ПОЛИТИКА обработки и защиты персональных данных ООО «Сбербанк Факторинг»
1. Общие положения
1.1. Настоящая Политика обработки и защиты персональных данных ООО «Сбербанк Факторинг» (далее – Политика) определяет основные принципы обработки, обеспечения защиты и конфиденциальности персональных данных в ООО «Сбербанк факторинг» (далее – Общество).
1.2. Настоящая Политика разработана в соответствии с законодательством Российской Федерации о персональных данных и нормативно-методическими документами исполнительных органов государственной власти по вопросам безопасности персональных данных при их обработке в информационных системах персональных данных.
1.3. Основными нормативно-правовыми и методическими документами при разработке настоящей Политики являлись:
-
Конституция Российской Федерации;
-
Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ с учетом изменений и дополнений;
-
Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – 152-ФЗ), устанавливающий основные принципы и условия обработки персональных данных, права, обязанности и ответственность участников отношений, связанных с обработкой персональных данных.
1.5. Настоящая Политика направлена на обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Политика также устанавливает ответственность должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.6. Настоящая Политика действует в отношении любой информации, содержащей персональные данные сотрудника и/или клиента Общества, информации о персональных данных, которую Общество может получить при организации и/или осуществлении факторингового обслуживания, а также при заключении иных договоров, в том числе договоров, связанных с трудовыми отношениями.
1.7. Правовыми основаниями обработки персональных данных являются:
Конституция Российской Федерации;
- «Гражданский кодекс Российской Федерации (часть первая)» от 30.11.1994 № 51-ФЗ;
- «Гражданский кодекс Российской Федерации (часть вторая)» от 26.01.1996 № 14-ФЗ;
- «Трудовой кодекс Российской Федерации» от 30.12.2001 № 197-ФЗ;
- «Налоговый кодекс Российской Федерации (часть первая)» от 31.07.1998 № 146-ФЗ;
- «Налоговый кодекс Российской Федерации (часть вторая)» от 05.08.2000 № 117-ФЗ;
- Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
- Федеральный закон от 26.02.1997 № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации»;
- Федеральный закон от 31.05.1996 № 61-ФЗ «Об обороне»;
- Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
- Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
- Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
- Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
- Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- постановление Правительства Российской Федерации от 27.11.2006 № 719 «Об утверждении Положения о воинском учете»;
- Устав Общества;
- Трудовые договоры;
- Согласия на обработку персональных данных;
- Договоры гражданско-правового характера.
1.8. Поскольку к настоящей Политике в соответствии с ч. 2 ст. 18.1 152-ФЗ необходимо обеспечить неограниченный доступ, в ней не публикуется детальная информация о принятых Обществом мерах по защите персональных данных, а также иная информация, использование которой неограниченным кругом лиц может нанести ущерб Обществу или субъектам персональных данных.
2.Состав персональных данных, обрабатываемых в Обществе
2.1. Перечень персональных данных, подлежащих обработке и защите в Обществе, формируется в соответствии с 152-ФЗ. Персональные данные относятся к конфиденциальной информации, то есть документированной информации, доступ к которой ограничен.
2.2. Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.3. В зависимости от субъекта персональных данных, Общество обрабатывает персональные данные следующих категорий и в указанном объеме:
Категория субъектов ПДн |
Категория обрабатываемых ПДн. |
Объем обрабатываемых ПДн |
Соискатели (кандидаты) на вакантную должность |
Иные персональные данные |
Менее 100 000 субъектов ПДн |
Близкие родственники соискателей (кандидатов) на вакантную должность |
Иные персональные данные |
Менее 100 000 субъектов ПДн |
Работники Общества |
Иные персональные данные |
Менее 100 000 субъектов ПДн |
Бывшие работники Общества |
Иные персональные данные |
Менее 100 000 субъектов ПДн |
Близкие родственники работников Общества |
Иные персональные данные |
Менее 100 000 субъектов ПДн |
Посетители внешнего сайта Общества |
Иные персональные данные |
Менее 100 000 субъектов ПДн |
Заявители обращений (потенциальные клиенты Общества или их представители) |
Иные персональные данные |
Менее 100 000 субъектов ПДн |
Клиенты Общества, их представители |
Иные персональные данные |
Менее 100 000 субъектов ПДн |
Контрагенты Общества |
Иные персональные данные |
Менее 100 000 субъектов ПДн |
2.4. Общество не осуществляет обработку биометрических персональных данных.
2.5. Перечень субъектов персональных данных, категории и перечень обрабатываемых персональных данных, способы, основания и цели обработки персональных данных приведены в Приложении 1 к настоящей Политике.
3. Цели обработки персональных данных
3.1. Общество осуществляет обработку персональных данных в следующих целях:
-
принятие решения о предоставлении факторингового обслуживания;
-
предоставление факторингового обслуживания;
-
ведение кадрового, бухгалтерского, налогового и управленческого учетов, обеспечение соблюдения законных прав работников и исполнение обязанностей, установленных локальными нормативными актами Общества и Группы компаний публичного акционерного общества «Сбербанк»;
-
исполнение в отношении бывших работников Общества обязанностей, возложенных на Общество Законодательством РФ и установленных ЛНА Общества и Группы компаний ПАО Сбербанк.
-
организация обучения, повышения квалификации, профессиональной подготовки (переподготовки) работников;
-
организация деловых и служебных поездок;
-
ведение воинского учета работников Общества;
-
информационное обеспечение деятельности Общества, в том числе создание справочников и адресных книг;
-
обеспечение пожарной и физической безопасности (сохранность имущества);
-
продвижение бренда и услуг Общества в сети Интернет;
-
подбор персонала (соискателей) на вакантные должности;
-
проверка благонадежности кандидата (соискателя) на замещение вакантной должности и его родственников в рамках Политики по противодействию коррупции;
-
принятие решения о заключении договоров гражданско-правового характера и исполнение обязательств по договорам гражданско-правового характера с физическими и юридическими лицами, индивидуальными предпринимателями и иными лицами в соответствии с действующим законодательством Российской Федерации и по правилам, предусмотренным внутренними документами Общества и корпоративными нормативными документами Группы компаний публичного акционерного общества «Сбербанк»;
-
обеспечение удобства пользователей сайта и повышение качества его функционирования.
