УТВЕРЖДЕНО

Генеральный директор ООО «Оператор инвестиционной платформы»

           ________________ (Волгин А. В.)

 

 

 

Политика в отношении обработки и защиты персональных данных

Общества с ограниченной ответственностью

«Оператор инвестиционной платформы»

 

1. Общие положения

     1.1. Настоящая Политика в отношении обработки и защиты персональных данных (далее – Политика) разработана Обществом с ограниченной ответственностью «Оператор инвестиционной платформы» (далее – Общество) в соответствии со ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о ПДн) и является основополагающим внутренним регулятивным документом Общества, определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее - ПДн), оператором которых является Общество.

     1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты ПДн и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн в Обществе, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.

     1.3. Положения Политики распространяются на отношения по обработке и защите ПДн, полученных Обществом как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПДн, полученных до ее утверждения.

     1.4. Если в отношениях с Обществом участвуют наследники (правопреемники) и/или представители субъектов ПДн, то Общество становится оператором ПДн лиц, представляющих указанных субъектов. Положения Политики и другие внутренние регулятивные документы Общества распространяются на случаи обработки и защиты ПДн наследников (правопреемников) и/или представителей субъектов ПДн, даже если эти лица во внутренних регулятивных документах прямо не упоминаются, но фактически участвуют в правоотношениях с Обществом.

     1.5. Политика является общедоступным документом, декларирующим концептуальные основы деятельности Общества при обработке персональных данных.

     1.6. Общество обрабатывает персональные данные в следующих целях:

  • рассмотрение возможности совершения финансовых операций и/или сделок (инвестирование, заключение договоров займа, договоров залога и т.д.) в соответствии с правами, предоставленными Обществу гражданским законодательством, Федеральным законом от 02.08.2019 N 259-ФЗ "О привлечении инвестиций с использованием инвестиционных платформ и о внесении изменений в отдельные законодательные акты Российской Федерации";
  • предоставление отчетности государственным контрольным и надзорным органам в соответствии с требованиями действующего законодательства Российской Федерации;
  • предоставление сведений уведомительного или маркетингового характера, в том числе о новых финансовых продуктах, услугах, проводимых акциях, мероприятиях (по которым имеется предварительное согласие субъекта персональных данных на их получение);
  • заключение и исполнение договоров с субъектами персональных данных и/или реализация совместных проектов;
  • проведение мероприятий по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
  • формирование данных о кредитной истории;
  • проведение мероприятий по урегулированию заявлений, претензий, сообщений субъектов персональных данных по вопросам качества обслуживания, предоставления продуктов, деятельности каналов продаж;
  • обеспечения пропускного и внутриобъектового режима на объектах Общества;
  • рассмотрение возможности заключения трудового соглашения/договора с субъектом персональных данных;
  • регулирование трудовых (гражданско-правовых) отношений субъекта персональных данных с Обществом (обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества работника и Общества как работодателя);
  • рассмотрение возможности установления договорных отношений с субъектом персональных данных по его инициативе с целью дальнейшего предоставления финансовых и иных услуг путем заключения договора, одной из сторон которого, либо выгодоприобретателем по которому является субъект персональных данных;
  • передача Обществом персональных данных или поручение их обработки третьим лицам в соответствии с действующим законодательством;
  • осуществление иных функций, полномочий и обязанностей, возложенных на Общество действующим законодательством Российской Федерации.

 

2. Правовые основания обработки персональных данных

    2.1. Политика Общества в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами Российской Федерации:

  • Конституцией Российской Федерации;
  • Трудовым кодексом Российской Федерации;
  • Гражданским кодексом Российской Федерации;
  • Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
  • Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральным законом от 29.11.2010 N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
  • Федеральным законом от 02.08.2019 № 259-ФЗ "О привлечении инвестиций с использованием инвестиционных платформ и о внесении изменений в отдельные законодательные акты Российской Федерации";
  • иными нормативными правовыми актами Российской Федерации.

