Политика обработки и защиты персональных данных
1. Общие положения
1.1. Настоящая «Политика обработки и защиты персональных данных ООО «Сбербанк Факторинг» (далее – Политика) определяет основные принципы обработки, обеспечения защиты и конфиденциальности персональных данных в ООО «Сбербанк факторинг» (далее – Общество).
1.2. Настоящая Политика разработана в соответствии с законодательством Российской Федерации о персональных данных и нормативно-методическими документами исполнительных органов государственной власти по вопросам безопасности персональных данных при их обработке в информационных системах персональных данных.
1.3. Основными нормативно-правовыми и методическими документами, на которых базируется настоящая Политика являются:
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ с учетом изменений и дополнений;
- Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее - ФЗ «О персональных данных»), устанавливающий основные принципы и условия обработки ПДн, права, обязанности и ответственность участников отношений, связанных с обработкой ПДн.
1.4. Персональные данные являются конфиденциальной, защищаемой информацией и на них распространяются все требования, установленные внутренними документами Общества к защите конфиденциальной информации.
1.5. Настоящая Политика направлена на обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Политика также устанавливает ответственность должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.6. Настоящая Политика действует в отношении любой информации, содержащей персональные данные сотрудника и/или клиента Общества, информации о персональных данных, которую Общество может получить при организации и/или осуществлении факторингового обслуживания, а также при заключении иных договоров, в том числе договоров, связанных с трудовыми отношениями.
1.7. Поскольку к настоящей Политике в соответствии с ч. 2 ст. 18.1 ФЗ «О персональных данных» необходимо обеспечить неограниченный доступ, в ней не публикуется детальная информация о принятых Обществом мерах по защите персональных данных, а также иная информация, использование которой неограниченным кругом лиц может нанести ущерб Обществу или субъектам персональных данных.
2. Состав персональных данных, обрабатываемых в Обществе
2.1. Перечень персональных данных, подлежащих обработке и защите в Обществе, формируется в соответствии с ФЗ «О персональных данных». Персональные данные относятся к конфиденциальной информации, то есть документированной информации, доступ к которой ограничен.
2.2. Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
2.3. Общество не осуществляет обработку специальных категорий персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, если иное не установлено законодательством Российской Федерации.
2.4. В зависимости от субъекта персональных данных, Общество обрабатывает персональные данные следующих категорий субъектов персональных данных:
|
|
|
---|---|---|
Работники Общества | Категория иных персональных данных; общедоступные ПДн | Менее 100 000 субъектов |
Ближайшие родственники работников Общества | Категория иных персональных данных | Менее 100 000 субъектов |
Кандидаты на трудоустройство в Общество | Категория иных персональных данных | Менее 100 000 субъектов |
Бывшие работники Общества | Категория иных персональных данных | Менее 100 000 субъектов |
Клиенты (потенциальные клиенты, партнеры, контрагенты), а также руководители, участники (акционеры) или сотрудники юридических лиц, являющихся клиентами (потенциальным клиентами, партнерами, контрагентами) Общества | Категория иных персональных данных | Менее 100 000 субъектов |
Пользователи сайта Общества | Категория иных персональных данных | Менее 100 000 субъектов |
Физические лица, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным Законодательством о персональных данных; | общедоступные ПДн | Менее 100 000 субъектов |
3. Цели обработки персональных данных
3.1. Общество осуществляет обработку персональных данных в следующих целях:
- оказания услуг в соответствии с Уставом и целями Общества;
- заключения с Субъектом персональных данных любых договоров и их дальнейшего исполнения;
- выполнение требований трудового законодательства;
- ведения кадровой работы и организации учета работников Общества;
- привлечения и отбора кандидатов на работу в Обществе;
- регулирования трудовых и иных, непосредственно связанных с ними отношений;
- выявления случаев мошенничества и иных противоправных действий, предотвращения таких противоправных действий в дальнейшем и локализации последствий таких действий;
- предоставления субъекту персональных данных информации об оказываемых Обществом услугах, о разработке Обществом новых продуктов и услуг; информирования клиента о предложениях по продуктам и услугам Общества;
- проведения Обществом акций, опросов, исследований;
- формирования статистической отчетности, в том числе для предоставления в ПАО Сбербанк.