3.2. Правовое основание обработки ПДн для каждой цели обработки ПДн приведено в Приложении 1. Правовое основание обработки ПДн выбирается исходя их требований 152-ФЗ и его подзаконных актов.
4. Основные принципы обработки персональных данных
4.1. При обработке персональных данных субъектов персональных данных, допущенные к ним работники Общества обязаны соблюдать установленные настоящей Политикой требования.
4.2. Запрещается получать, обрабатывать и хранить персональные данные субъекта персональных данных о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.
4.3. В случаях обработки персональных данных в статистических или иных исследовательских целях Обществом в обязательном порядке производится их обезличивание.
4.4. Общество осуществляет обработку персональных данных путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (предоставления, доступа, распространения), обезличивания, блокирования, удаления, уничтожения.
4.5. В Обществе используется смешанный способ обработки персональных данных с передачей информации по внутренней локальной сети Общества и с передачей информации по сети Интернет.
4.6. Обработка персональных данных Обществом осуществляется на основе следующих принципов:
-
законности заранее определенных конкретных целей и способов обработки персональных данных;
-
обеспечения надлежащей защиты персональных данных;
-
соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
-
соответствия объема, характера и способов обработки персональных данных целям обработки персональных данных;
-
достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
-
недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
-
хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
-
уничтожения или обезличивания персональных данных в случае утраты необходимости их обработки или достижении поставленных целей, если иное не предусмотрено законодательством Российской Федерации, договором, стороной которого или выгодоприобретателем или поручителем по которому является субъект персональных данных.
4.7. В случае выявления неточных персональных данных, при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных, уполномоченные работники Общества осуществляют блокирование персональных данных, относящихся к этому субъекту.
4.8. В случае подтверждения факта неточности персональных данных, Общество, на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов, производит уточнение персональных данных в течение семи рабочих дней со дня представления таких сведений, после чего блокирование персональных данных снимается.
4.9. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Общество с момента выявления такого инцидента, уведомляет Роскомнадзор:
-
в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также о лице, уполномоченном Обществом на взаимодействие с Роскомнадзором, по вопросам, связанным с выявленным инцидентом;
-
в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также о лицах, действия которых стали причиной выявленного инцидента (при наличии).
4.10. Подробный порядок действий при выявлении инцидента в области обработки персональных данных регламентирован во внутренних нормативных документах Общества.
4.11. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором с субъектом персональным данных и нормативными документами Общества. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.12. По запросу уполномоченного органа по защите прав субъектов персональных данных Общество обязано предоставить необходимую информацию в соответствии с требованиями 152-ФЗ.
4.13. Общество обязано разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку, если в соответствии с федеральным законом предоставление персональных данных и (или) получение Обществом согласия на обработку персональных данных являются обязательными.
4.14. Общество осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.
4.15. При обработке персональных данных используются базы данных Общества, расположенные на территории Российской Федерации.
4.16. В случае отзыва Субъектом согласия на обработку его персональных данных Общество в соответствии с частью 5 статьи 21 152-ФЗ не прекращает обработку персональных данных Субъекта и не уничтожает их в следующих случаях, когда:
-
Общество вправе осуществлять обработку персональных данных без согласия Субъекта на основаниях, предусмотренных федеральными законами;
-
не истекли сроки обработки персональных данных Субъекта, установленные федеральными законами Российской Федерации и иными нормативными актами.
4.17. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных включает в себя следующие тезисы:
-
Обществу запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных следующим пунктом;
-
Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
-
Общество обязано разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
-
Общество обязано рассмотреть возражение, указанное в предыдущем пункте, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
5. Порядок обработки персональных данных
5.1. Порядок получения персональных данных
5.1.1.Все персональные данные работников Общества следует получать у них самих. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено на это письменное согласие. Порядок получения персональных данных у работников регламентируется внутренними нормативными документами Общества.
5.1.2.Персональные данные клиентов (представителей клиентов) Общества обрабатываются исключительно в целях, указанных в разделе 3 настоящей Политики.
5.1.3.Персональные данные клиентов (представителей клиентов) Общества запрашиваются при заключении договоров с Обществом, с уведомлением об этом клиента (представителей клиентов).
5.1.4.Персональные данные могут быть получены от лица, не являющегося субъектом персональных данных, при условии предоставления Обществу подтверждения наличия оснований, позволяющих в соответствии с законодательством, осуществлять обработку персональных данных Обществом без согласия субъекта персональных данных.
5.1.5. Если персональные данные получены не от субъекта персональных данных, в том числе из открытых (общедоступных) источников, Общество до начала обработки таких персональных данных предоставляет субъекту персональных данных следующую информацию:
-
наименование и адрес Общества;
-
цель обработки персональных данных и ее правовое основание;
-
перечень персональных данных;
-
предполагаемые пользователи персональных данных;
-
установленные действующим законодательством Российской Федерации о персональных данных права субъекта персональных данных;
-
источник получения персональных данных.
5.1.6. Общество освобождается от обязанности предоставлять субъекту перечисленные сведения, в случаях, если:
-
субъект персональных данных уведомлен об осуществлении обработки его персональных данных;
-
персональные данные получены Обществом на основании федерального закона или в связи с исполнением договора, стороной которого является субъект персональных данных;
-
персональные данные являются, разрешенными субъектом персональных данных для распространения и их обработка осуществляется с соблюдением запретов и условий, предусмотренных действующим законодательством Российской Федерации о персональных данных;
-
обработка персональных данных осуществляется для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных;
-
предоставление субъекту персональных данных сведений о их обработке, нарушает права и законные интересы третьих лиц.
5.1.7. Согласие на обработку персональных данных клиентов (представителей клиентов) включаются в тексты соответствующих типовых форм документов, определяющих юридические отношения клиентов и Общества.
5.2. Порядок предоставления согласия на обработку персональных данных
5.2.1. Получение и обработка персональных данных субъекта персональных данных осуществляется с его согласия на обработку персональных данных, а также без такового, в случаях, если обработка персональных данных необходима для:
-
исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, в том числе в случае реализации Обществом своего права на уступку прав (требований) по такому договору;
-
заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем;
-
осуществления прав и законных интересов Общества или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
-
иных случаев, предусмотренных законодательством о персональных данных.
