ОБЩИЕ ПОЛОЖЕНИЯ
1.1 Политика обработки и защиты персональных данных (далее - Политика) разработана в целях организации защиты прав субъектов персональных данных и определения принципов и подходов в ООО «ПР-Факторинг» (далее - «Общество»).
1.2 при обработке и защите персональных данных сотрудников, бывших сотрудников, претендентов на работу, стажёров и практикантов, лиц, работающих по гражданско-правовым договорам, клиентов, контрагентов, контролирующих Общество физических лиц (бенефициаров), членов органов управления Общества, в т.ч. членов Совета директоров (при формировании), аффилированных и связанных с Обществом.
1.3 Целью Политики, является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.4 Политика является внутренним нормативным документом Общества первого уровня, который формулирует и отображает позицию Общества в отношении обработки персональных данных сотрудников, клиентов, контрагентов и иных лиц.
1.5 Действие настоящей Политики распространяется на любые действия, совершаемые в Обществе с персональными данными, как с использованием средств автоматизации, так и без использования средств автоматизации. Политика также распространяется на все деловые, в том числе договорные, финансовые, информационные, публичные или иные взаимодействия Общества с третьими лицами (как физическими лицами, индивидуальными предпринимателями, так и организациями), которые прямо или косвенно могут влиять на процессы, связанные с обработкой персональных данных.
1.6 Политика утверждается генеральным директором Общества и является обязательным для исполнения всеми Сотрудниками и лицами, имеющими доступ к персональным данным Субъектов персональных данных, а также контрагентами и третьими лицами, которые взяли на себя обязательство либо яв.Аяются обязанными по своему статусу исполнять требования по защите ПДн.
1.7 В Обществе действует комплекс правовых, организационных и технических мер, направленных на защи~ информации о клиентах, сотрудниках, контрагентах и других субъектах персональных данных.
1.8 Сбор, хранение, использование и распространение информации о частной жизни лица без письменного его согласия не допускаются. Персональные данные относятся к категории конфиденциальной информации.
1.9 Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено законом или соглашением сторон.
1.1О Должностные лица (Операторы), в обязанность которых входит ведение персональных данных сотрудников, претендентов на работу, клиентов, контрагентов, контролирующих общество физических лиц (бенефициаров), членов органов управления Общества обязаны обеспечить каждому Субъекту персональных данных возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
1.11 При обработке персональных данных Общество применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и руководствуется требованиями отраслевых стандартов.
1.12 Требования настоящей Политики могут детализироваться, при необходимости, иными внутренними нормативными документами Общества, которые разрабатываются с учетом требований данной Политики.
1.13 Сокращения, используемые в Положении, определены во внутреннем Справочнике терминов и сокращений, все термины и их определения применяются в настоящем Положении в значении, установленном Федеральным законом от 27.07.2006г. №152-ФЗ «О персональных данных».
2. ЦЕЛИ И ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Общество осуществляет обработку ПДн в целях исполнения требований законодательства РФ (в частности: Налоговый кодекс, Гражданский кодекс, Трудовой кодекс, Федеральные законы: «О противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма», «Об обязательном пенсионном страховании в Российской Федерации» «Об архивном деле в Российской Федерации», «О бухгалтерском учете» и др.);
2.2. Целью получения и обработки персональных данных сотрудников (текущих и бывших), соискателей, клиентов, потенциальных клиентов и представителей контрагентов является: - - осуществление операций и сделок в соответствии с Уставом Общества; заключение с Субъектом персональных данных или со связанными с Субъектом лицами любых договоров и их дальнейшего исполнения; - проведение акций, опросов, исследований, поздравлений, интервью, конкурсов, социально ориентированных мероприятий, формирования корпоративного информационного контента в телекоммуникационных и социальных сетях и каналах; - предоставление Субъекту персональных данных информации об оказываемых Обществом услугах; информирования Клиента о предложениях по продуктам и услугам Общества; - ведение кадровой работы и организации учета сотрудников Общества, обучения и должностного роста сотрудников; - заключение и исполнение договоров добровольного страхования, прохождение практики (стажировки) учащихся образовательных учреждений; - привлечение и отбор кандидатов на работу, в том числе содействие в трудоустройстве в Общество; - - - ведение бухгалтерского учета; формирование статистической отчетности; обеспечение безопасности, связанное с физическим доступом субъектов персональных данных на территорию, в здания и помещения Общества; - достижение целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей.
2.3. Перечень целей, указанных в п.2.2 не является исчерпывающим и может быть изменен в соответствии с внутренними нормативными актами и законодательством Российской Федерации.
2.4. Обработка ПДн в Обществе организована на принципах: - обработка персональных данных осуществляется на законной и справедливой основе; - обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей; - обработке подлежат только персональные данные, которые отвечают целям их обработки; - недопустимости объединения баз данных, созданных для несовместимых между собой целей обработки персональных данных; - состав и объем обрабатываемых персональных данных должен быть минимально достаточным для достижения заранее определенных целей обработки персональных данных; - процессы обработки персональных данных должны обеспечивать точность, достаточность и актуальность персональных данных по отношению к целям их обработки, а также обеспечивать своевременные удаление или уточнение неполных, или неточных данных; - хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн; - обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом; - Общество осуществляет обработку ПД, относящихся к состоянию здоровья субъектов ПДн, сведениям о судимости, но не осуществляет обработку ПДн, относящихся к расовой и 2 национальной принадлежности, политическим взглядам, религиозным и философским убеждениям и интимной жизни.
3. КАТЕГОРИИ, СОСТАВ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1 В целях выполнения основной деятельности Общество обрабатывает ПДн субъектов, включая, но не ограничиваясь: - сотрудники Общества, бывшие сотрудники, практиканты, кандидаты на замещение вакантных должностей, а также родственники сотрудников (при наличии законных оснований); - клиенты и контрагенты Общества (включая представителей юридических лиц), являющиеся физическими лицами; - выгодоприобретатели и иные лица, осуществляющие контроль над деятельностью Общества; - - члены органов управления Общества; аффилированные лица Общества (лица, прямо или косвенно влияющие на деятельность Общества; - посетители сайта Общества, которые добровольно предоставляют личные данные путем регистрации, заполнения форм обратной связи, оформления заказов или иным образом выражают согласие на обработку своих данных.
3.2 Для каждой цели обработки персональных данных в Обществе определены: - соответствующие категории и перечень обрабатываемых персональных данных; - категории Субъектов персональных данных, персональные данные которых обрабатываются Обществом; - - способы и сроки обработки и хранения персональных данных; порядок уничтожения персональных данных.
3.3 Полный перечень персональных данных, обрабатываемых в Обществе, с указанием категорий субъектов персональных данных, представлен в Приложении № 1 к Политике.
4. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка ПДн субъектов осуществляется при следующих условиях: - обработка ПДн осуществляется с согласия субъекта персональных данных на обработку его ПДн; - обработка ПДн необходима для достижения целей, предусмотренных Конституцией РФ и международными договорами РФ для осуществления и выполнения возложенных на Общество функций, полномочий и обязанностей; - обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, в том числе в случае реализации Обществом своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; - обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; - обработка ПДн необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; - обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона от 27.07.2006 N 152–ФЗ "О персональных данных", при условии обязательного обезличивания персональных данных; - осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе; - осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
4.2. Обработка персональных данных должна осуществляться только с письменного согласия субъекта персональных данных на обработку его персональных данных или его законного представителя, если иное не предусмотрено законодательством РФ. Равнозначным письменному согласию признается согласие в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации.
4.3. Общество на основании договора может поручить обработку ПДн третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку 3 ПДн, обязанность обеспечения указанным лицом конфиденциальности ПДн и безопасности ПДн при их обработке.
