ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Общие положения
- Политика в отношении обработки персональных данных (далее — Политика) направлена на обеспечение защиты прав субъектов персональных данных, обрабатываемых ООО «ВладФинанс» (далее – Оператор) в рамках хозяйственной деятельности, соблюдения их конфиденциальности и безопасности процессов их обработки, а также в целях исполнения требований законодательства Российской Федерации.
- Настоящая Политика раскрывает основные принципы и правила, используемые Оператором при обработке персональных данных, в том числе определяет цели, правовые основания, условия и способы такой обработки, категории субъектов персональных данных, данные которых обрабатываются Оператором, а также содержит сведения об исполнении Оператором обязанностей в соответствии с требованиями законодательства Российской Федерации и сведения о реализуемых требованиях к защите обрабатываемых персональных данных. Политика действует в отношении всех персональных данных, обрабатываемых Оператором. Политика разработана в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006г. №152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»).
- Политика, а также любые изменения и дополнения к ней утверждаются Приказом Генерального директора Оператора.
- Политика содержит сведения, подлежащие раскрытию в соответствии с ч. 1 ст. 14 ФЗ «О персональных данных», и является общедоступным документом, подлежит размещению на сайте Оператора по адресу: http://vladfinans.ru
- Термины и сокращения
- Оператор – Общество с ограниченной ответственностью «ВладФинанс»;
- Персональные данные (далее – ПДн) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн);
- Обработка ПДн - это действие (операция) или совокупность действий (операций) с ПДн, включающие сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение, обезличивание, извлечение, блокирование, уничтожение ПДн, совершаемых с использованием средств автоматизации или без использования таких средств;
- Распространение ПДн – действие или совокупность действий, направленные на передачу ПДн определенному кругу лиц (передача ПДн) или на ознакомление с ПДн неограниченного круга лиц, в том числе обнародование ПДн в СМИ, размещение в информационно- телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом;
- Информационная система - это совокупность программных и аппаратных средств, а также содержащихся в Базах данных ПДн обеспечивающих их обработку.
- Сведения об операторе, правовые основания и цели обработки ПДн
- В соответствии с требованиями действующего законодательства Российской Федерации Оператор определяет цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн, организует и осуществляет обработку ПДн, а также организует и обеспечивает защиту обрабатываемых ПДн.
Сведения об операторе: Полное наименование: Общество с ограниченной ответственностью «ВладФинанс»; Сокращенное наименование: ООО «ВладФинанс» ОГРН 5137746043628, ИНН 7704849509, КПП 770401001 Юридический адрес: 119002, г. Москва, пер. Малый Власьевский., д. 6, этаж1, пом.IV,комн.6. Почтовый адрес: 115172, г. Москва, ул. Народная, д.9, а/я 36
- Правовые основания обработки ПДн
- Оператор обрабатывает ПДн на законной и справедливой основе для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов Оператора, работников Оператора и третьих лиц.
- Оператор осуществляет деятельность в области обработки ПДн на основании и в соответствии с требованиями действующего законодательства РФ, в том числе:
- Конституции РФ;
- Федерального закона от 19 декабря 2005г. №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
- Налогового кодекса РФ;
- Гражданского кодекса РФ;
- Уголовного кодекса РФ;
- Кодекса РФ об административных правонарушениях;
- Трудового кодекса РФ;
- Федерального закона от 27 июля 2006г. №152-ФЗ «О персональных данных»;
- Федерального закона от 27 июля 2006г. №129-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федерального закона от 08 августа 2001г. №129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»;
- Федерального закона от 08 февраля 1998г. №14-ФЗ «Об обществах с ограниченной ответственностью»;
- Федерального закона от 26 июля 2006г. №135-ФЗ «О защите конкуренции»;
- Федерального закона от 07 августа 2001г. №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
- Федерального закона от 25 декабря 2008г. №273-ФЗ «О противодействии коррупции». - Обработка ПДн осуществляется Оператором с согласия соответствующего субъекта ПДн на обработку его ПДн в соответствии ФЗ «О персональных данных».