5.2.2. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
5.2.3. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
5.2.4. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем либо в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
5.2.5. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных Обществом проверяются полномочия данного представителя на дачу согласия от имени субъекта персональных данных.
5.2.6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
5.2.7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
5.2.8.Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия правовых оснований, позволяющих в соответствии с законодательством осуществлять обработку персональных данных Обществом без согласия субъекта персональных данных, возлагается на Общество.
5.2.9.Согласие субъекта персональных данных в письменной форме на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
5.3. Порядок передачи/поручения обработки персональных данных третьим лицам
5.3.1. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5.3.2. Общество осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.
5.3.3. Передача персональных данных субъекта третьим лицам осуществляется только при наличии согласия субъекта персональных данных, а также в случаях, обозначенных в 152 - ФЗ:
- в целях защиты жизни и здоровья субъекта персональных данных;
- в случае поступления официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскной деятельности» (№ 144-ФЗ от 12.08.1995 г);
- в целях исполнения Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (№ 115-ФЗ от 07.08.2001 г.);
- в иных случаях, предусмотренных федеральным законодательством.
5.3.4. Лица, получившие доступ к персональным данным субъекта, должны быть предупреждены о том, что эти данные могут быть использованы лишь в целях, для которых они переданы. Лица, получившие персональные данные, обязаны соблюдать режим конфиденциальности персональных данных, предусмотренный 152-ФЗ.
5.3.5. При заключении договора Общества с третьим лицом (поручения на обработку), предусматривающего обработку персональных данных, полученных Обществом, в договоре определяются:
-
цель обработки персональных данных;
-
перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки;
-
обязанность лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке;
-
требования к защите обрабатываемых персональных данных в соответствии со статьей 19 152-ФЗ.
5.3.6. В случае получения требований субъекта персональных данных об уточнении или уничтожении персональных данных, Общество принимает меры для уведомления третьих лиц, которым были переданы персональные данные субъекта.
5.3.7. Общество несет ответственность перед субъектом персональных данных за действия третьего лица. В свою очередь, лицо, осуществляющее обработку персональных данных по поручению Общества, несет ответственность за их обработку и защиту перед Обществом.
5.3.8. Общество не осуществляет трансграничную передачу персональных данных. При изменении процедур, порядок и условия осуществления трансграничной передачи персональных данных регламентированы во внутренних нормативных документах Общества.
5.4. Хранение персональных данных
5.4.1. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.
5.4.2. Персональные данные субъектов персональных данных хранятся в подразделениях Общества, которые отвечают за взаимодействие с субъектом, а также в электронном виде в информационных системах персональных данных и иных специализированных информационных системах, целью создания и использования которых не является обработка персональных данных.
5.4.3. Персональные данные, содержащиеся на бумажных носителях, должны храниться в папках в сейфах или в шкафах, обеспечивающих защиту от несанкционированного доступа. Ключи от соответствующих шкафов или сейфов хранятся у руководителя соответствующего подразделения Общества под его личной ответственностью.
5.4.4.Доступ к электронным базам данных, содержащим персональные данные, обеспечивается с использованием средств защиты от несанкционированного доступа и копирования.
5.4.5. Работник Общества, имеющий доступ к персональным данным в связи с исполнением трудовых обязанностей:
-
обеспечивает хранение информации, содержащей персональные данные, исключающее доступ к ним третьих лиц;
-
при уходе в отпуск, в служебную командировку и иных случаях длительного отсутствия работника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные, лицу, на которое приказом или распоряжением будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, документы и иные носители, содержащие персональные данные, передаются другому работнику, имеющему доступ к персональным данным, по указанию руководителя соответствующего структурного подразделения Общества.
5.4.6. При увольнении работника Общества, имеющего доступ к персональным данным, документы и иные носители, содержащие персональные данные, передаются другому работнику, имеющему доступ к персональным данным субъектов по указанию руководителя соответствующего структурного подразделения Общества.
5.4.7. Сроки обработки и хранения персональных данных указаны в Приложении 1 для каждой цели обработки персональных данных. Сроки обработки и хранения персональных данных устанавливаются с учетом соблюдения требований, в том числе условий обработки персональных данных, определенных Законодательством РФ, и/или с учетом положений договора, стороной, выгодоприобретателем или поручителем по которому выступает Субъект персональных данных, и/или согласия Субъекта персональных данных на обработку его персональных данных, при этом обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено Законодательством РФ.
5.5. Порядок уничтожения персональных данных после окончания обработки.
5.5.1. Общество обязано прекратить обработку персональных данных и уничтожить их после достижения цели обработки в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных.
5.5.2. В случае отзыва субъектом персональных данных своего согласия на обработку его персональных данных, Общество обязано прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных или иным соглашением между оператором и субъектом персональных данных.
5.5.3. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо Роскомнадзора, Общество в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных и в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные.
5.5.4. В случае представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Общество в срок, не превышающий семи рабочих дней со дня представления таких сведений, уничтожает такие персональные данные.
5.5.5. В случае отсутствия возможности уничтожения персональных данных либо их обезличивания в течение срока, установленного 152-ФЗ, Общество обеспечивает их блокирование с последующим уничтожением персональных данных. Уничтожение персональных данных производится не позднее шести месяцев со дня их блокирования.
5.5.6. Бумажные носители персональных данных уничтожаются с помощью бумагорезательных машин, гарантирующих невозможность восстановления носителя.
5.5.7. Уничтожение машиночитаемых носителей персональных данных, пришедших в негодность или утративших практическую ценность, должно производиться путем физического разрушения, исключающего возможность их использования, а также восстановления информации. Перед уничтожением электронного носителя информация с него должна быть стерта.
5.5.8. Факт уничтожения персональных данных оформляется Обществом в соответствии с требованиями законодательства Российской Федерации.
6. Права субъекта персональных данных
6.1. Субъект персональных данных имеет право:
-
давать согласие на обработку своих персональных данных в порядке, описанном в разделе 5.2. настоящей Политики;
-
требовать представить перечень своих персональных данных, обрабатываемых Обществом и источник их получения;
-
получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
-
требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
-
требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
-
обжаловать в уполномоченный орган по защите прав субъектов персональных данных или судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
-
на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
6.2. Информация по запросу предоставляется субъекту персональных данных или его представителю Обществом при личном обращении либо при получении письменного запроса субъекта персональных данных или его представителя.