4.4. Общество не осуществляет трансграничную передачу ПДн на территории иностранных государств.
4.5. Обработка персональных данных может осуществляться без согласия субъекта персональных данных (или при отзыве субъектом персональных данных согласия на обработку персональных данных) при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных».
4.6. При осуществлении сбора персональных данных с использованием информационно телекоммуникационных сетей Общества до начала обработки ПДн размещает в соответствующей информационно–телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно–телекоммуникационной сети.
4.7. Общество обязано представить документы и локальные акты, указанные в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152–ФЗ "О персональных данных", и (или) иным образом подтвердить принятие мер, указанных в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152–ФЗ "О персональных данных", по запросу уполномоченного органа по защите прав субъектов персональных данных в течение 5 (Пяти) дней.
5. ОБЯЗАННОСТИ ОБЩЕСТВА
5.1 Общество обязано - осуществлять обработку персональных данных субъекта персональных данных в соответствии с законодательством Российской Федерации; - предоставлять субъекту персональных данных по его запросу информацию, предусмотренную законодательством Российской Федерации; - разъяснять субъекту персональных данных юридические последствия отказа предоставить свои персональные данные, если предоставление персональных данных является обязательным в соответствии с законодательством Российской Федерации; - при сборе и обработке персональных данных субъектов, обеспечить надлежащую защиту персональных данных; - исполнять иные обязанности в отношении обработки персональных данных, установленные законодательством Российской Федерации.
5.2 Порядок получения персональных данных
5.2.1 Все персональные данные Субъекта следует получать у него самого. Если персональные данные Субъекта возможно получить только у третьей стороны, то Субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Общество должно сообщить Субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Субъекта дать письменное согласие на их получение;
5.2.2 При принятии решений, затрагивающих интересы Субъекта, Общество не имеет права основываться на персональных данных Субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения;
5.2.3 Субъект персональных данных вправе письменно определить порядок, объем и форму распространения своих персональных данных третьим лицам (в том числе наложив на Общество обязательства транслировать свои персональные данные только при наличии оформленных с Обществом соответствующих соглашений о конфиденциальности с третьими лицами, которым персональная информация будет предоставлена).
5.3 Использование и передача персональных данных
5.3.1 Внутренний доступ (доступ внутри Общества). Лица, имеющие доступ к персональным данным Субъекта, определяются внутренними документами Общества.
5.3.2 Внешний доступ.
5.3.2.1 Потребителями персональных данных вне Общества являются государственные и негосударственные функциональные структуры: - инспекции ФНС; - правоохранительные органы; - органы статистики; - страховые компании; - военные комиссариаты; - органы социального страхования; 4 - пенсионные фонды в т.ч. негосударственные; - банки и финансовые организации; - рейтинговые агентства; - подразделения муниципальных органов управления;
5.3.2.2 Указанные в п. 5.3.2.1. организации имеют доступ к информации только в сфере своей компетенции.
5.3.2.3 Иные организации, в которые Субъект может осуществлять перечисления денежных средств (благотворительные организации, микрофинансовые организации и пр.), могут получить доступ к персональным данным Субъекта только в случае его письменного разрешения.
5.3.2.4 Иные организации могут получить сведения о Субъекте только с письменного согласия Субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами.
5.4 Защита и сохранение конфиденциальности персональных данных
5.4.1 Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности Общества.
5.4.2 Защита персональной информации внутри Общества:
5.4.2.1 Для регламентации доступа Сотрудников Общества к конфиденциальным сведениям, документам и базам данных, в целях исключения несанкционированного доступа третьих лиц и защиты персональных данных Субъектов необходимо соблюдать: - ограничение и регламентацию состава Сотрудников, имеющих доступ к персональным данным, указанных в п. 5.3.1; - строгое избирательное и обоснованное распределение документов и информации внутри Общества; рациональное размещение рабочих мест Сотрудников, при котором исключается бесконтрольное использование защищаемой информации; - знание Сотрудниками требований нормативно - методических документов по защите информации и сохранении тайны; - наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных; - - организация порядка уничтожения информации; своевременное выявление нарушения требований разрешительной системы доступа к конфиденциальной информации; - воспитательная и разъяснительная работа с Сотрудниками по предупреждению утраты и разглашению сведений при работе с конфиденциальными документами;
5.4.2.2 Для защиты персональных данных Субъектов должны соблюдаться: - порядок приема, учета и контроля деятельности посетителей; - - - - - пропускной режим Общества; учет и порядок выдачи удостоверений; технические средства охраны, сигнализации; порядок охраны территории, зданий, помещений, транспортных средств; требования к защите информации при интервьюировании и собеседованиях.
5.4.2.3 Все папки на электронных носителях, содержащие персональные данные Субъекта, должны быть защищены паролем.
5.4.3 Защита персональной информации от воздействия внешних факторов:
5.4.3.1 Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
5.4.3.2 Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
5.4.3.3 Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией.
5.4.3.4 Проведение комплекса мероприятий по исключению несанкционированного доступа к информационным ресурсам с целью предотвращения овладения конфиденциальными 5 сведениями, их использованием, а также видоизменения, уничтожения, внесения вирусов, подмены, фальсификации содержания, реквизитов документа и пр.
5.4.4 Все меры конфиденциальности при сборе, обработке и хранении персональных данных Субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
5.4.5 В случаях, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», персональные данные обезличиваются.
5.5 В целях устранения нарушений законодательства, допущенных при обработке персональных данных, а также уточнения, блокирования и уничтожения персональных данных, Общество обязано:
5.5.1 При выявлении недостоверных персональных данных или неправомерных действий с ними по запросу Субъекта, его представителя, либо уполномоченного органа по защите прав Субъектов, осуществить блокирование персональных данных, относящихся к соответствующему Субъекту, с момента такого обращения или получения такого запроса на период проверки.
5.5.2 В случае подтверждения факта недостоверности персональных данных, на основании документов, представленных Субъектом, его представителем или уполномоченным органом по защите прав Субъектов, уточнить персональные данные и снять их блокирование.
5.5.3 При выявления неправомерных действий с персональными данными, в срок не превышающий трех рабочих дней с даты выявления, устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений - уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных, уведомить Субъекта или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав Субъектов, указанный орган.
6. ПРАВА ОБЩЕСТВА
6.1 Общество имеет право проверять на достоверность персональные данные Субъекта, запрашивать на основе представленных Субъектом данных дополнительную информацию у правоохранительных, налоговых, судебных, иных государственных органов, не являющихся государственной и/или служебной тайной без письменного разрешения Субъекта.
6.2 Проверка Контрагентов ведется в соответствии с письмами Минфина России от 10.04.2009 № 03-02-07/1- 177, от 06.07.2009 № 03-02-07/1-340, от 31.12.2008 № 03-02-07/2-231; ФНС России от 11.02.2010 № 3-7-07/84; Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
6.3 При проведении идентификации Контрагента, представителя Контрагента, выгодоприобретателя, бенефициарного владельца, обновлении информации о них Общество имеет право требовать представления Контрагентом, представителем Контрагента и получать от Контрагента, представителя Контрагента документы, удостоверяющие личность, учредительные документы, документы о государственной регистрации юридического лица (индивидуального предпринимателя), а также иные документы, предусмотренные Федеральным законом от 07.08.2001 № 115-ФЗ и принимаемыми на его основе нормативными правовыми актами Российской Федерации и нормативными актами Банка России.
6.4 Общество вправе запрашивать персональные данные Контрагента и его собственников (участников, учредителей, акционеров, в том числе конечных бенефициаров), руководителя, главного бухгалтера от уполномоченного представителя Контрагента.