4. Основные принципы обработки персональных данных
4.1 При обработке персональных данных субъектов персональных данных, допущенные к ним работники Общества обязаны соблюдать установленные настоящей Политикой требования.
4.2 Запрещается получать, обрабатывать и хранить персональные данные субъекта персональных данных о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.
4.3 В случаях обработки персональных данных в статистических или иных исследовательских целях Обществом в обязательном порядке производится их обезличивание.
4.4 Обработка персональных данных Обществом осуществляется на основе следующих принципов:
- законности заранее определенных конкретных целей и способов обработки персональных данных;
- обеспечения надлежащей защиты персональных данных;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
- соответствия объема, характера и способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
- уничтожения или обезличивания персональных данных в случае утраты необходимости их обработки или достижении поставленных целей, если иное не предусмотрено законодательством Российской Федерации, договором, стороной которого или выгодоприобретателем или поручителем по которому является субъект персональных данных.
4.5 В случае выявления неточных персональных данных, при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных, уполномоченные работники Общества осуществляют блокирование персональных данных, относящихся к этому субъекту.
4.6 В случае подтверждения факта неточности персональных данных, Общество, на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов, производит уточнение персональных данных в течение семи рабочих дней со дня представления таких сведений, после чего блокирование персональных данных снимается.
4.7 В случае выявления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, в течении первых 24 часов с момента выявления такого инцидента Ответственный за обеспечение безопасности персональных данных в Обществе работник направляет в уполномоченный орган по защите прав субъектов персональных данных - Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) -сведения о самом инциденте, предполагаемом вреде субъектам ПДн, принятых мерах по устранению и контактных данных лица уполномоченного на взаимодействие c регулятором. Для отправки используется официальная форма https://pd.rkn.gov.ru/incidents/form/ на сайте уполномоченного органа.
В течение 72 часов с момента выявления инцидента Ответственный за обеспечение безопасности персональных данных в Обществе работник дополнительно направляет сведения о проведённом внутреннем расследовании и лицах, чьи действия стали причиной инцидента (при наличии). Для отправки используется официальная форма https://pd.rkn.gov.ru/incidents/form/ на сайте уполномоченного органа.
В срок, не превышающий трех рабочих дней с момента такого выявления, работники Общества обязаны устранить допущенные нарушения. В случае, если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Общество обязано уведомить субъекта персональных данных, или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
4.8 Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором с субъектом персональным данных и нормативными документами Общества. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.9 По запросу уполномоченного органа по защите прав субъектов персональных данных Общество обязано предоставить необходимую информацию в соответствии с требованиями ФЗ «О персональных данных».
4.10 Общество осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.
4.11 При обработке ПДн используются базы данных Общества, расположенные на территории РФ.
4.12 В случае отзыва Субъектом согласия на обработку его персональных данных Общество в соответствии с частью 5 статьи 21 ФЗ «О персональных данных» не прекращает обработку персональных данных Субъекта и не уничтожает их в следующих случаях, когда:
- Общество вправе осуществлять обработку персональных данных без согласия Субъекта на основаниях, предусмотренных федеральными законами;
- не истекли сроки обработки персональных данных Субъекта, установленные федеральными законами РФ и иными нормативными актами.
5. Порядок обработки персональных данных
5.1. Порядок получения персональных данных
5.1.1. Все персональные данные работников Общества следует получать у них самих. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено на это письменное согласие. Порядок получения персональных данных у работников регламентируется внутренними нормативными документами Общества.
5.1.2. Персональные данные клиентов (представителей клиентов) Общества обрабатываются исключительно в целях, указанных в разделе 3 настоящей Политики.
5.1.3. Персональные данные клиентов (представителей клиентов) Общества запрашиваются при заключении договоров с Обществом, с уведомлением об этом клиента (представителей клиентов).
5.1.4. Персональные данные могут быть получены от лица, не являющегося субъектом персональных данных, при условии предоставления Обществу подтверждения наличия оснований, позволяющих в соответствии с законодательством, осуществлять обработку персональных данных Обществом без согласия субъекта персональных данных.
5.1.5. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность - биометрические персональные данные, могут обрабатываться Обществом только при наличии согласия в письменной форме субъекта персональных данных за исключением случаев, предусмотренных законодательством Российской Федерации.