6.3. Информация (отказ в предоставлении информации) предоставляется субъекту персональных данных бесплатно в течение 10 рабочих дней с момента получения запроса, при этом данный срок может быть продлен еще на 5 рабочих дней посредством направления в адрес субъекта персональных данных или его представителя мотивационного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6.4. Информация предоставляется в доступной форме и не содержит персональные данные, относящиеся к другим субъектам персональных данных.
6.5. Повторное обращение в Общество или направление повторного запроса возможно не ранее, чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. До истечения указанного срока повторное обращение возможно в случае, если такая информация и (или) обрабатываемые персональные данные не были предоставлены субъекту персональных данных для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование его направления. Общество вправе мотивированно отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего указанным условиям.
6.6. В случае отказа в предоставлении информации Общество выдает мотивированный ответ в письменной форме с указанием основания для такого отказа.
7. Обеспечение безопасности персональных данных
7.1. Общество принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152 и принятыми в соответствии с ним нормативными правовыми актами.
7.2. Обществом изданы документы, определяющие политику Общества в области обработки персональных данных, локальные акты по вопросам обработки персональных данных, определяющие для каждой цели обработки персональных данных категории, перечень и правовое основание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. В то же время такие документы и локальные акты Общества не содержат положения, ограничивающие права субъектов персональных данных, а также не содержат положения, возлагающие на Общество не предусмотренные законодательством Российской Федерации полномочия и обязанности.
7.3. Общество предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий в том числе:
- обеспечивается учет машинных носителей персональных данных;
- осуществляется оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- проводится периодический контроль работоспособности, защиты информации, регистрация и модификация ресурсов, в которых обрабатываются персональные данные, в том числе информационные системы персональных данных;
- осуществляется обнаружение фактов несанкционированного доступа к персональным данным и своевременное принятие мер по блокировке такого доступа;
- обеспечивается размещение технических средств обработки персональных данных в пределах охраняемой территории;
- организовывается пропускной режим на территорию Общества, внедряются технические средства наблюдения и охраны;
- в случае обработки персональных данных на бумажных носителях, не допускается нахождение документов и/или иных материальных носителей, содержащих персональные данные в открытом виде на рабочих столах сотрудников Общества в нерабочее время, а также их вынос за территорию Общества и несанкционированное копирование.
7.4. В целях координации действий по обеспечению безопасности персональных данных в Обществе назначается ответственный сотрудник или подразделение за соблюдение режима безопасности персональных данных.
7.5. Доступ к персональным данным имеют только те работники Общества, которым эти данные необходимы в связи с исполнением ими трудовых обязанностей.
7.6.Обществом проводится ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
7.7. Работники Общества, имеющие доступ к персональным данным субъектов, имеют право получать только те персональные данные субъекта, которые необходимы им для выполнения их трудовых функций.
7.8. Работники, доступ которых к персональным данным необходим для выполнения работы, допускаются к персональным данным после ознакомления с правилами работы с персональными данными, а также с организационно-распорядительной документацией по защите персональных данных в Обществе.
7.9. При передаче персональных данных субъекта, работники Общества, осуществляющие передачу, предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.
7.10. В информационных системах Общества, обрабатывающих персональные данные, обеспечивается регистрация и учет всех действий, совершаемых с персональными данными.
7.11. Система информационной безопасности Общества непрерывно развивается и совершенствуется на базе требований международных и национальных стандартов информационной безопасности, а также лучших мировых практик.
7.12.Обществом производится оценка вреда субъекту персональных данных в соответствии с требованиями законодательства Российской Федерации.
7.13.Осуществляется внутренний контроль и аудит соответствия обработки персональных данных законодательству Российской Федерации и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Общества в отношении обработки персональных данных, локальным актам Общества.
7.14. Обществом осуществляется оценка эффективности мер по обеспечению безопасности персональных данных, реализованных в рамках системы защиты персональных данных, не реже одного раза в 3 года, указанная оценка проводится самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.
8. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
8.1. Права и обязанности Общества, как оператора персональных данных, определяются законодательством Российской Федерации в области персональных данных.
8.2. Общество несет ответственность за обеспечение конфиденциальности персональных данных, а также соблюдение прав и свобод субъектов персональных данных в соответствии с Кодексом об административных правонарушениях Российской Федерации.
8.3. В случаях нарушения установленного порядка обработки и обеспечения безопасности персональных данных, несанкционированного доступа к ним и нанесения Обществу, клиентам и контрагентам материального или иного ущерба виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную действующим законодательством Российской Федерации ответственность.
9. Заключительные положения
9.1. Настоящая Политика вступает в силу с момента ее утверждения и введения в действие соответствующим органом управления Общества и является общедоступным документом.
9.2. К настоящей Политике обеспечивается неограниченный доступ путем ее размещения на официальном сайте Общества.
9.3. Работники Общества, участвующие в обработке персональных данных, должны быть ознакомлены с настоящей Политикой и иными документами Общества, устанавливающими порядок обработки персональных данных субъектов персональных данных, а также об их правах и обязанностях в этой области.