6.5 В случае отзыва Субъектом согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных в соответствии со ст.18 п.4.2) Федерального закона от 27 июля 2006 г. №152- ФЗ «О персональных данных» и приказа Росфинмониторинга от 17.02.2011 № 59 «Об утверждении Положения о требованиях к идентификации клиентов, представителей клиентов и (или) выгодоприобретателей, в том числе с учетом степени (уровня) риска совершения клиентом операций в целях легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма».
7. ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1 Передавать Обществу или его представителю (Оператору) комплект достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ и иными федеральными законами;
7.2 Своевременно, но не позднее 30 дней с даты соответствующего изменения, сообщать Обществу об изменении своих персональных данных.
7.3 В случае неполучения Обществом/Оператором информации об изменении персональных данных Субъекта Общество использует имеющиеся персональные данные Субъекта, и Субъект не может предъявить каких-либо претензий Обществу в связи с последствиями такого 6 использования персональных данных Субъекта.
7.4 Контрагенты обязаны предоставлять Обществу информацию, необходимую для исполнения Обществом требований Федерального закона от 07.08.2001 №115-ФЗ, включая информацию о своих выгодоприобретателях и бенефициарных владельцах, исполнительном органе (директор, бухгалтер).
8. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1 Субъект имеет право на получение сведений об Операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к нему, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных пунктом настоящей Политики. Субъект вправе требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.2 Сведения о наличии персональных данных должны быть предоставлены Обществу Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим Субъектам.
8.3 Доступ к своим персональным данным предоставляется Субъекту или его законному представителю Оператором при обращении либо при получении от него соответствующего запроса. Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Субъекта или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
8.4 Субъект имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей: - подтверждение факта обработки персональных данных Оператором, а также цель такой обработки; - - способы обработки персональных данных, применяемые Оператором; сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; - - - перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных, в том числе сроки их хранения; сведения о том, какие юридические последствия для Субъекта может повлечь за собой обработка его персональных данных.
8.5 Право Субъекта на доступ к своим персональным данным ограничивается в случае, если: обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка; предоставление персональных данных нарушает конституционные права и свободы других лиц.
8.6 Согласие на обработку персональных данных может быть отозвано Субъектом в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
9. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1 Обязательным условием обеспечения высокой надежности и эффективности функционирования системы защиты информации, является личная ответственность каждого сотрудника Общества, осуществляющего обработку персональных данных.
9.2 Каждый Сотрудник Общества, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
9.3 Сотрудники Общества, связанные с получением, обработкой и защитой ПДн Субъектов принимают обязательство о неразглашении ПДн Субъектов.
9.4 Бывшие сотрудники Общества и сотрудники, переведенные/назначенные на иную должность, не связанную с обработкой ПДн, не имеют права разглашать персональные данные Субъектов.
9.5 Разглашение ПДн (Передача их посторонним лицам, в том числе, сотрудникам Общества, не имеющим к ним Доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих ПДн, а также иные нарушения обязанностей по их защите и обработке, влечет наложение на сотрудника, имеющего Доступ к ПДн, дисциплинарного взыскания, а также несут административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.
9.6 При обеспечении безопасности ПДн во всех случаях, не описанных в настоящей Политике, 7 Общество руководствуется законодательством Российской Федерации.
10. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1 Обеспечение безопасности ПДн, обрабатываемых в информационных системах, достигается путем следующих\мер по обеспечению безопасности: - определение требований к сотрудникам, имеющим доступ к персональным данным, посредством включения в должностные инструкции/ трудовой договор соответствующих дополнений (пунктов); - проведение инструктажа сотрудников, допущенных к обработке персональных данных по информационной безопасности; - определение актуальных угроз безопасности ПДн и информационных технологий, используемых в информационных системах; - применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах Общества; - применение процедур оценки соответствия средств защиты информации; - оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы; - учет и обеспечение сохранности носителей персональных данных и средств их защиты; - реализуются меры физической защиты помещений, где размещены технические средства, обрабатывающие ПДн, и хранятся материальные носители ПДн, от несанкционированного проникновения. - обеспечение работоспособного функционирования компьютерной техники с ПД в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации; - применение правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных, ведение в информационных системах электронных журналов обращений и получения доступа. - обнаружение и регистрация фактов несанкционированного доступа к ПДн, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы ПДн и принятие мер; - установление правил доступа к ПДн, обрабатываемым в информационных системах Общества, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в информационных системах Общества; - постоянный контроль за обеспечением уровня защищенности и технические меры: - средства предотвращения несанкционированного доступа и (или) передачи; - средства защиты помещений, исключающие неконтролируемое проникновение или пребывание в них посторонних; - недопущение нарушения функционирования средств обработки и обеспечение восстановления персональных данных, модифицированных или уничтоженных; - обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них; - контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
10.2 Режим конфиденциальности и сохранности ПДн Общество обеспечивает в соответствии внутренними нормативными документами, трудовым соглашением (договором), Политикой информационной безопасности и иными Политиками и Положениями. Обществом осуществляется: - оценка вреда субъекту персональных данных в соответствии с требованиями законодательства Российской Федерации в порядке, установленном внутренними нормативными документами Общества, - оценка эффективности мер по обеспечению безопасности персональных данных, реализованных в рамках системы защиты персональных данных, не реже одного раза в 3 года, указанная оценка проводится самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.
10.3 Утечка персональных данных относится к инцидентам защиты информации, порядок управления которыми определяется внутренними нормативными документами и требованиями применимого законодательства в части сообщения об инцидентах безопасности 8 уполномоченному органу федеральной власти.
11. ВЗАИМОДЕЙСТВИЕ С ТРЕТЬИМИ ЛИЦАМИ
11.1 При предоставлении Обществом ПДн третьим лицам должны выполняться следующие условия: - передача (предоставление) ПДн третьей стороне осуществляется на основании договора, условием которого является обеспечение третьей стороной конфиденциальности и безопасности ПДн при их обработке в соответствии с требованиями законодательства Российской Федерации; - в договоре с третьим лицом определены цели обработки и перечень действий (операций) с персональными данными; - наличие письменного согласия субъекта ПДн на передачу его ПДн третьей стороне, за исключением случаев, предусмотренных законодательством Российской Федерации.
11.2 Общество в случае распространения ПДн субъекта ПДн (использование на сайте и в социальных сетях Общества) получает согласие на распространение ПДн (далее – согласие на распространение) оформленное по утвержденной в Обществе форме.
11.3 Согласие на передачу ПДн государственным структурам (военкомату, ФНС, ФСС, полиции, следственным органам и др.) не требуется в соответствии с п. 2 – 11 ч. 1 ст. 6 Закона № 152–ФЗ).
11.4 Общество обязано прекратить распространение (передачу, предоставление, доступ) ПДн по заявлению об отзыве согласия на их распространение, содержащему: - Ф. И. О.; - контакты (номер телефона, адрес электронной почты или почтовый адрес); - перечень ПДн, обработка которых должна быть прекращена.
11.5 Прекратить распространение необходимо в течение трех рабочих дней с момента получения заявления.
12. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1. Обработка биометрических персональных данных осуществляется Обществом в соответствии с требованиями к защите биометрических персональных данных, установленными в соответствии со статьей 19 Федерального закона № 152-ФЗ.
12.2. Здания и помещения Общества оборудованы системой наблюдения и регистрации, осуществляющей видеонаблюдение, непрерывную видеорегистрацию и хранение в цифровом виде видеоинформации о действиях сотрудников Общества и посетителей. Системы видеонаблюдения является элементом общей системы безопасности Общества, его филиалов, представительств и обособленных структурных подразделений и может использоваться лишь на законных основаниях (борьба с возможными правонарушениями, повышения эффективности режима безопасности доступа в помещениях Общества, обеспечения личной безопасности работников и минимизации рисков материальных потерь в Обществе, усиления контроля трудовой дисциплины, соблюдения требований по охране труда и технике безопасности).