   2.2. Состав указанных в Политике мер, включая их содержание и выбор средств защиты ПДн, определяется, а внутренние регулятивные документы об обработке и защите ПДн утверждаются (издаются) Обществом, исходя из требований:

  • Закона о ПДн;
  • главы 14 Трудового кодекса Российской Федерации;
  • постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
  • приказа ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн";
  • постановления Правительства Российской Федерации от 15 сентября 2008 г. N687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
  • постановления Правительства Российской Федерации РФ от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";
  • иных нормативных правовых актов Российской Федерации об обработке и защите ПДн.

    2.3. Общество разрабатывает и утверждает локальные нормативные акты, которые регулируют вопросы разграничения доступа к ресурсам информационных систем персональных данных (ИСПДн), учета машинных носителей ПДн, антивирусного контроля, контроля соблюдения законодательства и локальных актов в области ПДн, разграничения доступа к ресурсам информационных систем и другие вопросы, решение которых необходимо для реализации целей настоящей  Политики.

    2.4. В связи с реализацией своих прав и обязанностей как юридического лица, Общество обрабатывает персональные данные физических лиц, являющихся:

единоличным исполнительным органом и членом коллегиальных исполнительных органов Общества,

    работниками Общества,

    лицами, предоставляющими Обществу работы (услуги),

    инвесторами (возможными инвесторами),

    заемщиками (возможными заемщиками),

    иными контрагентами  (возможными контрагентами) Общества по гражданско-правовым договорам,

    руководителями, членами коллегиальных исполнительных органов и представителями юридических лиц – клиентов или контрагентов Общества,

    физических лиц, ПДн которых используются для осуществления пропускного режима в занимаемых Обществом помещениях,

    граждан, письменно обращающихся в Общество по вопросам его деятельности.

    2.5. Общество получает и обрабатывает ПДн на основании федеральных законов и иных нормативных правовых актов Российской Федерации, а в необходимых случаях при наличии письменного согласия субъекта ПДн.

    2.6. В целях исполнения возложенных на Общество функций Общество, в установленном законодательством Российской Федерации порядке, вправе поручать обработку ПДн третьим лицам. В договоры с указанными лицами Общество включает условия, обязывающие таких лиц соблюдать предусмотренные законодательством требования к обработке и защите ПДн.

    2.7. Общество предоставляет обрабатываемые им ПДн государственным органам и организациям, имеющим, в соответствии с федеральным законом, право на получение соответствующих ПДн.

    2.8. В Обществе не производится обработка ПДн, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки ПДн в Обществе, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Обществом ПДн уничтожатся или обезличиваются.

    2.9. При обработке ПДн обеспечиваются их точность, достаточность, а при необходимости и актуальность по отношению к целям обработки. Общество принимает необходимые меры по удалению или уточнению неполных или неточных ПДн.

 

3. Информация об Обществе, как операторе персональных данных

Наименование

Общество с ограниченной ответственностью «Оператор инвестиционной платформы»

ИНН/КПП

7814733360/781401001

ОГРН

1187847185140

Адрес регистрации

Россия, 197342, г. Санкт-Петербург, наб. Черной речки, д. 41, литер В, пом. 70-Н (ч. 73), офис 105

Адрес фактический

Россия, 197342, г. Санкт-Петербург, наб. Черной речки, д. 41, литер В, пом. 70-Н (ч. 73), офис 105

Адрес для получения электронной корреспонденции

support@lendly.ru

    Приказом по Обществу в ООО «Оператор инвестиционной платформы» назначается лицо, ответственное за организацию обработки и обеспечения безопасности персональных данных.

 

4. Информация об уполномоченном государственном органе

    Уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

    Роскомнадзор, Управление по защите прав субъектов персональных данных

    Адрес: 109074, г. Москва, Китайгородский пр., д.7, стр.2.