Приложение 1
Перечень субъектов персональных данных, категории и перечень обрабатываемых персональных данных, способы, основания, цели и сроки обработки персональных данных
№ |
Субъект персональных данных |
Категория персональных данных |
Перечень персональных данных |
Способ обработки персональных данных |
Правовое основание обработки персональных данных |
Цель обработки персональных данных, сроки их обработки и хранения, порядок уничтожения |
1. |
Заявитель обращения (потенциальный клиент Общества или его представитель) |
Иные персональные данные (далее – ПДн) |
- фамилия, имя, отчество (далее – ФИО); - номер контактного телефона; - адрес электронной почты; - наименование организации, работником (представителем) которой является субъект ПДн; - идентификационный номер налогоплательщика (далее – ИНН) организации, работником (представителем) которой является субъект ПДн |
Автоматизированный |
– обработка ПДн необходима для осуществления и выполнения возложенных законодательством Российской Федерации (далее – РФ) на Общество функций, полномочий и обязанностей; – обработка осуществляется на основании согласия субъекта ПДн на обработку его ПДн |
Принятие решения о предоставлении факторингового обслуживания Хранение ПДн осуществляется до: - прекращения деятельности оператора ПДн; - истечения срока обработки ПДн; - достижения цели обработки ПДн; - истечения сроков хранения, определенных в нормативных правовых актах Российской Федерации (далее – РФ) Порядок уничтожения – в соответствии с п.п. 5.5 настоящей Политики |
2. |
Клиенты Общества (физические и юридические лица, с которыми Общество заключает или заключило договоры на оказание факторинговых услуг), их представители |
Иные ПДн |
- ФИО; - сведения об изменениях ФИО; - номер контактного телефона или сведения о других способах связи; - адрес электронной почты; - должность; - наименование организации, работником (представителем) которой является субъект ПДн; - ИНН, код причины постановки на учет (далее - КПП) юридического лица, работником (представителем) которой является субъект ПДн; - место работы; - место рождения; - дата рождения; - пол; - гражданство; - адрес места жительства (адрес регистрации, адрес фактического проживания); - дата регистрации по месту жительства; - реквизиты документа, удостоверяющего личность (вид документа, серия, номер, дата выдачи, наименование выдавшего органа); - сведения об открытых банковских счетах; - структура органов управления юридического лица; - сведения о выгодоприобретателях, акционерах, конечном бенефициаре бизнеса юридического лица; - ИНН физического лица; - основной государственный регистрационный номер; - страховой номер индивидуального лицевого счета (далее – СНИЛС); - семейное положение; - данные миграционной карты; - реквизиты документа, подтверждающего право иностранного гражданина или лица без гражданства на пребывание (проживание) в РФ (вид на жительство, разрешение на временное проживание, виза и пр.); - сведения об образовании; - информация, входящая в состав кредитной истории в соответствии с Федеральным законом № 219-ФЗ от 30.12.2004 «О кредитных историях» (титульная, основная и информационные части); - сведения о доходах; - иная информация, необходимая для предоставления услуг факторингового обслуживания |
Смешанный |
- обработка ПДн необходима для осуществления и выполнения возложенных законодательством РФ на Общество функций, полномочий и обязанностей; – обработка осуществляется на основании согласия субъекта ПДн на обработку его ПДн; – обработка ПДн необходима для заключения договора по инициативе субъекта ПДн, а также для исполнения договора, стороной которого является субъект ПДн |
Предоставление факторингового обслуживания Хранение ПДн осуществляется до: - прекращения деятельности оператора ПДн; - истечения срока обработки ПДн; - достижения цели обработки ПДн; - истечения сроков хранения, определенных в нормативных правовых актах РФ Порядок уничтожения – в соответствии с п.п. 5.5 настоящей Политики |
3. |
Работники Общества |
Иные ПДн |
- ФИО; - номер контактного телефона или сведения о других способах связи; - должность |
Смешанный |
- обработка осуществляется на основании согласия субъекта ПДн на обработку его ПДн |
Предоставление факторингового обслуживания Хранение ПДн осуществляется до: - прекращения деятельности оператора ПДн; - истечения срока обработки ПДн; - достижения цели обработки ПДн; - истечения сроков хранения, определенных в нормативных правовых актах РФ Порядок уничтожения – в соответствии с п.п. 5.5 настоящей Политики |
Иные ПДн |
- ФИО; - место рождения; - дата рождения; - пол; - гражданство; - адрес места жительства (адрес регистрации, адрес фактического проживания); - дата регистрации по месту жительства; - реквизиты документа, удостоверяющего личность (вид документа, серия, номер, дата выдачи, наименование выдавшего органа); - номер контактного телефона или сведения о других способах связи; - адрес электронной почты; - СНИЛС; - ИНН; - реквизиты полиса обязательного медицинского страхования; - реквизиты полиса добровольного медицинского страхования; - семейное положение; - данные заграничного паспорта гражданина РФ; - сведения об образовании, включая: o наименование образовательного, научного учреждения; o наименование и реквизиты документа об образовании; o форма обучения; o год окончания образовательного, научного учреждения; o квалификация по документу об образовании; o направление подготовки или специальность по документу об образовании; o сведения о профессиональной переподготовке; o сведения о дополнительном образовании; o сведения о повышении квалификации; o ученая степень, звание; o научные труды и изобретения; - сведения о знаниях иностранного языка; - характер, вид работы; - тарифная ставка, должностной оклад; - сведения о наградах, медалях, поощрениях, знаках отличия, почетных званиях; - сведения о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания; - сведения в трудовом договоре (дополнительном соглашении); - табельный номер; - сведения из трудовой книжки (вкладыщ и выписка); - сведения о доходах; - сведения о налогах и налоговых вычетах; - сведения о страховых взносах; - сведения о начислении заработной платы и иных выплат; - сведения о взысканиях; - сведения о социальных льготах; - реквизиты банковских счетов; - фотографическое изображение лица (для личной карточки, личного дела работника); - сведения о трудовой деятельности (профессия, трудовой стаж, предыдущие места работы, доходы с предыдущих мест работы); - место работы; - стаж работы; - структурное подразделение |
– обработка ПДн необходима для осуществления и выполнения возложенных законодательством РФ на Общества функций, полномочий и обязанностей; – обработка осуществляется на основании согласия субъекта ПДн на обработку его ПДн; – обработка ПДн необходима для заключения договора по инициативе субъекта ПДн, а также для исполнения договора, стороной которого является субъект ПДн |