12.3. Видеонаблюдение в Обществе осуществляется с целью антитеррористической защищенности, охраны порядка, противопожарной защиты, пресечения и фиксации противоправных действий.
12.4. Система видеонаблюдения является открытой, не направлена на сбор информации о конкретном физическом лице и входит в состав единой технической системы безопасности Общества.
12.5. Материалы фото- и/или видеосъемки, обрабатываемые и хранимые Обществом, могут использоваться для проведения процедур аутентификации и/или идентификации субъекта ПДн. Материалы фото- и/или видеосъемки в публичных местах и на охраняемой территории Общества до момента их передачи для установления личности субъекта ПДн не являются биометрическими персональными данными.
12.6. При проходе на территорию Общества может осуществляться идентификация и (или) аутентификация с использованием биометрических данных физических лиц посредством использования информационных систем, обеспечивающих функционирование пропускных пунктов.
12.7. Использование и хранение биометрических персональных данных вне информационных систем персональных данных осуществляется на материальных носителях информации и с применением технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
12.8. Технология хранения биометрических персональных данных вне информационных систем персональных данных обеспечивает: - доступ к информации, содержащейся на материальном носителе, для уполномоченных лиц; - применение средств электронной подписи или иных информационных технологий, 9 позволяющих сохранить целостность и неизменность биометрических персональных данных, записанных на материальный носитель; - обеспечение наличия письменного согласия субъекта персональных данных на обработку его биометрических персональных данных или наличия иных оснований обработки персональных данных, установленных законодательством РФ в сфере отношений, связанных с обработкой персональных данных.
13. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ПОСРЕДСТВОМ САЙТА
13.1 Официальный сайт Общества расположен в сети Интернет по адресу https://prfactoring.ru/ (далее - Сайт). В работе Сайта задействованы, в том числе, технологии cookie. Указанные технологии позволяют предоставлять пользователям Сайта настроенное под них окружение при повторном посещении Сайта.
13.2 Файлы cookie, используемые на Сайте, подразделяются на такие категории как: «необходимые», «эксплуатационные» и «функциональные».
13.3 Необходимые файлы cookie обязательны для просмотра веб-страниц Сайта и полноценного использования их функций. Без их использования невозможно обеспечить работу таких сервисов как корзина покупок и интернет-оплата.
13.4 Эксплуатационные файлы cookie собирают информацию об использовании Сайта, например, о наиболее часто посещаемых его страницах. Указанные файлы используются для оптимизации работы Сайта и упрощения для пользователей навигации по нему. Эксплуатационные файлы cookie также используются аффилированными лицами Общества в целях определения переходов пользователей на Сайт с сайтов аффилированных лиц, а также определения использования сервисов Общества, таких как осуществление онлайн-покупок в результате посещения Сайта. Вся информация, собранная с помощью указанных файлов предназначена для статистических целей и остается анонимной.
13.5 Функциональные файлы cookie позволяют Сайту запоминать пользовательский выбор при использовании Сайта. Такие файлы могут запоминать месторасположение пользователей для отображения Сайта на языке страны, в которой располагается пользователь, а также запоминать настройки размера шрифта текста и других настраиваемых параметров Сайта.
13.6 Информация собираемые посредством файлов cookie не позволяет однозначно идентифицировать пользователей Сайта.
13.7 Общество может обрабатывать файлы cookie самостоятельно или с привлечением Сервисов, Яндекс.Метрика для целей, указанных выше.
13.8 Если пользователи Сайта предпочитают не получать файлы cookie при просмотре Сайта, они могут настроить свой браузер таким образом, чтобы не получать такие файлы, либо так, чтобы браузер предупреждал пользователей перед принятием файлов cookie либо блокировал их.
14. ПОРЯДОК РАБОТЫ С ОБРАЩЕНИЯМИ
14.1. Субъект ПДн может направить обращение как на бумажном носителе, так и в форме электронного документа. Обращения, направленные в Обществе в виде электронного документа, должны быть подписаны электронной подписью в соответствии с законодательством Российской Федерации. Обращение может быть направлено следующими способами: - почтовым отправлением; - курьерской службой; - при личном обращении в Общество.
14.2. Первичный учет поступивших обращений от субъектов ПДн осуществляется в соответствии с правилами внутреннего документооборота Общества.
14.3. Ответ субъекту ПДн (или его представителю) направляется Обществом вне зависимости от формы обращения субъекта (письменная или электронная) и результатов рассмотрения обращения.
14.4. В случае если обращение направлено субъектом ПДн (или его представителем) повторно с целью получения информации об обработке его ПДн, Общество осуществляет проверку временного периода, прошедшего с даты последнего обращения субъекта ПДн (или его представителя). Если данный временной период составляет менее 30 (тридцати) рабочих дней и по предыдущему обращению субъекта ПДн была предоставлена полная информация в соответствии с его обращением, Общество готовит и направляет письменный ответ субъекту ПДн (или его представителю) с отказом в предоставлении запрашиваемых субъектом персональных данных сведений со ссылкой на п. 6 ст. 14 Федерального закона от 27.07.2006 № 152–ФЗ «О персональных данных».
14.5. Обращения субъектов ПДн (или их представителей) проверяются на наличие: - Ф.И.О. заявителя (представителя субъекта ПДн – если применимо); 1 - Ф.И.О. субъекта ПДн; - Номер основного документа, удостоверяющего личность субъекта ПДн (и его законного представителя – если применимо), сведений о дате выдачи указанного документа и выдавшем органе, а также документа, подтверждающего право представления интересов субъекта (для законного представителя); - сведения, подтверждающие участие субъекта ПДн в отношениях с Обществом (факт обработки ПДн Обществом); - собственноручная подпись субъекта ПДн (или его представителя) – для письменных обращений.
14.6. В случае необходимости Общество запрашивает дополнительную информацию у субъекта ПДн (или его представителя).
14.7. Предоставление информации и/или принятие иных мер в связи с поступлением обращений и запросов от Субъектов ПДн осуществляется Обществом в объеме и сроки, предусмотренные законодательством РФ. Установленный законодательством РФ срок ответа Субъекту ПДн на обращение и запрос о предоставлении информации, касающейся обработки его ПДн, может быть продлен на основании установленных ФЗ-152 ограничений с направлением в адрес Субъекта ПДн мотивированного уведомления, содержащего сведения о причинах продления срока предоставления запрашиваемой информации.
15. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
15.1. Сотрудники Общества, непосредственно осуществляющие обработку ПДн, должны быть ознакомлены под роспись до начала работы с положениями законодательства РФ о ПДн, в том числе с требованиями к защите ПДн, документами, определяющими политику Общества в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, информационной безопасности, с данной Политикой и изменениями к ней.
15.2. Политика вступает в силу с момента ее утверждения генеральным директором и действует до момента принятия Политики в новой редакции в случае изменения законодательства Российской Федерации в области обработки и защиты ПДн, либо по решению генерального директора Общества.
15.3. При изменениях законодательства Российской Федерации и нормативных правовых актов (далее - законодательство РФ) настоящая Политика подлежит актуализации, а до момента внесения в него изменений – применяется в части, не противоречащей законодательству РФ.
15.4. При выявлении недостаточно эффективных мер Политики генеральный директор Общества организует выработку и реализацию плана действий по актуализации Политики.
15.5. Контроль над реализацией настоящей Политики лежит на Ответственном за организацию обработки и обеспечение безопасности персональных данных.
