана, наиболее часто используемые Пользователем для перехода или выбора; информация о посещении других сайтов; токен, время каждой проверки токена в привязке к системам. Идентификатор систем, посещаемых Пользователем; источник рекламного трафика, идентификатор сессии, псевдоним Пользователя; иная информация, не позволяющая однозначно идентифицировать Пользователя для предоставления Пользователю рекламной информации и другая аналитическая пользовательская информация;

– информация о местонахождения Субъекта персональных данных, передаваемых сервисом геолокации;

– иные сведения о Субъекте персональных данных в зависимости от продукта Общества и выполняемых Обществом работ / оказываемых услуг.

5.4. Цели обработки, действия и обработка персональных данный работников Общества регламентируется Положением об обработке и защите персональных данных работников, утвержденном в Обществе.

5.5. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, когда получено согласие Субъекта персональных данных в письменной форме, а также в иных случаях, предусмотренных законом.

5.6. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав Субъектов персональных данных (или при невозможности оценить адекватность защиты прав Субъектов персональных данных), может осуществляться Обществом исключительно в случаях исполнения договора, стороной которого является Субъект персональных данных, либо при наличии согласия Субъекта персональных данных в письменной форме на трансграничную передачу его персональных данных, либо в иных случаях, предусмотренных законодательством.

 

  1. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Обработка персональных данных осуществляется с использованием средств автоматизации и без использования таких средств путем cледующих действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

6.2. Обработка персональных данных осуществляется в соответствии с целями, заранее определёнными и заявленными при сборе персональных данных, а также полномочиями Общества, определенными действующим законодательством и положениями договоров, заключенных между Обществом и клиентами (контрагентами) Общества.

6.3. Обработка персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

6.4. Обработка персональных данных без использования средств автоматизации осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей), а также установить перечень лиц, осуществляющих обработку персональных данных или имеющих доступ к ним.

6.5. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (сотрудники Оператора персональных данных или лица, осуществляющие обработку персональных данных по договору с Оператором персональных данных) проинформированы о категории персональных данных, о факте обработки персональных данных, обработка которых осуществляется без использования средств автоматизации, об особенностях и правилах осуществления соответствующей обработки персональных данных, установленных положениями нормативно-правовых актов федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

6.6. Срок хранения персональных данных предусматривается в согласии Субъекта персональных данных, условиями договора, заключенного с Субъектом персональных данных, но не может превышать срока необходимости соответствующей обработки персональных данных.

6.7. Получение и обработка персональных данных осуществляется с письменного согласия Субъекта персональных данных, за исключением случаев, предусмотренных положениями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», когда обработка персональных данных возможна без согласия Субъекта персональных данных.

6.8. Согласие на обработку персональных данных может быть дано Субъектом персональных данных или его представителем в любой форме, позволяющей подтвердить факт его получения, если иное не установлено положениями законодательства.

6.9. Равнозначным письменному согласию Субъекта персональных данных на бумажном носителе, подписанному собственноручной подписью Субъекта персональных данных, признается согласие в форме электронного документа, подписанного электронной подписью Субъекта персональных данных в соответствии с требованиями законодательства Российской Федерации об электронной подписи.

6.10. Согласие на обработку персональных данных может быть предоставлено Субъектом персональных данных в том числе посредством совершения следующих конклюдентных действий, если иное не установлено требованиями федерального законодательства:

– при прохождении процедуры  на сайте Общества или заполнения заявки на продукты/услуги Общества на сайте Общества и проставление в соответствующей отметки (подтверждения) о согласии на обработку персональных данных в объеме, для целей и в порядке, предусмотренных в тексте, предлагаемом для ознакомления перед регистрацией или перед заполнением заявки на продукт/услуги Общества. Согласие считается предоставленным с момента регистрации на сайте Общества или с момента направления заявки на продукт/услугу Общества при условии подтверждения (проставления отметки о согласии) Субъектом персональных данных, и действует до момента направления Субъектом персональных данных Оператору персональных данных отзыва согласия на обработку персональных данных.