    Справочно-информационный центр:

    Тел.: +7 (495) 983-33-93

    Факс: +7 (495) 587-44-68

    Общий электронный адрес Роскомнадзора - rsoc_in@rkn.gov.ru

    Сайт: rkn.gov.ru

     Управление Роскомнадзора по Северо-Западному федеральному округу:

Адрес

190900, Санкт-Петербург г., ул. Галерная, д. 27, литер А

Телефон

8(812)6789526

Факс

8(812)616-47-29

E-mail

rsockanc78@rkn.gov.ru

Сайт

78.rkn.gov.ru

 

5. Основные понятия в области персональных данных

   Под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу, в том числе:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес регистрации, место проживания;
  • семейное, социальное, имущественное положение;
  • образование, профессия, доходы и т.п.

   Также в Политике используются следующие понятия:

   Оператор персональных данных – юридическое лицо самостоятельно или совместно с третьими лицами, организующее и осуществляющее обработку персональных данных, а также определяющее цели обработки, состав персональных данных и действия с ними.

   Субъект персональных данных – физическое лицо, персональные данные которого обрабатываются оператором персональных данных.

   Обработка персональных данных – любое действие, совершаемое с персональными данными, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

   Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

   Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

   Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

   Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

   Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

   Изменение персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, влекущих уточнение, изменение полностью или в части персональных данных, наличествующих на дату осуществления действия по изменению.

   Информационная система персональных данных – совокупность содержащихся в базах персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

 

6. Основные принципы обработки, передачи и хранения персональных данных

    6.1. Основной задачей обеспечения безопасности ПДн при их обработке в Обществе является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПДн, разрушения (уничтожения) или искажения их в процессе обработки.

    6.2. Для обеспечения безопасности ПДн Общество руководствуется следующими принципами:

    1) законность: защита ПДн основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПДн;

    2) системность: обработка ПДн в Обществе осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн;

    3) комплексность: защита ПДн строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах (далее - ИС) и других имеющихся в Обществе систем и средств защиты;

    4) непрерывность: защита ПДн обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки ПДн, в том числе при проведении ремонтных и регламентных работ;

    5) своевременность: меры, обеспечивающие надлежащий уровень безопасности ПДн, принимаются до начала их обработки;

    6) преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты ПДн осуществляется на основании результатов анализа практики обработки ПДн в Обществе с учетом выявления новых способов и средств реализации угроз безопасности ПДн, отечественного и зарубежного опыта в сфере защиты информации;

    7) персональная ответственность: ответственность за обеспечение безопасности ПДн возлагается на работников Общества в пределах их обязанностей, связанных с обработкой и защитой ПДн;

    8) минимизация прав доступа: доступ к ПДн предоставляется работникам только в объеме, необходимом для выполнения их должностных обязанностей;

    9) гибкость: обеспечение выполнения функций защиты ПДн при изменении характеристик функционирования информационных систем персональных данных Общества (далее - ИСПДн), а также объема и состава обрабатываемых ПДн;

    10) открытость алгоритмов и механизмов защиты: структура, технологии и алгоритмы функционирования системы защиты ПДн Общества (далее - СЗПДн) не дают возможности преодоления имеющихся в Обществе систем защиты возможными нарушителями безопасности ПДн;

    11) научная обоснованность и техническая реализуемость: уровень мер по защите ПДн определяется современным уровнем развития информационных технологий и средств защиты информации;

    12) специализация и профессионализм: реализация мер по обеспечению безопасности ПДн и эксплуатация СЗПДн осуществляются работниками, имеющими необходимые для этого квалификацию и опыт;

    13) эффективность процедур отбора кадров и выбора контрагентов: Общество осуществляет тщательный подбор персонала и мотивацию работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности ПДн; минимизация вероятности возникновения угрозы безопасности ПДн, источники которых связаны с человеческим фактором, обеспечивается получением наиболее полной информации о контрагентах Общества до заключения договоров;

    14) наблюдаемость и прозрачность: меры по обеспечению безопасности ПДн должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;

    15) непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты ПДн, а результаты контроля регулярно анализируются.