- Без согласия субъекта ПДн Оператор осуществляет обработку ПДн в следующих случаях:
- обработка ПДн необходима для достижения целей, предусмотренных международным договором РФ или законом;
- осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
- обработка ПДн необходима для осуществления прав и законных интересов Оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
- осуществляется обработка ПДн, доступ, к которым предоставлен субъектом ПДн или по его просьбе, сделанными общедоступными субъектом ПДн неограниченному кругу лиц;
- обработка ПДн необходима для исполнения договоров, где выгодоприобретателем или поручителем будет являться субъект ПДн, а также в случае реализации Оператором своего права на уступку прав (требований) по договору с выгодоприобретателем или поручителем стороной, которого является субъект ПДн;
- в иных случаях, прямо предусмотренных ФЗ «О персональных данных». - Цели обработки ПДн
- Оператор обрабатывает ПДн в целях:
- достижения целей, предусмотренных международным договором РФ или законом;
- исполнения обязанностей, возложенных на Оператора действующим законодательством РФ;
- осуществления прав и законных интересов Оператора и третьих лиц, в том числе по исполнению требований действующего законодательства РФ, обеспечению безопасности деятельности;
- достижения общественно значимых целей создания эффективных инструментов для выполнения требований законодательства, противодействия коррупции, мошенничеству, легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- осуществления прав и обязанностей работодателя, обучения работников Оператора, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества Оператора, обеспечения пользования работниками установленными законодательством РФ гарантиями, компенсациями и льготами, ведение кадрового делопроизводства;
- принятие решения о трудоустройстве кандидата;
- заключения и исполнения обязательств по договорам гражданского-правового характера, в том числе по трудовым договорам.
- Обрабатываемые категории ПДн и источники их получения
- Оператор обрабатывает ПДН следующих категорий субъектов ПДН:
- Работники Оператора, состоящие в трудовых отношениях с Оператором;
- Физические лица, являющиеся контрагентами или представителями, работниками контрагентов Оператора;
- Физические лица, в отношении которых в соответствии с положениями федерального закона ПДн являются общедоступными, подлежат обязательному раскрытию или опубликованию, подлежат внесению в Единый федеральный реестр юридически значимых сведений о фактах деятельности юридических лиц, индивидуальных предпринимателей и иных субъектов экономической деятельности, в иные общедоступные государственные реестры или информационные системы;
- Физические лица, которые в силу требований федерального закона вправе и обязаны осуществлять внесение в Единый федеральный реестр юридически значимых сведений о фактах деятельности юридических лиц, индивидуальных предпринимателей и иных субъектов экономической деятельности, в иные общедоступные государственные реестры или информационные системы;
- Физические лица, являющиеся участниками, акционерами, входящих в группу лиц Оператора, включая и самого Оператора. - Источниками получения ПДн, обрабатываемых Оператором являются:
- непосредственно субъекты ПДн (в том числе и работники Оператора, контрагенты, участники и акционеры, входящие в группу лиц Оператора);
- Федеральная налоговая служба РФ, иные государственные органы и уполномоченные организации в случая, предусмотренных действующим законодательством РФ;
- лица, которые в силу требований федерального закона вправе или обязаны осуществлять внесение в Единый федеральный реестр юридически значимых сведений о фактах деятельности юридических лиц, индивидуальных предпринимателей и иных субъектов экономической деятельности, в иные общедоступные государственные реестры или информационные системы;
- контрагенты Оператора;
- иные лица, при условии предоставления Оператору подтверждения наличия оснований, указанных в п.2-11 части 1 ст.6, части 2 ст.10 и части 2 ст.11 ФЗ «О персональных данных». - Содержание и объем обрабатываемых Оператором ПДн категорий субъектов ПДн, указанных в п.4.1. настоящей Политики, определяются в соответствии с целями обработки ПДн, указанными п.3.4.1. настоящей Политики. Оператор не обрабатывает ПДн, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями.
- Оператор обрабатывает ПДН следующих категорий субъектов ПДН:
- Основные принципы обработки, передачи и хранения ПДн
- Оператор в своей деятельности обеспечивает соблюдение принципов обработки ПДн, указанных в ст.5 ФЗ «О персональных данных», в том числе:
- Законности и справедливости целей и способов обработки ПДн;
- Соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн;
- Соответствия объема и характера, обрабатываемых ПДн, способов обработки ПДн целям их обработки;
- Достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;
- Недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих ПДн;
- Хранения ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или получателем, по которому является субъект ПДн;
- Уничтожения по достижении целей обработки ПДн или в случае утраты необходимости в их достижении, если иное не предусмотрено федеральным законом. - В отношении ПДн Оператор осуществляет действия (операции) или совокупность действий (операций), совершаемые как с использованием средств автоматизации, так и без использования таких средств (далее – смешанный способ обработки ПДн), включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
- Оператор использует смешанный способ обработки ПДн с передачей информации по внутренней локальной сети Оператора и с передачей информации по информационно- телекоммуникационной сети Интернет. При обработке ПДн с использованием средств автоматизации Оператор использует, в том числе информационные технологии и технические средства, включая средства вычислительной техники, информационно-технические комплексы и сети, средства и системы передачи, приема и обработки ПДн, программные средствам (ОС, СУБД и т.п.), средства защиты информации, применяемые в информационных системах.
- Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением предусмотренных законодательством случаев.
- Обработка ПДн осуществляется на основании условий, определенных законодательством РФ. Условия обработки отдельных категорий ПДн Оператором закрепляются, в том числе локальными актами Оператора, регулирующими соответствующие сферы деятельности Оператора.
- При обработке ПДн Оператор обеспечивает их точность, достаточность и в необходимых случаях актуальность по отношению к целям обработки ПДн. Оператор принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных или неточных ПДн.
- Оператор раскрывает обрабатываемые ПДн только на основаниях и в случаях, предусмотренных законодательством РФ.
- Сроки обработки ПДн определяются в соответствии со сроком, указанным в согласии субъекта ПДн, а также в соответствии с иными требованиями законодательства РФ и нормативными документами Оператора.
- Оператор прекращает обработку ПДн в случаях: достижение цели обработки ПДн; изменение, признание утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки ПДн; выявление неправомерной обработки ПДн, осуществляемой Оператором; отзыв субъектом ПДн согласия на обработку его ПДн, если в соответствии с положениями ФЗ «О персональных данных» обработка этих ПДн допускается только с согласия субъекта ПДн.
- Уничтожение Оператором ПДн осуществляется в порядке и сроки, предусмотренные ФЗ «О персональных данных».
- Оператор в своей деятельности обеспечивает соблюдение принципов обработки ПДн, указанных в ст.5 ФЗ «О персональных данных», в том числе:
- Сведения об обеспечении безопасности персональных данных
- Оператор назначает ответственного за организацию обработки персональных данных для выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
- Оператор принимает необходимые правовые, организационные, технические, физические, криптографические меры по обеспечению безопасности ПДн для обеспечения конфиденциальности ПДн и их защиты от неправомерных действий:
- обеспечивает неограниченный доступ к Политике, копия которой размещена по адресу нахождения Оператора, а также размещена на сайте Оператора;
- во исполнение Политики утверждает и приводит в действие документ «Положение об обработке персональных данных» (далее — Положение) и иные локальные акты;
- производит ознакомление работников с положениями законодательства о ПДн, а также с Политикой и Положением;
- осуществляет допуск работников к ПДн, обрабатываемым в информационной системе Оператора, а также к их материальным носителям только для выполнения трудовых обязанностей;
- устанавливает правила доступа к ПДн, обрабатываемым в информационной системе Оператора, а также обеспечивает регистрацию и учёт всех действий с ними;
- производит оценку вреда, который может быть причинен субъектам ПДн в случае нарушения ФЗ «О персональных данных»;
- производит определение угроз безопасности ПДн при их обработке в информационной системе Оператора;
- применяет организационные и технические меры и использует средства защиты информации, необходимые для достижения установленного уровня защищенности ПДн;
- осуществляет обнаружение фактов несанкционированного доступа к ПДн и принимает меры по реагированию, включая восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- производит оценку эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы Оператора;
- осуществляет внутренний контроль соответствия обработки ПДн ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, Политике, Положению и иным локальным актам, включающий контроль за принимаемыми мерами по обеспечению безопасности ПДн и их уровня защищенности при обработке в информационной системе Оператора.
- Права субъектов ПДн
- Субъект ПДн имеет право:
- на получение ПДн, относящихся к данному субъекту, и информации, касающейся их обработки;
- на уточнение, блокирование или уничтожение его ПДн в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- на отзыв данного им согласия на обработку ПДн;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке;
- на обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке. - Для реализации своих прав и законных интересов субъекты ПДн имеют право обратиться к Оператору, либо направить запрос лично или с помощью представителя. Запрос должен содержать сведения, указанные в части 3 ст. 14 ФЗ «О персональных данных».
- Субъект ПДн имеет право: