1. Общие положения1.1. Политика обработки персональных данных АКЦИОНЕРНОГО ОБЩЕСТВА «ПРОФЕССИОНАЛЬНАЯ КОЛЛЕКТОРСКАЯ ОРГАНИЗАЦИЯ «ИНВЕСТ ГРУПП» (далее — Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых АКЦИОНЕРНЫМ ОБЩЕСТВОМ «ПРОФЕССИОНАЛЬНАЯ КОЛЛЕКТОРСКАЯ ОРГАНИЗАЦИЯ «ИНВЕСТ ГРУПП» (далее - Компания) персональных данных, функции компании при обработке персональных данных, права субъектов персональных данных, а также реализуемые в компании требования к защите персональных данных.
1.2. Политика разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.
1.3. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в компании вопросы обработки персональных данных работников компании и других субъектов персональных данных.
2. Законодательные и иные нормативные правовые акты Российской Федерации, в соответствии с которыми определяется Политика обработки персональных данных в компании 2.1. Политика обработки персональных данных в компании определяется в соответствии со следующими нормативными правовыми актами:
- Трудовой кодекс Российской Федерации;
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
- Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
- Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
- иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
2.2. В целях реализации положений Политики в компании разрабатываются соответствующие локальные нормативные акты и иные документы, в том числе:
- Положение об обработке персональных данных в компании;
- Приказы о назначении лиц, ответственных за обработку персональных данных;
- иные локальные нормативные акты и документы, регламентирующие в компании вопросы обработки персональных данных.
3. Основные термины и определения, используемые в локальных нормативных актах компании, регламентирующих вопросы обработки персональных данных Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Информация — сведения (сообщения, данные) независимо от формы их представления.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
4. Принципы и цели обработки персональных данных 4.1. Компания, являясь оператором персональных данных, осуществляет обработку персональных данных работников компании и других субъектов персональных данных, не состоящих с компанией в трудовых отношениях.
4.2. Обработка персональных данных в компании осуществляется с учетом необходимости обеспечения защиты прав и свобод работников компании и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
- обработка персональных данных осуществляется в компании на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки;
- при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Компанией принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных;
- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.3. Персональные данные обрабатываются в компании в целях:
- обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов в компании;
- осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на компанию, в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные и муниципальные органы;
- регулирования трудовых отношений с работниками в компании (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
- оказания юридической помощи физическим лицам, обратившимся за ней в компанию;
- предоставления работникам в компании и членам их семей дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;
- защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
- подготовки, заключения, исполнения и прекращения договоров с контрагентами;
- обеспечения пропускного и внутриобъектового режимов на объектах в компании;
- формирования справочных материалов для внутреннего информационного обеспечения деятельности в компании;
- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- осуществления прав и законных интересов в компании в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами в компании, или третьих лиц либо достижения общественно значимых целей;
- в иных законных целях.
5. Перечень субъектов, персональные данные которых обрабатываются в компании 5.1. В компании обрабатываются персональные данные следующих категорий субъектов:
- работники структурных подразделений администрации компании;
- физические лица, заключившие договор с компанией об оказании юридических услуг;
- другие субъекты персональных данных (для обеспечения реализации целей обработки, указанных в разделе 4 Политики).
6. Перечень персональных данных, обрабатываемых в компании 6.1. Перечень персональных данных, обрабатываемых в компании, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами компании с учетом целей обработки персональных данных, указанных в разделе 4 Политики.
6.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в компании не осуществляется.
7. Функции компании при осуществлении обработки персональных данных 7.1. Компания при осуществлении обработки персональных данных:
- принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов компании в области персональных данных;
- принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- назначает лицо, ответственное за организацию обработки персональных данных в компании;
- издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных в компании;
- осуществляет ознакомление работников компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальных нормативных актов компании в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;
- публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике; - сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;
- прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;
8. Условия обработки персональных данных в компании 8.1. Обработка персональных данных в компании осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.
8.2. Компания без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
8.3. Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».
8.4. В целях внутреннего информационного обеспечения компании может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
8.5. Доступ к обрабатываемым в компании персональным данным разрешается только работникам компании, занимающим должности, включенные в перечень должностей структурных подразделений администрации компании, при замещении которых осуществляется обработка персональных данных.
8.6. Предоставляя свои персональные данные пользователь подтверждает, что введенные данные являются корректными и выражает полное и безоговорочное согласие на использование своих контактных данных для поддержания связи с ним, осуществления телефонных звонков на указанный стационарный и/или мобильный телефон, осуществления отправки СМС сообщений на указанный мобильный телефон, осуществления отправки электронных писем на указанный электронный адрес с целью информирования, оповещения, для осуществления заочных опросов с целью изучения мнения об услугах и т.п.
9. Перечень действий с персональными данными и способы их обработки 9.1. Компании осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
9.2. Обработка персональных данных в
компании осуществляется следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
10. Права субъектов персональных данных 10.1. Субъекты персональных данных имеют право на:
- полную информацию об их персональных данных, обрабатываемых в компании;
- доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом, а также на доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
- уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отзыв согласия на обработку персональных данных;
- принятие предусмотренных законом мер по защите своих прав;
- обжалование действия или бездействия компании, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
- осуществление иных прав, предусмотренных законодательством Российской Федерации.
11. Меры, принимаемые компанией для обеспечения выполнения обязанностей оператора при обработке персональных данных 11.1. Меры, необходимые и достаточные для обеспечения выполнения компанией обязанностей оператора, предусмотренных законодательством Российской Федерации в области персональных данных, включают:
- назначение лица, ответственного за организацию обработки персональных данных в компании;
- принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
- организацию обучения и проведение методической работы с работниками структурных подразделений администрации компании, занимающими должности, включенные в перечень должностей структурных подразделений администрации компании, при замещении которых осуществляется обработка персональных данных;
- получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
- обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах;
- обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;
- хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
- осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным нормативным актам компании;
- иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.
11.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными нормативными актами компании, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных компании.
12. Контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов компании в области персональных данных, в том числе требований к защите персональных данных 12.1. Контроль за соблюдением структурными подразделениями администрации компании, законодательства Российской Федерации и локальных нормативных актов компании в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных в структурных подразделениях администрации компании законодательству Российской Федерации и локальным нормативным актам компании в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Российской Федерации в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
12.2. Внутренний контроль за соблюдением структурными подразделениями администрации компании законодательства Российской Федерации и локальных нормативных актов компании в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных в компании.
12.3. Персональная ответственность за соблюдение требований законодательства Российской Федерации и локальных нормативных актов компании в области персональных данных в структурном подразделении администрации компании, а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях компании возлагается на их руководителей.