1.1 Политика обработки и защиты персональных данных (далее - Политика) разработана в целях организации защиты прав субъектов персональных данных и определения принципов и подходов в ООО «ПР-Факторинг» (далее - «Общество»).
1.2 при обработке и защите персональных данных сотрудников, бывших сотрудников, претендентов на работу, стажёров и практикантов, лиц, работающих по гражданско-правовым договорам, клиентов, контрагентов, контролирующих Общество физических лиц (бенефициаров), членов органов управления Общества, в т.ч. членов Совета директоров (при формировании), аффилированных и связанных с Обществом.
1.3 Целью Политики, является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.4 Политика является внутренним нормативным документом Общества первого уровня, который формулирует и отображает позицию Общества в отношении обработки персональных данных сотрудников, клиентов, контрагентов и иных лиц.
1.5 Действие настоящей Политики распространяется на любые действия, совершаемые в Обществе с персональными данными, как с использованием средств автоматизации, так и без использования средств автоматизации. Политика также распространяется на все деловые, в том числе договорные, финансовые, информационные, публичные или иные взаимодействия Общества с третьими лицами (как физическими лицами, индивидуальными предпринимателями, так и организациями), которые прямо или косвенно могут влиять на процессы, связанные с обработкой персональных данных.
1.6 Политика утверждается генеральным директором Общества и является обязательным для исполнения всеми Сотрудниками и лицами, имеющими доступ к персональным данным Субъектов персональных данных, а также контрагентами и третьими лицами, которые взяли на себя обязательство либо яв.Аяются обязанными по своему статусу исполнять требования по защите ПДн.
1.7 В Обществе действует комплекс правовых, организационных и технических мер, направленных на защи~ информации о клиентах, сотрудниках, контрагентах и других субъектах персональных данных.
1.8 Сбор, хранение, использование и распространение информации о частной жизни лица без письменного его согласия не допускаются. Персональные данные относятся к категории конфиденциальной информации.
1.9 Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено законом или соглашением сторон.
1.1О Должностные лица (Операторы), в обязанность которых входит ведение персональных данных сотрудников, претендентов на работу, клиентов, контрагентов, контролирующих общество физических лиц (бенефициаров), членов органов управления Общества обязаны обеспечить каждому Субъекту персональных данных возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
1.11 При обработке персональных данных Общество применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и руководствуется требованиями отраслевых стандартов.
1.12 Требования настоящей Политики могут детализироваться, при необходимости, иными внутренними нормативными документами Общества, которые разрабатываются с учетом требований данной Политики.
1.13 Сокращения, используемые в Положении, определены во внутреннем Справочнике терминов и сокращений, все термины и их определения применяются в настоящем Положении в значении, установленном Федеральным законом от 27.07.2006г. №152-ФЗ «О персональных данных».
2. ЦЕЛИ И ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Общество осуществляет обработку ПДн в целях исполнения требований законодательства РФ (в частности: Налоговый кодекс, Гражданский кодекс, Трудовой кодекс, Федеральные законы: «О противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма», «Об обязательном пенсионном страховании в Российской Федерации» «Об архивном деле в Российской Федерации», «О бухгалтерском учете» и др.);
2.2. Целью получения и обработки персональных данных сотрудников (текущих и бывших), соискателей, клиентов, потенциальных клиентов и представителей контрагентов является: - - осуществление операций и сделок в соответствии с Уставом Общества; заключение с Субъектом персональных данных или со связанными с Субъектом лицами любых договоров и их дальнейшего исполнения; - проведение акций, опросов, исследований, поздравлений, интервью, конкурсов, социально ориентированных мероприятий, формирования корпоративного информационного контента в телекоммуникационных и социальных сетях и каналах; - предоставление Субъекту персональных данных информации об оказываемых Обществом услугах; информирования Клиента о предложениях по продуктам и услугам Общества; - ведение кадровой работы и организации учета сотрудников Общества, обучения и должностного роста сотрудников; - заключение и исполнение договоров добровольного страхования, прохождение практики (стажировки) учащихся образовательных учреждений; - привлечение и отбор кандидатов на работу, в том числе содействие в трудоустройстве в Общество; - - - ведение бухгалтерского учета; формирование статистической отчетности; обеспечение безопасности, связанное с физическим доступом субъектов персональных данных на территорию, в здания и помещения Общества; - достижение целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей.
2.3. Перечень целей, указанных в п.2.2 не является исчерпывающим и может быть изменен в соответствии с внутренними нормативными актами и законодательством Российской Федерации.
2.4. Обработка ПДн в Обществе организована на принципах: - обработка персональных данных осуществляется на законной и справедливой основе; - обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей; - обработке подлежат только персональные данные, которые отвечают целям их обработки; - недопустимости объединения баз данных, созданных для несовместимых между собой целей обработки персональных данных; - состав и объем обрабатываемых персональных данных должен быть минимально достаточным для достижения заранее определенных целей обработки персональных данных; - процессы обработки персональных данных должны обеспечивать точность, достаточность и актуальность персональных данных по отношению к целям их обработки, а также обеспечивать своевременные удаление или уточнение неполных, или неточных данных; - хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн; - обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом; - Общество осуществляет обработку ПД, относящихся к состоянию здоровья субъектов ПДн, сведениям о судимости, но не осуществляет обработку ПДн, относящихся к расовой и 2 национальной принадлежности, политическим взглядам, религиозным и философским убеждениям и интимной жизни.
3. КАТЕГОРИИ, СОСТАВ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1 В целях выполнения основной деятельности Общество обрабатывает ПДн субъектов, включая, но не ограничиваясь: - сотрудники Общества, бывшие сотрудники, практиканты, кандидаты на замещение вакантных должностей, а также родственники сотрудников (при наличии законных оснований); - клиенты и контрагенты Общества (включая представителей юридических лиц), являющиеся физическими лицами; - выгодоприобретатели и иные лица, осуществляющие контроль над деятельностью Общества; - - члены органов управления Общества; аффилированные лица Общества (лица, прямо или косвенно влияющие на деятельность Общества; - посетители сайта Общества, которые добровольно предоставляют личные данные путем регистрации, заполнения форм обратной связи, оформления заказов или иным образом выражают согласие на обработку своих данных.
3.2 Для каждой цели обработки персональных данных в Обществе определены: - соответствующие категории и перечень обрабатываемых персональных данных; - категории Субъектов персональных данных, персональные данные которых обрабатываются Обществом; - - способы и сроки обработки и хранения персональных данных; порядок уничтожения персональных данных.
3.3 Полный перечень персональных данных, обрабатываемых в Обществе, с указанием категорий субъектов персональных данных, представлен в Приложении № 1 к Политике.
4. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка ПДн субъектов осуществляется при следующих условиях: - обработка ПДн осуществляется с согласия субъекта персональных данных на обработку его ПДн; - обработка ПДн необходима для достижения целей, предусмотренных Конституцией РФ и международными договорами РФ для осуществления и выполнения возложенных на Общество функций, полномочий и обязанностей; - обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, в том числе в случае реализации Обществом своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; - обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; - обработка ПДн необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; - обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона от 27.07.2006 N 152–ФЗ "О персональных данных", при условии обязательного обезличивания персональных данных; - осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе; - осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
4.2. Обработка персональных данных должна осуществляться только с письменного согласия субъекта персональных данных на обработку его персональных данных или его законного представителя, если иное не предусмотрено законодательством РФ. Равнозначным письменному согласию признается согласие в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации.
4.3. Общество на основании договора может поручить обработку ПДн третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку 3 ПДн, обязанность обеспечения указанным лицом конфиденциальности ПДн и безопасности ПДн при их обработке.