5.1.6. Согласие на обработку персональных данных клиентов (представителей клиентов) включаются в тексты соответствующих типовых форм документов, определяющих юридические отношения клиентов и Общества.
5.2. Порядок предоставления согласия на обработку персональных данных
5.2.1. Получение и обработка персональных данных субъекта персональных данных осуществляется с его согласия на обработку персональных данных, а также без такового, в случаях, если обработка персональных данных необходима для:
- исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации Обществом своего права на уступку прав (требований) по такому договору;
- заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем;
- осуществления прав и законных интересов Общества или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- иных случаев, предусмотренных законодательством о персональных данных.
5.2.2. Субъект персональных данных принимает решение о предоставлении его персональных данных и даёт согласие на их обработку свободно, своей волей и в своём интересе.
5.2.3. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
5.2.4. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем либо в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
5.2.5. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных Обществом проверяются полномочия данного представителя на дачу согласия от имени субъекта персональных данных.
5.2.6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
5.2.7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
5.2.8. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, позволяющих в соответствии с законодательством осуществлять обработку персональных данных Обществом без согласия субъекта персональных данных, возлагается на Общество.
5.2.9. Согласие субъекта персональных данных в письменной форме на обработку его персональных данных должно включать в себя, в частности:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.
5.3. Порядок передачи/поручения обработки персональных данных третьим лица
5.3.1. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5.3.2. Общество осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.
5.3.3. Передача персональных данных субъекта третьим лицам осуществляется только при наличии согласия субъекта персональных данных, а также в случаях, обозначенных в ФЗ «О персональных данных»:
- в целях защиты жизни и здоровья субъекта персональных данных;
- в случае поступления официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскной деятельности» (№ 144-ФЗ от 12.08.1995 г);
- в целях исполнения Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (№ 115-ФЗ от 07.08.2001 г.);
- в иных случаях, предусмотренных федеральным законодательством.
5.3.4. Лица, получившие доступ к персональным данным субъекта, должны быть предупреждены о том, что эти данные могут быть использованы лишь в целях, для которых они переданы. Лица, получившие персональные данные, обязаны соблюдать режим конфиденциальности персональных данных, предусмотренный ФЗ «О персональных данных».
5.3.5. При заключении договора Общества с третьим лицом (поручения на обработку), предусматривающего обработку персональных данных, полученных Обществом, в договоре определяются:
- цель обработки персональных данных;
- перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки;
- обязанность лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке;
- требования к защите обрабатываемых персональных данных в соответствии со статьей 19 ФЗ «О персональных данных».
5.3.6. В случае получении требований субъекта персональных данных об уточнении или уничтожении персональных данных, Общество принимает меры для уведомления третьих лиц, которым были переданы персональные данные субъекта.
5.3.7. Общество несет ответственность перед субъектом персональных данных за действия третьего лица. В свою очередь, лицо, осуществляющее обработку персональных данных по поручению Общества, несет ответственность за их обработку и защиту перед Обществом.
5.3.8. Общество не осуществляет трансграничную передачу персональных данных.
5.4. Хранение персональных данных
5.4.1. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.
5.4.2. Персональные данные субъектов персональных данных хранятся в подразделениях Общества, которые отвечают за взаимодействие с субъектом, а также в электронном виде в информационных системах персональных данных и иных специализированных информационных системах, целью создания и использования которых не является обработка персональных данных.
5.4.3. Персональные данные, содержащиеся на бумажных носителях, должны храниться в папках в сейфах или в шкафах, обеспечивающих защиту от несанкционированного доступа. Ключи от соответствующих шкафов или сейфов хранятся у руководителя соответствующего подразделения Общества под его личной ответственностью.
5.4.4. Доступ к электронным базам данных, содержащим персональные данные, обеспечивается с использованием средств защиты от несанкционированного доступа и копирования.
5.4.5. Работник Общества, имеющий доступ к персональным данным в связи с исполнением трудовых обязанностей:
- обеспечивает хранение информации, содержащей персональные данные, исключающее доступ к ним третьих лиц;
- при уходе в отпуск, в служебную командировку и иных случаях длительного отсутствия работника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные, лицу, на которое приказом или распоряжением будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, документы и иные носители, содержащие персональные данные, передаются другому работнику, имеющему доступ к персональным данным, по указанию руководителя соответствующего структурного подразделения Общества.