Ведение кадрового, бухгалтерского, налогового и управленческого учетов, обеспечение соблюдения законных прав работников и исполнение обязанностей, установленных локальными нормативными актами (далее - ЛНА) Общества и Группы компаний публичного акционерного общества «Сбербанк» (далее - Группа) Хранение ПДн осуществляется до: - прекращения деятельности оператора ПДн; - истечения срока обработки ПДн; - достижения цели обработки ПДн; - истечения сроков хранения, определенных в нормативных правовых актах РФ Порядок уничтожения – в соответствии с п.п. 5.5 настоящей Политики |
|||
Иные ПДн |
- ФИО; - дата рождения; - реквизиты документа, удостоверяющего личность (вид документа, серия, номер, дата выдачи, наименование выдавшего органа); - номер контактного телефона или сведения о других способах связи; - адрес электронной почты; - сведения об образовании, включая: o наименование образовательного, научного учреждения; o наименование и реквизиты документа об образовании; o форма обучения; o год окончания образовательного, научного учреждения; o квалификация по документу об образовании; o направление подготовки или специальность по документу об образовании; o сведения о дополнительном образовании; - сведения о знаниях иностранного языка; - характер, вид работы; - сведения из трудовой книжки (вкладыш и выписка); - место работы; - стаж работы; - структурное подразделение |
- обработка ПДн необходима для осуществления и выполнения возложенных законодательством РФ на Общества функций, полномочий и обязанностей; – обработка осуществляется на основании согласия субъекта ПДн на обработку его ПДн |
Организация обучения, повышения квалификации, профессиональной подготовки (переподготовки) работников Хранение ПДн осуществляется до: - прекращения деятельности оператора ПДн; - истечения срока обработки ПДн; - достижения цели обработки ПДн; - истечения сроков хранения, определенных в нормативных правовых актах РФ Порядок уничтожения – в соответствии с п.п. 5.5 настоящей Политики |
|||
Иные ПДн |
- ФИО; - место рождения; - дата рождения, - пол; - гражданство; - адрес места жительства (адрес регистрации, адрес фактического проживания); - дата регистрации по месту жительства; - реквизиты документа, удостоверяющего личность (вид документа, серия, номер, дата выдачи, наименование выдавшего органа); - номер контактного телефона или сведения о других способах связи; - адрес электронной почты; - данные заграничного паспорта гражданина РФ; - характер, вид работы; - табельный номер; - место работы; - стаж работы; - структурное подразделение; - фотографическое изображение лица (для личной карточки, личного дела работника) |
- обработка ПДн необходима для осуществления и выполнения возложенных законодательством РФ на Общества функций, полномочий и обязанностей; – обработка осуществляется на основании согласия субъекта ПДн на обработку его ПДн |
Организация деловых и служебных поездок |
|||
Иные ПДн |
- ФИО; - место рождения; - дата рождения; - адрес места жительства (адрес регистрации, адрес фактического проживания); - реквизиты документа, удостоверяющего личность (вид документа, серия, номер, дата выдачи, наименование выдавшего органа); - номер контактного телефона или сведения о других способах связи; - сведения о воинском учете и реквизиты документов воинского учета; - степень родства с родственниками работников; - сведения об образовании, включая: o наименование образовательного, научного учреждения; o наименование и реквизиты документа об образовании; o форма обучения; o год окончания образовательного, научного учреждения; o квалификация по документу об образовании; o направление подготовки или специальность по документу об образовании; - сведения о знаниях иностранного языка; - семейное положение; - характер, вид работы; - сведения о трудовой деятельности (профессия, трудовой стаж, предыдущие места работы); - место работы; - сведения о водительском удостоверении (реквизиты удостоверения, категория, дата выдачи) |
- обработка ПДн необходима для осуществления и выполнения возложенных законодательством РФ на Общества функций, полномочий и обязанностей; - обработка осуществляется на основании согласия субъекта ПДн на обработку его ПДн |
Ведение воинского учета работников Общества Хранение ПДн осуществляется до: - прекращения деятельности оператора ПДн; - истечения срока обработки ПДн; - достижения цели обработки ПДн; - истечения сроков хранения, определенных в нормативных правовых актах РФ Порядок уничтожения – в соответствии с п.п. 5.5 настоящей Политики |
|||
Иные ПДн |
- ФИО; - должность; - подразделение; - номер контактного телефона или сведения о других способах связи; - адрес электронной почты; - табельный номер; - фотографическое изображение лица (для личной карточки работника) |
- обработка осуществляется на основании согласия субъекта ПДн на обработку его ПДн |
Информационное обеспечение деятельности Общества, в том числе создание справочников и адресных книг Хранение ПДн осуществляется до: - прекращения деятельности оператора ПДн; - истечения срока обработки ПДн; - достижения цели обработки ПДн; - истечения сроков хранения, определенных в нормативных правовых актах РФ Порядок уничтожения – в соответствии с п.п. 5.5 настоящей Политики |
|||
Иные ПДн |
- ФИО; - должность; - подразделение; - пол |
- обработка ПДн необходима для осуществления и выполнения возложенных законодательством РФ на Общества функций, полномочий и обязанностей; - обработка осуществляется на основании согласия субъекта ПДн на обработку его ПДн |
Обеспечение пожарной и физической безопасности (сохранность имущества) Хранение ПДн осуществляется до: - прекращения деятельности оператора ПДн; - истечения срока обработки ПДн; - достижения цели обработки ПДн; - истечения сроков хранения, определенных в нормативных правовых актах РФ
Порядок уничтожения – в соответствии с п.п. 5.5 настоящей Политики |
|||
Иные ПДн |
- ФИО; - должность; - структурное подразделение; - фотографическое изображение лица (для личной карточки работника) |
- обработка осуществляется на основании согласия субъекта ПДн на распространение его ПДн |
Продвижение бренда и услуг Общества в сети Интернет Хранение ПДн осуществляется до: - прекращения деятельности оператора ПДн; - истечения срока обработки ПДн; - достижения цели обработки ПДн; - истечения сроков хранения, определенных в нормативных правовых актах РФ Порядок уничтожения – в соответствии с п.п. 5.5 настоящей Политики |
|||
4. |
Бывшие работники Общества |
Иные ПДн |