 

7. Доступ к обрабатываемым персональным данным

     7.1. Доступ к обрабатываемым в Обществе ПДн имеют лица, уполномоченные приказом руководителя Общества, лица, которым Общество поручило обработку ПДн на основании заключенного договора, а также лица, чьи ПДн подлежат обработке.

     7.2. Доступ Работников к обрабатываемым ПДн осуществляется в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов Общества.

     7.3. Допущенные к обработке ПДн работники под роспись знакомятся с документами Общества, устанавливающими порядок обработки ПДн, включая документы, устанавливающие права и обязанности конкретных работников.

     7.4. Сбор ПДн осуществляется у субъекта ПДн. Если предоставление ПДн является обязательным в соответствии с законодательством Российской Федерации, субъекту ПДн при его обращении разъясняются законодательно установленные юридические последствия отказа в предоставлении таких данных.

     7.5. Получение и обработка персональных данных в случаях, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных», осуществляется Обществом с письменного согласия субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.

     7.6. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его надлежаще уполномоченным представителем в любой, позволяющей подтвердить факт его получения, форме, если иное не установлено Федеральным законом № 152-ФЗ «О персональных данных».

     7.7. Общество вправе обрабатывать персональные данные без согласия субъекта персональных данных (или при отзыве субъектом персональных данных согласия на обработку персональных данных) при наличии оснований, предусмотренных положениями Федерального закона № 152-ФЗ «О персональных данных».

     7.8. Персональные данные субъекта могут быть получены Обществом от лица, не являющегося субъектом персональных данных, при условии предоставления Обществу подтверждения наличия оснований, указанных в подпунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ «О персональных данных» или иных оснований, предусмотренных федеральным законодательством. При получении персональных данных у третьей стороны субъект уведомляется об этом.

     7.9. Получение и обработка специальных категорий персональных данных физического лица, касающихся его расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни не допускается. В случаях, когда обработка таких сведений необходима в связи с исполнением договорных обязательств, они могут быть получены и обработаны только с письменного согласия самого физического лица. Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась такая обработка.

     7.10. Обработка сведений о состоянии здоровья осуществляется Обществом в соответствии с Трудовым Кодексом, Федеральным законом «Об обязательном медицинском страховании в Российской Федерации», а также пунктом 2.3 части 2 статьи 10 Федерального закона № 152-ФЗ «О персональных данных».

     7.11. Общество не обрабатывает сведения, которые характеризуют физиологические особенности субъектов персональных данных и на основе которых можно установить их личность. В соответствии с требованиями ГОСТ Р ИСО/МЭК 19794-5–2006 «Автоматическая идентификация. Идентификация биометрическая. Данные изображения лица».

     Система охранного видеонаблюдения, используемая Обществом, не обрабатывает биометрические персональные данные, на основании которых возможно идентифицировать личность клиента Общества.

     При сканировании или ксерокопировании фотографий в документах, идентифицирующих личность субъектов персональных данных (например, в паспортах), данные изображения не соответствуют требованиям, предъявляемым к форматам записи изображения, установленными ГОСТ Р ИСО\ МЭК 19794-5-2006.

     В случае если обработка биометрических персональных данных субъекта персональных данных необходима Обществу в соответствии с действующим законодательством Российской Федерации или для осуществления деятельности Общества, то такая обработка осуществляется с письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации в области персональных данных.

     7.12. Обработка персональных данных осуществляется в случаях, когда получено согласие субъекта на обработку его персональных данных или в иных случаях, предусмотренных законодательством.

     Обработка персональных данных осуществляется исключительно в целях соблюдения законов и нормативных правовых актов Российской Федерации, заключения договоров и исполнения договорных обязательств.