4.4. Общество не осуществляет трансграничную передачу ПДн на территории иностранных государств.
4.5. Обработка персональных данных может осуществляться без согласия субъекта персональных данных (или при отзыве субъектом персональных данных согласия на обработку персональных данных) при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных».
4.6. При осуществлении сбора персональных данных с использованием информационно телекоммуникационных сетей Общества до начала обработки ПДн размещает в соответствующей информационно–телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно–телекоммуникационной сети.
4.7. Общество обязано представить документы и локальные акты, указанные в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152–ФЗ "О персональных данных", и (или) иным образом подтвердить принятие мер, указанных в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152–ФЗ "О персональных данных", по запросу уполномоченного органа по защите прав субъектов персональных данных в течение 5 (Пяти) дней.
5. ОБЯЗАННОСТИ ОБЩЕСТВА
5.1 Общество обязано - осуществлять обработку персональных данных субъекта персональных данных в соответствии с законодательством Российской Федерации; - предоставлять субъекту персональных данных по его запросу информацию, предусмотренную законодательством Российской Федерации; - разъяснять субъекту персональных данных юридические последствия отказа предоставить свои персональные данные, если предоставление персональных данных является обязательным в соответствии с законодательством Российской Федерации; - при сборе и обработке персональных данных субъектов, обеспечить надлежащую защиту персональных данных; - исполнять иные обязанности в отношении обработки персональных данных, установленные законодательством Российской Федерации.
5.2 Порядок получения персональных данных
5.2.1 Все персональные данные Субъекта следует получать у него самого. Если персональные данные Субъекта возможно получить только у третьей стороны, то Субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Общество должно сообщить Субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Субъекта дать письменное согласие на их получение;
5.2.2 При принятии решений, затрагивающих интересы Субъекта, Общество не имеет права основываться на персональных данных Субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения;
5.2.3 Субъект персональных данных вправе письменно определить порядок, объем и форму распространения своих персональных данных третьим лицам (в том числе наложив на Общество обязательства транслировать свои персональные данные только при наличии оформленных с Обществом соответствующих соглашений о конфиденциальности с третьими лицами, которым персональная информация будет предоставлена).
5.3 Использование и передача персональных данных
5.3.1 Внутренний доступ (доступ внутри Общества). Лица, имеющие доступ к персональным данным Субъекта, определяются внутренними документами Общества.
5.3.2 Внешний доступ.
5.3.2.1 Потребителями персональных данных вне Общества являются государственные и негосударственные функциональные структуры: - инспекции ФНС; - правоохранительные органы; - органы статистики; - страховые компании; - военные комиссариаты; - органы социального страхования; 4 - пенсионные фонды в т.ч. негосударственные; - банки и финансовые организации; - рейтинговые агентства; - подразделения муниципальных органов управления;
5.3.2.2 Указанные в п. 5.3.2.1. организации имеют доступ к информации только в сфере своей компетенции.
5.3.2.3 Иные организации, в которые Субъект может осуществлять перечисления денежных средств (благотворительные организации, микрофинансовые организации и пр.), могут получить доступ к персональным данным Субъекта только в случае его письменного разрешения.
5.3.2.4 Иные организации могут получить сведения о Субъекте только с письменного согласия Субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами.
5.4 Защита и сохранение конфиденциальности персональных данных
5.4.1 Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности Общества.
5.4.2 Защита персональной информации внутри Общества:
5.4.2.1 Для регламентации доступа Сотрудников Общества к конфиденциальным сведениям, документам и базам данных, в целях исключения несанкционированного доступа третьих лиц и защиты персональных данных Субъектов необходимо соблюдать: - ограничение и регламентацию состава Сотрудников, имеющих доступ к персональным данным, указанных в п. 5.3.1; - строгое избирательное и обоснованное распределение документов и информации внутри Общества; рациональное размещение рабочих мест Сотрудников, при котором исключается бесконтрольное использование защищаемой информации; - знание Сотрудниками требований нормативно - методических документов по защите информации и сохранении тайны; - наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных; - - организация порядка уничтожения информации; своевременное выявление нарушения требований разрешительной системы доступа к конфиденциальной информации; - воспитательная и разъяснительная работа с Сотрудниками по предупреждению утраты и разглашению сведений при работе с конфиденциальными документами;
5.4.2.2 Для защиты персональных данных Субъектов должны соблюдаться: - порядок приема, учета и контроля деятельности посетителей; - - - - - пропускной режим Общества; учет и порядок выдачи удостоверений; технические средства охраны, сигнализации; порядок охраны территории, зданий, помещений, транспортных средств; требования к защите информации при интервьюировании и собеседованиях.
5.4.2.3 Все папки на электронных носителях, содержащие персональные данные Субъекта, должны быть защищены паролем.
5.4.3 Защита персональной информации от воздействия внешних факторов:
5.4.3.1 Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
5.4.3.2 Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
5.4.3.3 Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией.
5.4.3.4 Проведение комплекса мероприятий по исключению несанкционированного доступа к информационным ресурсам с целью предотвращения овладения конфиденциальными 5 сведениями, их использованием, а также видоизменения, уничтожения, внесения вирусов, подмены, фальсификации содержания, реквизитов документа и пр.
5.4.4 Все меры конфиденциальности при сборе, обработке и хранении персональных данных Субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
5.4.5 В случаях, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», персональные данные обезличиваются.
5.5 В целях устранения нарушений законодательства, допущенных при обработке персональных данных, а также уточнения, блокирования и уничтожения персональных данных, Общество обязано:
5.5.1 При выявлении недостоверных персональных данных или неправомерных действий с ними по запросу Субъекта, его представителя, либо уполномоченного органа по защите прав Субъектов, осуществить блокирование персональных данных, относящихся к соответствующему Субъекту, с момента такого обращения или получения такого запроса на период проверки.
5.5.2 В случае подтверждения факта недостоверности персональных данных, на основании документов, представленных Субъектом, его представителем или уполномоченным органом по защите прав Субъектов, уточнить персональные данные и снять их блокирование.
5.5.3 При выявления неправомерных действий с персональными данными, в срок не превышающий трех рабочих дней с даты выявления, устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений - уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных, уведомить Субъекта или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав Субъектов, указанный орган.
6. ПРАВА ОБЩЕСТВА
6.1 Общество имеет право проверять на достоверность персональные данные Субъекта, запрашивать на основе представленных Субъектом данных дополнительную информацию у правоохранительных, налоговых, судебных, иных государственных органов, не являющихся государственной и/или служебной тайной без письменного разрешения Субъекта.
6.2 Проверка Контрагентов ведется в соответствии с письмами Минфина России от 10.04.2009 № 03-02-07/1- 177, от 06.07.2009 № 03-02-07/1-340, от 31.12.2008 № 03-02-07/2-231; ФНС России от 11.02.2010 № 3-7-07/84; Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
6.3 При проведении идентификации Контрагента, представителя Контрагента, выгодоприобретателя, бенефициарного владельца, обновлении информации о них Общество имеет право требовать представления Контрагентом, представителем Контрагента и получать от Контрагента, представителя Контрагента документы, удостоверяющие личность, учредительные документы, документы о государственной регистрации юридического лица (индивидуального предпринимателя), а также иные документы, предусмотренные Федеральным законом от 07.08.2001 № 115-ФЗ и принимаемыми на его основе нормативными правовыми актами Российской Федерации и нормативными актами Банка России.
6.4 Общество вправе запрашивать персональные данные Контрагента и его собственников (участников, учредителей, акционеров, в том числе конечных бенефициаров), руководителя, главного бухгалтера от уполномоченного представителя Контрагента.
