ПОЛИТИКА в отношении обработки персональных данных Акционерного общества «Смарт Финансы» (утверждена Генеральным директором Общества «26» октября 2020 года)

ОБЩИЕ ПОЛОЖЕНИЯ

Термины и определения:

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информация – сведения (сообщения, данные) независимо от формы их представления. Конфиденциальность персональных данных – обязательное для соблюдения Обществом или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Общество – Акционерное общество «Смарт Финансы».

Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, в том числе Общество, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). Политика – настоящая политика в отношении обработки персональных данных Общества. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Работники – физические лица, состоящие (состоявшие) в трудовых отношениях с Обществом.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Субъекты персональных данных – определенное или определяемое физическое лицо. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

 Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Настоящая Политика разработана в соответствии с требованиями Конституции Российской Федерации, Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и иных нормативных правовых актов Российской Федерации регулирующих вопросы обработки и защиты персональных данных, определяет политику Общества как оператора, осуществляющего обработку персональных данных.

Политика опубликована для неограниченного доступа на сайте Общества.

Общество гарантирует соблюдение конфиденциальности в отношении обрабатываемых персональных данных с учетом положений настоящей Политики и обязуется использовать их только в указанных в Политике целях.

Положения Политики служат основой для разработки внутренних документов Общества, регламентирующих в Обществе вопросы обработки персональных данных работников Общества и других субъектов персональных данных.

Сведениями, составляющими персональные данные, в Обществе является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

С целью поддержания деловой репутации и обеспечения выполнения норм законодательства Российской Федерации по вопросам обработки персональных данных Общество считает важнейшими задачами обеспечение легитимности обработки персональных данных в своей деятельности и обеспечение надлежащего уровня безопасности обрабатываемых персональных данных.

Персональные данные являются конфиденциальной, строго охраняемой информацией и на них распространяются все требования, установленные внутренними документами Общества, к защите конфиденциальной информации.

ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Принципы обработки персональных данных

Общество, являясь оператором персональных данных, осуществляет обработку персональных данных субъектов персональных данных на основе следующих принципов:

a)      законности и справедливости целей и способов обработки персональных данных;

b)      ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;

c)      недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;

d)      недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

e)      обработки только тех персональных данных, которые отвечают целям их обработки;

f)       соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;

g)      недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;

h)      обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;

i)       хранения персональных данных в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем является субъект персональных данных;

j)       уничтожения либо обезличивания персональных данных по достижении целей их обработки, в случае утраты необходимости в достижении этих целей или при невозможности устранения Обществом допущенных нарушений при обработке персональных данных, если иное не предусмотрено федеральным законом;

k)      обработки персональных данных с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных;

l)       защиты персональных данных с использованием функциональных возможностей информационных технологий, реализованных в информационной системе Общества и других имеющихся в Обществе систем и средств защиты;

m)    обеспечения защиты персональных данных на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных, в том числе при проведении ремонтных и регламентных работ;

n)      применения мер, обеспечивающих надлежащий уровень безопасности персональных данных, до начала обработки персональных данных.

При обработке персональных данных Общество принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Обеспечение безопасности персональных данных достигается, в частности:

  1. Назначением ответственного лица за организацию обработки персональных данных.
  2. Применением правовых, технических и организационных мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
  3. Разработкой и утверждение локальных актов по вопросам обработки и защиты персональных данных.
  4. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
  5. Оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения требований законодательства, соотношение вреда и принимаемых Обществом мер безопасности.
  6. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
  7. Установление индивидуальных паролей доступа работников в информационную систему в соответствии с их производственными обязанностями.
  8. Соблюдение условий, исключающих несанкционированный доступ к материальным носителям персональных данных и обеспечивающих сохранность персональных данных.
  9. Использование охраняемых помещений с разграниченным доступом для размещения запираемых шкафов для хранения бумажных носителей персональных данных.
  10. Ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных.
  11. Обнаружение фактов несанкционированного доступа к персональным данным и принятием мер.
  12. Утверждение перечня лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.
  13. Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
  14. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
  15. Доступ к персональным данным предоставляется только уполномоченным сотрудникам Общества, которые взяли на себя обязательство сохранять конфиденциальность такой информации.

Условия обработки персональных данных:

  1. Обработка персональных данных в Обществе осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации.
  2. Общество без согласия субъекта персональных данных не раскрывает их третьим лицам, если иное не предусмотрено Федеральным законом.
  3. Доступ к обрабатываемым в Обществе персональным данным разрешается только работникам Общества в соответствии с перечнем должностей, имеющим доступ к персональным данным.