5.4.6. При увольнении работника Общества, имеющего доступ к персональным данным, документы и иные носители, содержащие персональные данные, передаются другому работнику, имеющему доступ к персональным данным субъектов по указанию руководителя соответствующего структурного подразделения Общества.
5.4.7. На основании Пункта 441, Приказа Росархива от 20.12.2019 №236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения» Общество хранит Согласие на обработку персональных данных клиента после истечения срока действия согласия или его отзыва, если иное не предусмотрено федеральным законом или договором, в течении 3 лет.
5.5. Порядок уничтожения персональных данных после окончания обработки
5.5.1. Общество обязано прекратить обработку персональных данных и уничтожить их после достижения цели обработки, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных.
5.5.2. В случае отзыва субъектом персональных данных своего согласия на обработку его персональных данных, Общество обязано прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных или иным соглашением между оператором и субъектом персональных данных.
5.5.3. Во всех случаях, когда предусмотрено уничтожение персональных данных, это действие производится в течение тридцати дней, если законодательством не установлено иного срока.
5.5.4. В случае отсутствия возможности уничтожения персональных данных либо их обезличивания в течение срока, установленного ФЗ «О персональных данных», Общество обеспечивает их блокирование с последующим уничтожением персональных данных. Уничтожение персональных данных производится не позднее шести месяцев со дня их блокирования.
5.5.5. Бумажные носители персональных данных уничтожаются с помощью бумагорезательных машин, гарантирующих невозможность восстановления носителя.
5.5.6. Уничтожение машиночитаемых носителей персональных данных, пришедших в негодность или утративших практическую ценность, должно производиться путем физического разрушения, исключающего возможность их использования, а также восстановления информации. Перед уничтожением электронного носителя информация с него должна быть стерта.
5.5.7 Факт уничтожения персональных данных оформляется Обществом в соответствии с требованиями законодательства РФ.
5.6. Порядок обработки специальных категории персональных данных
5.6.1 Обработка персональных данных о судимости может осуществляться Обществом исключительно в случаях и в порядке, которые определяются в соответствии с федеральными законами РФ.
6. Права субъекта персональных данных
6.1. Субъект персональных данных имеет право:
- давать согласие на обработку своих персональных данных в порядке, описанном в разделе 5.2. настоящей Политики;
- требовать представить перечень своих персональных данных, обрабатываемых Обществом и источник их получения;
- получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
6.2. Информация по запросу предоставляется субъекту персональных данных или его представителю Обществом при личном обращении либо при получении письменного запроса субъекта персональных данных или его представителя.
6.3. Информация (отказ в предоставлении информации) предоставляется субъекту персональных данных бесплатно в течение 10 рабочих дней с момента получения запроса, при этом данный срок может быть продлен ещё на 5 рабочих дней посредством направления в адрес субъекта персональных данных или его представителя мотивационного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6.4. Информация предоставляется в доступной форме и не содержит персональные данные, относящиеся к другим субъектам персональных данных.
6.5. Повторное обращение в Общество или направление повторного запроса возможно не ранее, чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. До истечения указанного срока повторное обращение возможно в случае, если такая информация и (или) обрабатываемые персональные данные не были предоставлены субъекту персональных данных для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование его направления. Общество вправе мотивированно отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего указанным условиям.
6.6. В случае отказа в предоставлении информации Общество выдает мотивированный ответ в письменной форме с указанием основания для такого отказа.
7. Обеспечение безопасности персональных данных
7.1. Общество принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152 и принятыми в соответствии с ним нормативными правовыми актами.
7.2. Обществом изданы документы, определяющие политику Общества в области обработки персональных данных, локальные акты по вопросам обработки персональных данных, определяющие для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. В то же время такие документы и локальные акты Общества не содержат положения, ограничивающие права субъектов персональных данных, а также не содержат положения возлагающие на Общество не предусмотренные законодательством Российской Федерации полномочия и обязанности.