6.5 В случае отзыва Субъектом согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных в соответствии со ст.18 п.4.2) Федерального закона от 27 июля 2006 г. №152- ФЗ «О персональных данных» и приказа Росфинмониторинга от 17.02.2011 № 59 «Об утверждении Положения о требованиях к идентификации клиентов, представителей клиентов и (или) выгодоприобретателей, в том числе с учетом степени (уровня) риска совершения клиентом операций в целях легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма».
7. ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1 Передавать Обществу или его представителю (Оператору) комплект достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ и иными федеральными законами;
7.2 Своевременно, но не позднее 30 дней с даты соответствующего изменения, сообщать Обществу об изменении своих персональных данных.
7.3 В случае неполучения Обществом/Оператором информации об изменении персональных данных Субъекта Общество использует имеющиеся персональные данные Субъекта, и Субъект не может предъявить каких-либо претензий Обществу в связи с последствиями такого 6 использования персональных данных Субъекта.
7.4 Контрагенты обязаны предоставлять Обществу информацию, необходимую для исполнения Обществом требований Федерального закона от 07.08.2001 №115-ФЗ, включая информацию о своих выгодоприобретателях и бенефициарных владельцах, исполнительном органе (директор, бухгалтер).
8. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1 Субъект имеет право на получение сведений об Операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к нему, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных пунктом настоящей Политики. Субъект вправе требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.2 Сведения о наличии персональных данных должны быть предоставлены Обществу Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим Субъектам.
8.3 Доступ к своим персональным данным предоставляется Субъекту или его законному представителю Оператором при обращении либо при получении от него соответствующего запроса. Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Субъекта или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
8.4 Субъект имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей: - подтверждение факта обработки персональных данных Оператором, а также цель такой обработки; - - способы обработки персональных данных, применяемые Оператором; сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; - - - перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных, в том числе сроки их хранения; сведения о том, какие юридические последствия для Субъекта может повлечь за собой обработка его персональных данных.
8.5 Право Субъекта на доступ к своим персональным данным ограничивается в случае, если: обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка; предоставление персональных данных нарушает конституционные права и свободы других лиц.
8.6 Согласие на обработку персональных данных может быть отозвано Субъектом в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
9. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1 Обязательным условием обеспечения высокой надежности и эффективности функционирования системы защиты информации, является личная ответственность каждого сотрудника Общества, осуществляющего обработку персональных данных.
9.2 Каждый Сотрудник Общества, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
9.3 Сотрудники Общества, связанные с получением, обработкой и защитой ПДн Субъектов принимают обязательство о неразглашении ПДн Субъектов.
9.4 Бывшие сотрудники Общества и сотрудники, переведенные/назначенные на иную должность, не связанную с обработкой ПДн, не имеют права разглашать персональные данные Субъектов.
9.5 Разглашение ПДн (Передача их посторонним лицам, в том числе, сотрудникам Общества, не имеющим к ним Доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих ПДн, а также иные нарушения обязанностей по их защите и обработке, влечет наложение на сотрудника, имеющего Доступ к ПДн, дисциплинарного взыскания, а также несут административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.
9.6 При обеспечении безопасности ПДн во всех случаях, не описанных в настоящей Политике, 7 Общество руководствуется законодательством Российской Федерации.
10. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1 Обеспечение безопасности ПДн, обрабатываемых в информационных системах, достигается путем следующих\мер по обеспечению безопасности: - определение требований к сотрудникам, имеющим доступ к персональным данным, посредством включения в должностные инструкции/ трудовой договор соответствующих дополнений (пунктов); - проведение инструктажа сотрудников, допущенных к обработке персональных данных по информационной безопасности; - определение актуальных угроз безопасности ПДн и информационных технологий, используемых в информационных системах; - применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах Общества; - применение процедур оценки соответствия средств защиты информации; - оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы; - учет и обеспечение сохранности носителей персональных данных и средств их защиты; - реализуются меры физической защиты помещений, где размещены технические средства, обрабатывающие ПДн, и хранятся материальные носители ПДн, от несанкционированного проникновения. - обеспечение работоспособного функционирования компьютерной техники с ПД в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации; - применение правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных, ведение в информационных системах электронных журналов обращений и получения доступа. - обнаружение и регистрация фактов несанкционированного доступа к ПДн, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы ПДн и принятие мер; - установление правил доступа к ПДн, обрабатываемым в информационных системах Общества, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в информационных системах Общества; - постоянный контроль за обеспечением уровня защищенности и технические меры: - средства предотвращения несанкционированного доступа и (или) передачи; - средства защиты помещений, исключающие неконтролируемое проникновение или пребывание в них посторонних; - недопущение нарушения функционирования средств обработки и обеспечение восстановления персональных данных, модифицированных или уничтоженных; - обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них; - контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
10.2 Режим конфиденциальности и сохранности ПДн Общество обеспечивает в соответствии внутренними нормативными документами, трудовым соглашением (договором), Политикой информационной безопасности и иными Политиками и Положениями. Обществом осуществляется: - оценка вреда субъекту персональных данных в соответствии с требованиями законодательства Российской Федерации в порядке, установленном внутренними нормативными документами Общества, - оценка эффективности мер по обеспечению безопасности персональных данных, реализованных в рамках системы защиты персональных данных, не реже одного раза в 3 года, указанная оценка проводится самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.
10.3 Утечка персональных данных относится к инцидентам защиты информации, порядок управления которыми определяется внутренними нормативными документами и требованиями применимого законодательства в части сообщения об инцидентах безопасности 8 уполномоченному органу федеральной власти.
11. ВЗАИМОДЕЙСТВИЕ С ТРЕТЬИМИ ЛИЦАМИ
11.1 При предоставлении Обществом ПДн третьим лицам должны выполняться следующие условия: - передача (предоставление) ПДн третьей стороне осуществляется на основании договора, условием которого является обеспечение третьей стороной конфиденциальности и безопасности ПДн при их обработке в соответствии с требованиями законодательства Российской Федерации; - в договоре с третьим лицом определены цели обработки и перечень действий (операций) с персональными данными; - наличие письменного согласия субъекта ПДн на передачу его ПДн третьей стороне, за исключением случаев, предусмотренных законодательством Российской Федерации.
11.2 Общество в случае распространения ПДн субъекта ПДн (использование на сайте и в социальных сетях Общества) получает согласие на распространение ПДн (далее – согласие на распространение) оформленное по утвержденной в Обществе форме.
11.3 Согласие на передачу ПДн государственным структурам (военкомату, ФНС, ФСС, полиции, следственным органам и др.) не требуется в соответствии с п. 2 – 11 ч. 1 ст. 6 Закона № 152–ФЗ).
11.4 Общество обязано прекратить распространение (передачу, предоставление, доступ) ПДн по заявлению об отзыве согласия на их распространение, содержащему: - Ф. И. О.; - контакты (номер телефона, адрес электронной почты или почтовый адрес); - перечень ПДн, обработка которых должна быть прекращена.
11.5 Прекратить распространение необходимо в течение трех рабочих дней с момента получения заявления.
12. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1. Обработка биометрических персональных данных осуществляется Обществом в соответствии с требованиями к защите биометрических персональных данных, установленными в соответствии со статьей 19 Федерального закона № 152-ФЗ.
12.2. Здания и помещения Общества оборудованы системой наблюдения и регистрации, осуществляющей видеонаблюдение, непрерывную видеорегистрацию и хранение в цифровом виде видеоинформации о действиях сотрудников Общества и посетителей. Системы видеонаблюдения является элементом общей системы безопасности Общества, его филиалов, представительств и обособленных структурных подразделений и может использоваться лишь на законных основаниях (борьба с возможными правонарушениями, повышения эффективности режима безопасности доступа в помещениях Общества, обеспечения личной безопасности работников и минимизации рисков материальных потерь в Обществе, усиления контроля трудовой дисциплины, соблюдения требований по охране труда и технике безопасности).