Конфиденциальность персональных данных:

Работники Общества, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам, не распространять персональные данные без согласия субъекта персональных данных, не осуществлять иные несанкционированные действия с персональными данными субъектов персональных данных, если иное не предусмотрено федеральным законом.

Поручение обработки персональных данных другому лицу:

Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии с Федеральным законом.

Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных».

В случае если Общество поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество.

Лицо, осуществляющее обработку персональных данных по поручению Общества, несет ответственность перед Обществом.

Трансграничная передача персональных данных:

Трансграничная передача персональных данных не осуществляется.

Сведения о местонахождении базы данных: Россия.

ЦЕЛИ И ФУНКЦИИ ОБЩЕСТВА ПРИ

ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Персональные данные обрабатываются в Обществе в целях:

a)      соблюдения и исполнения трудового законодательства, заключения трудовых договоров; начисления и выплаты заработной платы, подбора сотрудников, регулирования трудовых отношений с работниками Общества;

b)      работа с заявлениями/жалобами граждан;

c)      обеспечения информацией, необходимой внутренним и внешним пользователям бухгалтерской отчетности для контроля за соблюдением законодательства Российской Федерации;

d)      обеспечения соблюдения законодательных и иных нормативных правовых актов Российской Федерации, внутренних документов Общества;

e)      осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации, в том числе по предоставлению персональных данных в Пенсионный Фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральную налоговую службу, а также иные в государственные органы;

g)      подготовки, заключения, исполнения и прекращения договоров с контрагентами;

h)      формирования справочных материалов для внутреннего информационного обеспечения;

i)       исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

j)       осуществления прав и законных интересов Общества в рамках осуществления видов деятельности, предусмотренных Уставом и заключенными и исполненяемыми договорами с контрагентами Общества;

k) предоставление в бюро кредитных историй информации об исполнении заемщиком его обязанностей по соответствующему договору и иной информации, предусмотренной Федеральным законом «О кредитных историях», получение кредитных отчетов в бюро кредитных историй (включая основную часть кредитной истории);

l)      в иных законных целях.

ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ

ДАННЫМИ И СПОСОБЫ ИХ ОБРАБОТКИ

Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

Общество предоставляет обрабатываемые им персональные данные государственным органам и организациям, имеющим, в соответствии с федеральным законом, право на получение соответствующих персональных данных.

В Обществе не производится обработка персональных данных, несовместимая с целями их сбора.

При обработке персональных данных обеспечиваются их точность, достаточность, а, при необходимости, и актуальность по отношению к целям обработки.

Общество принимает необходимые меры по удалению или уточнению неполных или неточных персональных данных.

Обработка персональных данных осуществляется следующими способами: смешанная обработка персональных данных (как автоматизированная, так и неавтоматизированная обработка) путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (предоставления, доступа), обезличивания, блокирования, удаления и уничтожения персональных данных.

Полученная в ходе Обработки персональных данных информация может передаваться на бумажных носителях, электронных носителях, а также по внутренней сети Общества, а также с использованием сети Интернет по защищенным каналам связи и доступна лишь строго определенному кругу лиц.

ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

Работник Общества при приеме на работу подписывает согласие на обработку персональных данных собственноручной подписью в форме отдельного документа.

Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Федеральном законе «О персональных данных», иных нормативных актах, возлагается на Общество.

Права субъекта персональных данных

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе:

  1. Подтверждение факта обработки персональных данных оператором.
  2. Правовые основания и цели обработки персональных данных.
  3. Цели и применяемые оператором способы обработки персональных данных.
  4. Наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона.
  5. Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом.
  6. Сроки обработки персональных данных, в том числе сроки их хранения.
  7. Порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом.
  8. Информацию об осуществленной или о предполагаемой трансграничной передаче данных.
  9. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу. Иные сведения, получение которых предусмотрено законодательством Российской Федерации в сфере защиты персональных данных.

Сведения предоставляются Обществом субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать: серию и номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения об органе и дате выдачи указанного документа, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Сведения должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Субъект персональных данных вправе требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

В случае подтверждения факта неточности персональных данных Общество, на основании сведений, представленных субъектом персональных данных или его представителем, либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязано уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Сроки обработки персональных данных субъекта персональных данных определяются в соответствии со сроком действия согласия субъекта персональных данных, договора с субъектом персональных данных.