     Обработку персональных данных осуществляют только работники оператора, допущенные к данной работе в установленном порядке.

     7.13. Персональные данные обрабатываются как на бумажных носителях, так и в электронном виде (в информационных системах персональных данных, на машинных носителях).

     7.14. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством либо договором, стороной которого является субъект персональных данных.

     7.15. Сроки обработки персональных данных определяются в соответствии со сроком действия договора с субъектом персональных данных, Приказом Минкультуры Российской Федерации от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроком исковой давности, а также иными требованиями законодательства Российской Федерации и нормативными документами Банка России.

     7.16. В Обществе создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в Обществе данных типовых форм документов установлены Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

     Хранение персональных данных осуществляется с учетом обеспечения режима их конфиденциальности.

     7.18. Персональные данные уничтожаются либо обезличиваются по достижении целей обработки или по истечении срока хранения, установленного договором между субъектом персональных данных и Обществом или иным документом, устанавливающим срок обработки персональных данных.

     7.19. Право доступа к персональным данным, обрабатываемым в Обществе, имеют:

  • Генеральный директор Общества;
  • Ответственный за обработку персональных данных в Обществе;
  • Ответственный за обеспечение безопасности персональных данных в Обществе;
  • работники Общества, для которых обработка персональных данных прямо необходима в связи с исполнением их должностных обязанностей. Допуск работников к персональным данным осуществляется руководством в установленном порядке.

 

8.Категории обрабатываемых персональных данных

    В информационных системах ПДн Общества обрабатываются следующие категории ПДн:

  • ПДн работников Общества;
  • ПДн индивидуальных предпринимателей, предоставивших свои персональные данные в связи с заключением договора с Обществом о содействии в привлечении инвестиций;
  • ПДн физических лиц, в том числе индивидуальных предпринимателей, - инвесторов, залогодателей, поручителей;
  • ПДн физических лиц - руководителей (представителей), учредителей юридических лиц, подписывающих с Обществом договоры, которые заключаются или могут быть заключены в будущем между Обществом и юридическим лицом;
  • ПДн физических лиц, обратившихся к Обществу в целях трудоустройства и предоставивших свои персональные данные;
  • ПДн физических лиц, являющихся аффилированными лицами Общества или руководителями, участниками (акционерами), аудиторами/ревизорами или работниками юридического лица, являющегося аффилированным лицом по отношению к Обществу;
  • ПДн физических лиц, являющихся посетителями Общества или обратившихся к Обществу с запросом любого характера, и предоставивших в связи с этим свои персональные данные. Источники получения: субъекты персональных данных Общества.

 

9. Третьи лица, участвующие в обработке персональных данных

    9.1. В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Общество в ходе своей деятельности предоставляет персональные данные следующим организациям:

  • Федеральной налоговой службе;
  • Пенсионному фонду России;
  • Негосударственным пенсионным фондам;
  • Страховым компаниям;
  • Кредитным организациям;
  • Регулирующим и/или контролирующим органам государственной власти и местного самоуправления;
  • Банку России;
  • Бюро кредитных историй;
  • Центральному каталогу кредитных историй.

    9.2. Передача персональных данных третьему лицу осуществляется только с согласия субъекта персональных данных или в случаях, прямо предусмотренных законодательством Российской Федерации, а также условиями договора, заключенного субъектом персональных данных с Обществом.

    9.3. Общество вправе поручить обработку персональных данных третьей стороне с согласия субъекта персональных данных и в иных случаях, предусмотренных действующим законодательством Российской Федерации, на основании заключаемого с этой стороной договора, (далее по тексту – поручение). Третья сторона, осуществляющая обработку персональных данных по поручению Общества, обязана соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных», обеспечивая конфиденциальность и безопасность персональных данных при их обработке.