- ФИО; - место рождения; - дата рождения; - пол; - гражданство; - адрес места жительства (адрес регистрации, адрес фактического проживания); - дата регистрации по месту жительства; - реквизиты документа, удостоверяющего личность (вид документа, серия, номер, дата выдачи, наименование выдавшего органа); - номер контактного телефона или сведения о других способах связи; - адрес электронной почты; - СНИЛС; - ИНН; - реквизиты полиса обязательного медицинского страхования; - реквизиты полиса добровольного медицинского страхования; - семейное положение; - данные заграничного паспорта гражданина РФ; - сведения об образовании, включая: o наименование образовательного, научного учреждения; o наименование и реквизиты документа об образовании; o форма обучения; o год окончания образовательного, научного учреждения; o квалификация по документу об образовании; o направление подготовки или специальность по документу об образовании; o сведения о профессиональной переподготовке; o сведения о дополнительном образовании; o сведения о повышении квалификации; o ученая степень, звание; o научные труды и изобретения; - сведения о знаниях иностранного языка; - характер, вид работы; - тарифная ставка, должностной оклад; - сведения о наградах, медалях, поощрениях, знаках отличия, почетных званиях; - сведения о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания; - сведения в трудовом договоре (дополнительном соглашении); - табельный номер; - сведения из трудовой книжки (вкладыщ и выписка); - сведения о доходах; - сведения о налогах и налоговых вычетах; - сведения о страховых взносах; - сведения о начислении заработной платы и иных выплат; - сведения о взысканиях; - сведения о социальных льготах; - реквизиты банковских счетов; - фотографическое изображение лица (для личной карточки, личного дела работника); - сведения о трудовой деятельности (профессия, трудовой стаж, предыдущие места работы, доходы с предыдущих мест работы); - место работы; - стаж работы; - структурное подразделение |
Смешанный |
- обработка ПДн необходима для осуществления и выполнения возложенных законодательством РФ на Общества функций, полномочий и обязанностей; - обработка осуществляется на основании согласия субъекта ПДн на обработку его ПДн |
Исполнение в отношении бывших работников Общества обязанностей, возложенных на Общество Законодательством РФ и установленных ЛНА Общества и Группы компаний ПАО Сбербанк. Хранение ПДн осуществляется до: прекращения деятельности оператора ПДн; истечения срока обработки ПДн; достижения цели обработки ПДн; истечения сроков хранения, определенных в нормативных правовых актах РФ Порядок уничтожения – в соответствии с п.п. 5.5 настоящей Политики |
5. |
Близкие родственники работников Общества |
Иные ПДн |
- ФИО; - дата рождения; - степень родства работнику Общества; - номер контактного телефона или сведения о других способах связи |
Смешанный |
- обработка ПДн необходима для осуществления и выполнения возложенных законодательством РФ на Общества функций, полномочий и обязанностей; - обработка осуществляется на основании согласия субъекта ПДн на обработку его ПДн (гарантия наличия Согласия обеспечивается работником, предоставляющим ПДн) |
Ведение кадрового, бухгалтерского, налогового и управленческого учетов, обеспечение соблюдения законных прав работников и исполнение обязанностей, установленных ЛНА Общества и Группы Хранение ПДн осуществляется до: - прекращения деятельности оператора ПДн; - истечения срока обработки ПДн; - достижения цели обработки ПДн; - истечения сроков хранения, определенных в нормативных правовых актах РФ Порядок уничтожения – в соответствии с п.п. 5.5 настоящей Политики |
Иные ПДн |
- ФИО; - дата рождения; - место работы и должность; - адрес места жительства (адрес регистрации, адрес фактического проживания) |
- обработка осуществляется на основании согласия субъекта ПДн на обработку его ПДн (гарантия наличия Согласия обеспечивается работником, предоставляющим ПДн) |
Проверка благонадежности кандидата (соискателя) на замещение вакантной должности и его родственников в рамках Политики по противодействию коррупции Хранение ПДн осуществляется до: - прекращения деятельности оператора ПДн; - истечения срока обработки ПДн; - достижения цели обработки ПДн; - истечения сроков хранения, определенных в нормативных правовых актах РФ Порядок уничтожения – в соответствии с п.п. 5.5 настоящей Политики |
|||
Иные ПДн |
- ФИО; - степень родства работнику Общества; - дата рождения |
- обработка ПДн необходима для осуществления и выполнения возложенных законодательством РФ на Общества функций, полномочий и обязанностей; - обработка осуществляется на основании согласия субъекта ПДн на обработку его ПДн (гарантия наличия Согласия обеспечивается работником, предоставляющим ПДн) |
Ведение воинского учета работников Общества Хранение ПДн осуществляется до: - прекращения деятельности оператора ПДн; - истечения срока обработки ПДн; - достижения цели обработки ПДн; - истечения сроков хранения, определенных в нормативных правовых актах РФ Порядок уничтожения – в соответствии с п.п. 5.5 настоящей Политики |
|||
6. |
Контрагенты Общества |
Иные ПДн |
- ФИО; - номер контактного телефона или сведения о других способах связи; - адрес электронной почты; - должность; - наименование организации, работником (представителем) которой является субъект ПДн; - место рождения; - дата рождения; - пол; - СНИЛС; - возраст; - гражданство; - реквизиты документа, удостоверяющего личность (вид документа, серия, номер, дата выдачи, наименование выдавшего органа); - сведения об образовании, в том числе о квалификации и квалификационном разряде; - адрес места жительства (адрес регистрации, адрес фактического проживания); - реквизиты банковских счетов; - ИНН физического лица; - ИНН, КПП юридического лица, работником (представителем) которой является субъект ПДн; - основной государственный регистрационный номер; - адрес регистрации юридического лица, индивидуального предпринимателя; - иные ПДн, необходимые для достижения целей и выполнения условий договора ГПХ |
Смешанный |
– обработка ПДн необходима для осуществления и выполнения возложенных законодательством РФ на Общество функций, полномочий и обязанностей; – обработка ПДн необходима для заключения договора по инициативе субъекта ПДн, а также для исполнения договора, стороной которого является субъект ПДн |
Принятие решения о заключении договоров гражданско-правового характера (далее – ГПХ) и исполнение обязательств по договорам ГПХ с физическими и юридическими лицами, индивидуальными предпринимателями и иными лицами в соответствии с действующим законодательством РФ и по правилам, предусмотренным внутренними документами Общества и корпоративными нормативными документами Группы Хранение ПДн осуществляется до: - прекращения деятельности оператора ПДн; - истечения срока обработки ПДн; - достижения цели обработки ПДн; - истечения сроков хранения, определенных в нормативных правовых актах РФ Порядок уничтожения – в соответствии с п.п. 5.5 настоящей Политики |
7. |
Соискатели (кандидаты) на вакантную должность |
Иные ПДн |