7.3. Общество предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий в том числе:
- обеспечивается учет машинных носителей персональных данных;
- осуществляется оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- проводится периодический контроль работоспособности, защиты информации, регистрация и модификация ресурсов, в которых обрабатываются персональные данные, в том числе информационные системы персональных данных;
- осуществляется обнаружение фактов несанкционированного доступа к персональным данным и своевременное принятие мер по блокировке такого доступа;
- обеспечивается размещение технических средств обработки персональных данных в пределах охраняемой территории;
- организовывается пропускной режим на территорию Общества, внедряются технические средства наблюдения и охраны;
- в случае обработки персональных данных на бумажных носителях, не допускается нахождение документов и/или иных материальных носителей, содержащих персональные данные в открытом виде на рабочих столах сотрудников Общества в нерабочее время, а также их вынос за территорию Общества и несанкционированное копирование.
7.4. В целях координации действий по обеспечению безопасности персональных данных в Обществе назначается ответственный сотрудник или подразделение за соблюдение режима безопасности персональных данных.
7.5. Доступ к персональным данным имеют только те работники Общества, которым эти данные необходимы в связи с исполнением ими трудовых обязанностей.
7.6. Обществом проводится ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
7.7. Работники Общества, имеющие доступ к персональным данным субъектов, имеют право получать только те персональные данные субъекта, которые необходимы им для выполнения их трудовых функций.
7.8. Работники, доступ которых к персональным данным необходим для выполнения работы, допускаются к персональным данным после ознакомления с правилами работы с персональными данными, а также с организационно-распорядительной документацией по защите персональных данных в Обществе.
7.9. При передаче персональных данных субъекта, работники Общества, осуществляющие передачу, предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.
7.10. В информационных системах Общества, обрабатывающих персональные данные, обеспечивается регистрация и учет всех действий, совершаемых с персональными данными.
7.11. Система информационной безопасности Общества непрерывно развивается и совершенствуется на базе требований международных и национальных стандартов информационной безопасности, а также лучших мировых практик.
7.12. Обществом производится оценка вреда субъекту персональных данных в соответствии с требованиями законодательства РФ.
7.13. Осуществляется внутренний контроль и аудит соответствия обработки персональных данных законодательству РФ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Общества в отношении обработки персональных данных, локальным актам Общества.
8. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
8.1. Права и обязанности Общества, как оператора персональных данных, определяются законодательством Российской Федерации в области персональных данных.
8.2. Общество несет ответственность за обеспечение конфиденциальности персональных данных, а также соблюдение прав и свобод субъектов персональных данных в соответствии с Кодексом об административных правонарушениях Российской Федерации.
8.3. В случаях нарушения установленного порядка обработки и обеспечения безопасности персональных данных, несанкционированного доступа к ним и нанесения Обществу, клиентам и контрагентам материального или иного ущерба виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную действующим законодательством Российской Федерации ответственность.
9. Заключительные положения.
9.1. Настоящая Политика вступает в силу с момента ее утверждения и введения в действие соответствующим органом управления Общества и является общедоступным документом.
9.2. К настоящей Политике обеспечивается неограниченный доступ путем ее размещения на официальном сайте Общества.
9.3. Работники Общества, участвующие в обработке персональных данных, должны быть ознакомлены с настоящей Политикой и иными документами Общества, устанавливающими порядок обработки персональных данных субъектов персональных данных, а также об их правах и обязанностях в этой области.
Термины и определения
Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи. Доступ к информации – возможность получения информации для ее использования.
Использование персональных данных – действия (операции) с персональными данными, совершаемые должностным лицом Общества в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных, либо иным образом затрагивающие его права и свободы или права и свободы других лиц.
Конфиденциальность персональных данных – обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания.
Клиент – участник факторинговой сделки, с которым заключается договор факторинга.
Контрагент – участник факторинговой сделки, с которым заключается договор, отличный от договора факторинга.
Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных субъекту персональных данных.
Обработка персональных данных – сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных физического лица.
Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В данном случае в качестве Оператора персональных данных выступает Общество.
Персональные данные (ПДн) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и т.д.
Распространение персональных данных – действия, направленные на передачу персональных данных субъектов определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных субъектов в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным субъектов каким-либо иным способом.
Субъект персональных данных - физическое лицо, которое прямо или косвенно определяется с помощью его персональных данных.
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.