    9.4. Передача персональных данных на территории иностранных государств, являющихся сторонами Страсбургской Конвенции от 28.01.1981, или находящихся в перечне, утвержденном Приказом Роскомнадзора от 15.03.2013 N 274, а также в соответствии с пунктом 4 статьи 12 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», осуществляется Обществом в случаях, необходимых для исполнения договора, стороной которого является субъект персональных данных.

    9.5. Раскрытие персональных данных третьему лицу в коммерческих целях без согласия соответствующего субъекта персональных данных запрещено. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации осуществляется только при условии предварительного согласия на это субъекта персональных данных.

 

10. Обеспечение безопасности персональных данных

    10.1. При обработке персональных данных Обществом принимаются все необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в соответствии с требованиями статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

    10.2. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:

  • назначением ответственных за организацию обработки персональных данных;
  • осуществлением внутреннего контроля на соответствие обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам;
  • ознакомлением работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и/или обучением указанных работников;
  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
  • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • учетом бумажных и машинных носителей персональных данных;
  • выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
  • контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

    10.3. Обязанность должностных лиц, осуществляющих обработку и обеспечение безопасности персональных данных, а также их ответственность определяются законодательством Российской Федерации и локальными нормативными актами Общества.

 

11. Права субъектов персональных данных

    11.1. Субъект персональных данных имеет право

  • на получение сведений об обработке его персональных данных Обществом;
  • требовать от Общества, которое их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
  • обратиться к Обществу, которое рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке;
  • обжаловать действия или бездействие Общества путем обращения в уполномоченный орган по защите прав субъектов персональных данных;
  • на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

    11.2. Любой субъект, персональные данные которого обрабатываются в Обществе, имеет право доступа к своим персональным данным, в том числе к следующей информации:

  • подтверждение факта обработки его персональных данных;
  • правовые основания и цели обработки его персональных данных;
  • цели и применяемые оператором персональных данных способы обработки персональных данных;
  • наименование и место нахождения оператора, сведения о лицах, которые имеют доступ к персональным данным (за исключением работников оператора) или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании законодательства;
  • перечень обрабатываемых персональных данных, относящиеся к соответствующему субъекту, и источник их получения;
  • сроки обработки персональных данных и сроки их хранения;
  • порядок осуществления субъектом прав, предусмотренных законодательством;
  • наименование лица, осуществляющего обработку персональных данных по поручению оператора, в случае если обработка поручена третьему лицу.

    11.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в случаях если:

  • обработка персональных данных, включая те, что получены в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, выполняется в целях укрепления обороны страны, обеспечения безопасности государства и охраны правопорядка;
  • обработка персональных данных производится органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, когда допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
  • обработка персональных данных выполняется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
  • доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
  • обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

 

12. Ответственность

    За нарушение требований, установленных законодательством Российской Федерации, Положением и другими локальными актами Общества, работники и иные лица, получившие доступ к персональным данным несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с федеральными законами Российской Федерации.

 

13. Заключительные положения

    13.1. Настоящая Политика вступает в силу с момента её утверждения и действует бессрочно. Изменения в Политику вносятся отдельными локальными нормативными актами Общества.

    13.2. Настоящая Политика утверждается руководящим органом Общества, является общедоступной и подлежит размещению на официальном сайте Общества в информационно-телекоммуникационной сети Интернет.

    13.3. В соответствии с положениями пункта 2 статьи 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Общество обязано обеспечить неограниченный доступ к настоящей Политике, а также обеспечить возможность неограниченного доступа к указанному документу с использованием средств информационно-телекоммуникационной сети «Интернет» всех заинтересованных лиц, в том числе субъектов персональных данных и органов власти, осуществляющих контрольно-надзорную функцию в области персональных данных.

    13.4. Контроль исполнения требований настоящей Политики осуществляется ответственным за обработку и обеспечение безопасности персональных данных Общества.

    13.5. Ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Общества.

    13.6. Настоящая Политика подлежит изменению, дополнению в случае внесения изменений в действующие законодательные акты и появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.