6.11. В случаях, когда действующее законодательство предусматривает обязанность по предоставлению персональных данных Субъектом персональных данных, Оператор персональных данных в рамках совей обязанности разъясняет Субъекту персональных данных юридические последствия отказа Субъекта персональных данных от предоставления персональных данных.

6.12. Общество вправе обрабатывать персональные данные без согласия Субъекта персональных данных в случаях, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных».

6.13. Создание фото- и видеоизображений в помещениях Общества и на прилегающих территориях может производиться Обществом с целью соблюдения законности и правопорядка, предотвращения противоправных действий, экстремистских проявлений и террористических актов и для последующей передаче в правоохранительные органы в случае необходимости. Указанные фото- и видеоизображения не используются с целью идентификации Субъектов персональных данных и не рассматриваются в качестве биометрических персональных данных.

6.14. Персональные данные Субъекта персональных данных могут быть получены и не от Субъекта персональных данных при условии предоставления Обществу подтверждения наличия согласия Субъекта персональных данных на обработку его персональных данных или наличия оснований, указанных в подпунктах 2 -11 части 1 статьи 6, части 2 статьи 11 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

6.15. Если персональные данные получены не от Субъекта персональных данных, а от третьих лиц, Общество как Оператор персональных данных, за исключением случаев, предусмотренных частью 4 статьи 18 Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», до начала обработки персональных данных предоставляет Субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных;

5) источник получения персональных данных.

6.16. Право доступа к персональным данным Субъектов персональных данных на бумажных и (или) электронных носителях имеют работники Общества в соответствии с их должностными обязанностями.

6.17. Передача персональных данных Субъектов персональных данных третьим лицам осуществляется в соответствии с требованиями законодательства Российской Федерации.

6.18. Общество вправе поручить обработку персональных данных третьему лицу с согласия Субъекта персональных данных на основании заключаемого с третьим лицом договора, если иное не установлено положениями законодательства Российской Федерации.

 

  1. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Хранение персональных данных в Обществе осуществляется по форме, позволяющей определить Субъекта персональных данных, не дольше, чем это требуется целями обработки персональных данных, если срок хранения персональных данных не установлен федеральными законами, договорами, стороной которого, выгодоприобретателем или поручителем / залогодателем по которому является Субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

7.2. При определении сроков хранения персональных данных Общество исходит из требований, предусмотренных гражданским законодательством, законодательством о бухгалтерском учете, налогового законодательства, трудового законодательства и иных законов и нормативно-правовых актов.

7.3. Если в согласии Субъекта персональных данных на обработку персональных данных указаны более длительные сроки хранения, чем сроки, установленные законодательством Российской Федерации, хранение персональных данных осуществляется в сроки, предусмотренные непосредственно согласием Субъекта персональных данных.

7.4. В случае решения Субъекта персональных данных об отзыве согласия на обработку его персональных данных, Оператору направляется соответствующее заявление, содержащее персональные данные Субъекта персональных данных, данные документа удостоверяющего личность и подпись Субъекта. В случае если Субъект персональных данных в отзыве своего Согласия на обработку персональных данных не указал в отзыве конкретные виды персональных данных и целей, для которых осуществляется отзыв Согласия, Оператор считает, что согласие отозвано для всех видов персональных данных и целей.

7.5. Персональные данные, неиспользуемые в деятельности Общества, и цель обработки которых не достигнута, могут быть переведены на архивное хранение с соблюдением всех необходимых требований, предусмотренных Федеральным законом от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации», Приказ Росархива от 20.12.2019 №236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения» и иными нормативными актами в сфере организации хранения, комплектования, учета и использования архивных документов. Обязательным условием архивирования персональных данных является обеспечение их конфиденциальности и безопасности.

7.6. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных Субъектов персональных данных с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

7.7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных Оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения Оператора персональных данных, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему Субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных».;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» или другими федеральными законами.

7.8. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.9. Порядок направления Субъектом персональных данных (его представителем) запросов на предоставление сведений определен требованиями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». В частности, запрос на получение информации в должен содержать:

– серию, номер основного документа, удостоверяющего личность Субъекта персональных данных (его представителя), сведения о дате выдачи указанного документа и выдавшем его органе;

– сведения, подтверждающие участие Субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и/или иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом;

– подпись Субъекта персональных данных (его представителя).

7.10. Запрос может быть направлен в форме электронного документа, подписанного электронной подписью Субъекта персональных данных в соответствии с действующим законодательством Российской Федерации.

7.11. Субъекты персональных данных несут ответственность за предоставление Обществу достоверных сведений, а также за своевременное обновление предоставленных данных в случае каких-либо изменений.

7.12. Общество обязано сообщить Субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему Субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении Субъекта персональных данных или его представителя либо уничтожить персональные данные в течение 30 (тридцати) календарных дней с даты получения запроса Субъекта персональных данных или его представителя при условии, что запрос оформлен в соответствии с требованиями пункта 7.9  настоящей Политики.

7.13. Общество вправе отказать Субъекту персональных данных в выполнении запроса, не соответствующего условиям, указанным в пункте 7.9 настоящий Политики, а также в случаях, когда такой отказ допускается положениями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Обществе как на операторе персональных данных.

7.14. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию в следующих случаях, если иное не предусмотрено соглашением между Обществом и Субъектом персональных данных, договором, выгодоприобретателем или поручителем по которому является Субъект персональных данных, или федеральным законом:

– по достижении целей обработки;

– в случае утраты необходимости в достижении целей обработки, если иное не предусмотрено федеральным законом;

– истечение срока действия согласия или отзыв согласия Субъектом персональных данных;

– выявление неправомерной обработки персональных данных.

7.15. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 – 5 статьи 21 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора персональных данных) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

 

  1. РЕАЛИЗУЕМЫЕ ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. В Договорах, заключенных между Обществом и контрагентами, предусматривается обязательство сторон о соблюдении требований конфиденциальности персональных данных, установленных статьей 7 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», а также информация о принятии сторонами мер, предусмотренных частью 2 статьи 18.1, частью 1 статьи 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

8.2. Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8.3. Меры по обеспечению безопасности персональных данных при их обработке, применяемые Обществом, планируются и реализуются в целях обеспечения соответствия требованиям Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

8.4. Общество самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения требований законодательства Российской Федерации. В частности, Общество приняло следующие меры:

– назначен ответственный за организацию обработки персональных данных в Обществе;

– назначены должностные лица Общества, ответственные за выполнение подразделениями локальных нормативных документов Общества по вопросам обработки персональных данных;

– разработаны и внедрены локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений установленных процедур по обработке персональных данных и устранение последствий таких нарушений;

– применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных;

– осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике и иным локальным актам Общества в отношении обработки персональных данных;

– работники Общества, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Общества в отношении обработки персональных данных, локальными актами Общества по вопросам обработки персональных данных Общества.

8.5. В случае передачи документов, содержащих персональные данные, по электронной почте Субъект персональных данных может зашифровать их, используя один из возможных способов защиты, согласуемые с Оператором персональных данных. Отказ Субъекта персональных данных использовать средства защиты персональных данных снимает ответственность с Оператора персональных данных за обеспечение конфиденциальности в процессе их передачи от Субъекта персональных данных к Оператору персональных данных.

8.6. В дополнение к требованиям Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» в Обществе осуществляется комплекс мероприятий, направленных на защиту информации о своих клиентах, работниках и контрагентах. Общество руководствуется требованиями и рекомендациями действующего законодательства Российской Федерации, а также российскими и международными практиками в сфере защиты персональных данных.