- ФИО; - сведения об изменениях ФИО; - ИНН; - дата рождения; - место рождения; - гражданство; - пол; - номер контактного телефона или сведения о других способах связи; - адрес электронной почты; - адрес места жительства (адрес регистрации, адрес фактического проживания); - данные документа, удостоверяющего личность; - данные заграничного паспорта гражданина РФ; - сведения о воинском учете, включая: o сроки прохождения службы; o номер военной части; o должность, звание, род войск; o участие в боевых действиях; - семейное положение; - сведения об образовании, включая: o наименование образовательного, научного учреждения; o наименование и реквизиты документа об образовании; o форма обучения; o год окончания образовательного, научного учреждения; o квалификация по документу об образовании; o направление подготовки или специальность по документу об образовании; o сведения о профессиональной переподготовке; o сведения о дополнительном образовании; o сведения о повышении квалификации; o ученая степень, звание; o научные труды и изобретения; - сведения о предыдущих местах работы, включая: o стаж работы; o сведения о дате приема на работу и увольнения с нее; o наименование работодателя, вид деятельности, место расположения (город); o должность; o обязанности; o ФИО руководителя и его контактные данные; o сведения о причине увольнения; - иная информация, предоставляемая кандидатом в резюме |
Смешанный |
- обработка осуществляется на основании согласия субъекта ПДн на обработку его ПДн; - обработка ПДн необходима для осуществления и выполнения возложенных законодательством РФ на Общества функций, полномочий и обязанностей - обработка ПДн необходима для заключения договора по инициативе субъекта ПДн, а также для исполнения договора, стороной которого является субъект ПДн |
Подбор персонала (соискателей) на вакантные должности Хранение ПДн осуществляется до: - прекращения деятельности оператора ПДн; - истечения срока обработки ПДн; - достижения цели обработки ПДн; - истечения сроков хранения, определенных в нормативных правовых актах РФ Порядок уничтожения – в соответствии с п.п. 5.5 настоящей Политики |
Иные ПДн |
- ФИО; - ИНН; - дата рождения; - номер контактного телефона или сведения о других способах связи; - адрес места жительства (адрес регистрации, адрес фактического проживания); - данные документа, удостоверяющего личность; - сведения об участии в деятельности иных юридических лиц (наличие статуса учредителя (соучредителя), индивидуального предпринимателя, самозанятого, руководителя или члена правления коммерческих организаций), основной государственный регистрационный номер и основной государственный регистрационный номер индивидуального предпринимателя; - сведения о личном автомобиле (модель, государственный регистрационный номер); - сведения о наличии кредитных задолженностях; - сведения о наличии ссуды и кредитов; - сведения о банкротстве; - сведения о дополнительном заработке; - сведения о владении ценными бумагами, акциями |
- обработка осуществляется на основании согласия субъекта ПДн на обработку его ПДн |
Проверка благонадежности кандидата (соискателя) на замещение вакантной должности и его родственников в рамках Политики по противодействию коррупции Хранение ПДн осуществляется до: - прекращения деятельности оператора ПДн; - истечения срока обработки ПДн; - достижения цели обработки ПДн; - истечения сроков хранения, определенных в нормативных правовых актах РФ Порядок уничтожения – в соответствии с п.п. 5.5 настоящей Политики |
|||
8. |
Посетители внешнего сайта Общества |
Иные ПДн |
- данные о поведении и предпочтениях пользователей сайта, получаемых посредством аналитических сервисов; - файлы cookie (в том числе уникальные идентификаторы и иные параметры, присваиваемые пользователям сайта метрическими программами (например, «Яндекс.Метрика») |
Автоматизированный |
- обработка осуществляется на основании согласия субъекта ПДн на обработку его ПДн |
Обеспечение удобства пользователей сайта и повышение качества его функционирования Хранение ПДн осуществляется до: - прекращения деятельности оператора ПДн; - истечения срока обработки ПДн; - достижения цели обработки ПДн; - истечения сроков хранения, определенных в нормативных правовых актах РФ Порядок уничтожения – в соответствии с п.п. 5.5 настоящей Политики |
9. |
Близкие родственники соискателей (кандидатов) на вакантную должность |
Иные ПДн |
- ФИО; - дата рождения; - степень родства соискателю (кандидату) на вакантную должность |
Смешанный |
- обработка осуществляется на основании согласия субъекта ПДн на обработку его ПДн (гарантия наличия Согласия обеспечивается работником, предоставляющим ПДн) |
Подбор персонала (соискателей) на вакантные должности Хранение ПДн осуществляется до: - прекращения деятельности оператора ПДн; - истечения срока обработки ПДн; - достижения цели обработки ПДн; - истечения сроков хранения, определенных в нормативных правовых актах РФ Порядок уничтожения – в соответствии с п.п. 5.5 настоящей Политики |
Иные ПДн |
- ФИО; - дата рождения; - место работы и должность; - место рождения; - адрес места жительства (адрес фактического проживания); - степень родства соискателю (кандидату) на вакантную должность; - номер контактного телефона или сведения о других способах связи; |
- обработка осуществляется на основании согласия субъекта ПДн на обработку его ПДн (гарантия наличия Согласия обеспечивается работником, предоставляющим ПДн) |
Проверка благонадежности кандидата (соискателя) на замещение вакантной должности и его родственников на в рамках Политики по противодействию коррупции Хранение ПДн осуществляется до: - прекращения деятельности оператора ПДн; - истечения срока обработки ПДн; - достижения цели обработки ПДн; - истечения сроков хранения, определенных в нормативных правовых актах РФ Порядок уничтожения – в соответствии с п.п. 5.5 настоящей Политики |
Приложение 2
Термины и определения
Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
Доступ к информации – возможность получения информации для ее использования.
Использование персональных данных – действия (операции) с персональными данными, совершаемые должностным лицом Общества в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных, либо иным образом затрагивающие его права и свободы или права и свободы других лиц.
Конфиденциальность персональных данных – обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания.
Клиент – участник факторинговой сделки, с которым заключается договор факторинга.
Контрагент – участник факторинговой сделки, с которым заключается договор, отличный от договора факторинга.
Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных субъекту персональных данных.
Обработка персональных данных – сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных физического лица.
Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В данном случае в качестве Оператора персональных данных выступает Общество.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и т.д.
Распространение персональных данных – действия, направленные на передачу персональных данных субъектов определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных субъектов в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным субъектов каким-либо иным способом.
Субъект персональных данных - физическое лицо, которое прямо или косвенно определяется с помощью его персональных данных.
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.