12.3. Видеонаблюдение в Обществе осуществляется с целью антитеррористической защищенности, охраны порядка, противопожарной защиты, пресечения и фиксации противоправных действий.
12.4. Система видеонаблюдения является открытой, не направлена на сбор информации о конкретном физическом лице и входит в состав единой технической системы безопасности Общества.
12.5. Материалы фото- и/или видеосъемки, обрабатываемые и хранимые Обществом, могут использоваться для проведения процедур аутентификации и/или идентификации субъекта ПДн. Материалы фото- и/или видеосъемки в публичных местах и на охраняемой территории Общества до момента их передачи для установления личности субъекта ПДн не являются биометрическими персональными данными.
12.6. При проходе на территорию Общества может осуществляться идентификация и (или) аутентификация с использованием биометрических данных физических лиц посредством использования информационных систем, обеспечивающих функционирование пропускных пунктов.
12.7. Использование и хранение биометрических персональных данных вне информационных систем персональных данных осуществляется на материальных носителях информации и с применением технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
12.8. Технология хранения биометрических персональных данных вне информационных систем персональных данных обеспечивает: - доступ к информации, содержащейся на материальном носителе, для уполномоченных лиц; - применение средств электронной подписи или иных информационных технологий, 9 позволяющих сохранить целостность и неизменность биометрических персональных данных, записанных на материальный носитель; - обеспечение наличия письменного согласия субъекта персональных данных на обработку его биометрических персональных данных или наличия иных оснований обработки персональных данных, установленных законодательством РФ в сфере отношений, связанных с обработкой персональных данных.
13. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ПОСРЕДСТВОМ САЙТА
13.1 Официальный сайт Общества расположен в сети Интернет по адресу https://prfactoring.ru/ (далее - Сайт). В работе Сайта задействованы, в том числе, технологии cookie. Указанные технологии позволяют предоставлять пользователям Сайта настроенное под них окружение при повторном посещении Сайта.
13.2 Файлы cookie, используемые на Сайте, подразделяются на такие категории как: «необходимые», «эксплуатационные» и «функциональные».
13.3 Необходимые файлы cookie обязательны для просмотра веб-страниц Сайта и полноценного использования их функций. Без их использования невозможно обеспечить работу таких сервисов как корзина покупок и интернет-оплата.
13.4 Эксплуатационные файлы cookie собирают информацию об использовании Сайта, например, о наиболее часто посещаемых его страницах. Указанные файлы используются для оптимизации работы Сайта и упрощения для пользователей навигации по нему. Эксплуатационные файлы cookie также используются аффилированными лицами Общества в целях определения переходов пользователей на Сайт с сайтов аффилированных лиц, а также определения использования сервисов Общества, таких как осуществление онлайн-покупок в результате посещения Сайта. Вся информация, собранная с помощью указанных файлов предназначена для статистических целей и остается анонимной.
13.5 Функциональные файлы cookie позволяют Сайту запоминать пользовательский выбор при использовании Сайта. Такие файлы могут запоминать месторасположение пользователей для отображения Сайта на языке страны, в которой располагается пользователь, а также запоминать настройки размера шрифта текста и других настраиваемых параметров Сайта.
13.6 Информация собираемые посредством файлов cookie не позволяет однозначно идентифицировать пользователей Сайта.
13.7 Общество может обрабатывать файлы cookie самостоятельно или с привлечением Сервисов, Яндекс.Метрика для целей, указанных выше.
13.8 Если пользователи Сайта предпочитают не получать файлы cookie при просмотре Сайта, они могут настроить свой браузер таким образом, чтобы не получать такие файлы, либо так, чтобы браузер предупреждал пользователей перед принятием файлов cookie либо блокировал их.
14. ПОРЯДОК РАБОТЫ С ОБРАЩЕНИЯМИ
14.1. Субъект ПДн может направить обращение как на бумажном носителе, так и в форме электронного документа. Обращения, направленные в Обществе в виде электронного документа, должны быть подписаны электронной подписью в соответствии с законодательством Российской Федерации. Обращение может быть направлено следующими способами: - почтовым отправлением; - курьерской службой; - при личном обращении в Общество.
14.2. Первичный учет поступивших обращений от субъектов ПДн осуществляется в соответствии с правилами внутреннего документооборота Общества.
14.3. Ответ субъекту ПДн (или его представителю) направляется Обществом вне зависимости от формы обращения субъекта (письменная или электронная) и результатов рассмотрения обращения.
14.4. В случае если обращение направлено субъектом ПДн (или его представителем) повторно с целью получения информации об обработке его ПДн, Общество осуществляет проверку временного периода, прошедшего с даты последнего обращения субъекта ПДн (или его представителя). Если данный временной период составляет менее 30 (тридцати) рабочих дней и по предыдущему обращению субъекта ПДн была предоставлена полная информация в соответствии с его обращением, Общество готовит и направляет письменный ответ субъекту ПДн (или его представителю) с отказом в предоставлении запрашиваемых субъектом персональных данных сведений со ссылкой на п. 6 ст. 14 Федерального закона от 27.07.2006 № 152–ФЗ «О персональных данных».
14.5. Обращения субъектов ПДн (или их представителей) проверяются на наличие: - Ф.И.О. заявителя (представителя субъекта ПДн – если применимо); 1 - Ф.И.О. субъекта ПДн; - Номер основного документа, удостоверяющего личность субъекта ПДн (и его законного представителя – если применимо), сведений о дате выдачи указанного документа и выдавшем органе, а также документа, подтверждающего право представления интересов субъекта (для законного представителя); - сведения, подтверждающие участие субъекта ПДн в отношениях с Обществом (факт обработки ПДн Обществом); - собственноручная подпись субъекта ПДн (или его представителя) – для письменных обращений.
14.6. В случае необходимости Общество запрашивает дополнительную информацию у субъекта ПДн (или его представителя).
14.7. Предоставление информации и/или принятие иных мер в связи с поступлением обращений и запросов от Субъектов ПДн осуществляется Обществом в объеме и сроки, предусмотренные законодательством РФ. Установленный законодательством РФ срок ответа Субъекту ПДн на обращение и запрос о предоставлении информации, касающейся обработки его ПДн, может быть продлен на основании установленных ФЗ-152 ограничений с направлением в адрес Субъекта ПДн мотивированного уведомления, содержащего сведения о причинах продления срока предоставления запрашиваемой информации.
15. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
15.1. Сотрудники Общества, непосредственно осуществляющие обработку ПДн, должны быть ознакомлены под роспись до начала работы с положениями законодательства РФ о ПДн, в том числе с требованиями к защите ПДн, документами, определяющими политику Общества в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, информационной безопасности, с данной Политикой и изменениями к ней.
15.2. Политика вступает в силу с момента ее утверждения генеральным директором и действует до момента принятия Политики в новой редакции в случае изменения законодательства Российской Федерации в области обработки и защиты ПДн, либо по решению генерального директора Общества.
15.3. При изменениях законодательства Российской Федерации и нормативных правовых актов (далее - законодательство РФ) настоящая Политика подлежит актуализации, а до момента внесения в него изменений – применяется в части, не противоречащей законодательству РФ.
15.4. При выявлении недостаточно эффективных мер Политики генеральный директор Общества организует выработку и реализацию плана действий по актуализации Политики.
15.5. Контроль над реализацией настоящей Политики лежит на Ответственном за организацию обработки и обеспечение безопасности персональных данных.
Подпишитесь на наши социальные сети