Цели и способы обработки персональных данных
3.1. Обработка персональных данных осуществляется в следующих целях:
— обеспечения соответствия требованиям Трудового кодекса Российской Федерации, Налогового кодекса Российской Федерации, Гражданского кодекса Российской
— Федерации и других нормативно-правовых актов Российской Федерации;
— принятия решения о трудоустройстве кандидатов в ООО «Святой Михаил Инвест» и ведения кадрового резерва;
— ведения учета персонала;
— выполнения обязательств работодателя по трудовому договору;
— содействия в получении социальных льгот;
— содействия работникам в обучении и карьерном росте;
— обеспечения выполнения обязательств по договору займа / кредитному договору;
— обеспечения соответствия стандартам процедур выдачи, рефинансирования и сопровождения кредитов (займов);
— приобретения и реализации прав требования по обязательствам, обеспеченным ипотекой;
— отбора поставщиков товаров/работ/услуг для нужд ООО «Святой Михаил Инвест»;
— обеспечения раскрытия информации в соответствии с требованиями законодательства Российской Федерации в области ценных бумаг;
— обеспечения договорных обязательств между ООО «Святой Михаил Инвест» и контрагентами (физическими и юридическими лицами);
— исполнения отдельных функций в соответствии с требованиями федерального законодательства, поручениями Президента Российский Федерации, актами и директивами Правительства Российской Федерации;
— обработки обращений и запросов граждан;
— соблюдение внутриобъектового режима.
3.2. Действиями, совершаемыми с персональными данными, являются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.
3.3. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без использования таковых средств (неавтоматизированная обработка).
3.4. Общество осуществляет обработку персональных данных, относящихся к состоянию здоровья субъектов персональных данных, но не осуществляет обработку персональных данных, относящихся к расовой и национальной принадлежности, политическим взглядам, религиозным и философским убеждениям, интимной жизни и сведениям о судимости.
3.5. Общество не осуществляет трансграничную передачу персональных данных на территории иностранных государств.
3.6. Общество осуществляет сбор и обработку персональных данных с использованием баз данных, расположенных на территории Российской Федерации.
3.7. Обществом запрещается распространение персональных данных. Режим конфиденциальности персональных данных должен соблюдаться всеми работниками и третьими лицами, которые получили санкционированный доступ и осуществляют обработку персональных данных.
Категории субъектов персональных данных
4.1. Общество осуществляет обработку персональных данных следующих категорий субъектов персональных данных:
— работники Общества, в том числе, прекратившие трудовые отношения, а также их родственники;
— лицо, являющееся по отношению к Обществу аффилированным лицом, руководитель, участник или сотрудник юридического лица, являющегося аффилированным лицом по отношению к Обществу;
— кандидаты на замещение вакантных должностей в Обществе;
— текущие и потенциальные клиенты и контрагенты Общества (физические лица);
— представители / работники текущих и потенциальных клиентов и контрагентов Общества (юридических лиц);
— лица, персональные данные которых передаются в Общество в рамках исполнения договоров с клиентами и контрагентами или в рамках исполнения отдельных функций в соответствии с требованиями законодательства Российской Федерации, поручениями Президента Российский Федерации, актами и директивами Правительства Российской Федерации;
— участники мероприятий, проводимых Обществом;
— лица, направляющие обращения и запросы в Общество;
— посетители Общества.
Принципы, условия и особенности обработки персональных данных
5.1. Обработка персональных данных субъектов персональных данных осуществляется Обществом на основе следующих принципов:
— законности и справедливости;
— ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей, соответствия целей обработки персональных данных целям сбора персональных данных;
— соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
— достоверности персональных данных, их достаточности для целей обработки и актуальности по отношению к целям обработки, недопустимости обработки
— персональных данных, избыточных по отношению к заявленной цели их обработки;
— принятия необходимых мер (либо обеспечения их принятия) по удалению или уничтожению неполных или неточных персональных данных;
— недопустимости объединения баз данных, содержащих персональные данные созданных для несовместимых между собой целей обработки персональных данных;
— уничтожения персональных данных после достижения целей обработки или в случае утраты необходимости в их достижении;
— личной ответственности работников Общества за сохранность и конфиденциальность персональных данных, а также их носителей;
— наличия четкой разрешительной системы доступа работников Общества к документам и базам данных, содержащим персональные данные;
— хранения персональных данных в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен законодательством Российской Федерации или договором, стороной которого является субъект персональных данных.
5.2. Обработка персональных данных субъектов осуществляется при следующих условиях:
— обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
— обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;
— обработка персональных данных осуществляется в связи с участием лица в гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
— обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
— обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
— обработка персональных данных осуществляется по поручению контрагента Общества в рамках исполнения соответствующего договора.
6.1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
6.2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
6.3. Работники Общества и лица, заключившие с Обществом договоры гражданско-правового характера, перед обработкой персональных данных без использования средств автоматизации должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Обществом без использования средств автоматизации.
6.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться следующие условия:
— типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, наименование и адрес Общества, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Обществом способов обработки персональных данных;
— типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных;
— типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, персональные данные которых содержатся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
— типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
6.5. При обработке персональных данных без использования средств автоматизации должно обеспечиваться раздельное хранение персональных данных (материальных носителей персональных данных), обработка которых осуществляется в различных целях.
Права и обязанности общества
7.1. Общество при сборе и дальнейшей Обработке персональных данных вправе:
— получать от субъекта персональных данных согласие на обработку его персональных данных;
— устанавливать способы получения согласия субъектов персональных данных, не нарушающие их законные права и интересы, и в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
— устанавливать правила обработки персональных данных субъектов и вносить изменения и дополнения в настоящую Политику, самостоятельно разрабатывать и применять формы документов, необходимых для исполнения настоящей Политики;
— поручать обработку персональных данных другому лицу с согласия субъекта персональных данных (если иное не предусмотрено законодательством Российской Федерации) на основании заключаемого с этим лицом договора с учетом требований части 3 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
— осуществлять иные права, предусмотренные законодательством Российской Федерации, нормативными правовыми актами и локальными актами Общества.
7.2. Общество при сборе и дальнейшей обработке персональных данных обязано:
— получать персональные данные субъектов на законных основаниях;
— разъяснять субъекту персональных данных юридические последствия отказа предоставить его персональные данные в случае, если предоставление персональных данных является обязательным в соответствии с законодательством Российской Федерации;
— разъяснять субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставлять возможность заявить возражение против такого решения, а также разъяснять порядок защиты субъектом персональных данных своих прав и законных интересов;
— организовать и реализовать право субъекта персональных данных на доступ к своим персональным данным в сроки, по правилам, с учетом ограничений, установленных в статьях 14 и 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
— взаимодействовать с субъектом персональных данных и уполномоченным органом по защите прав субъектов персональных данных для обработки запросов и обращений в части получения сведений об обрабатываемых персональных данных, их актуализации, а также обеспечения законности обработки персональных данных;
— принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7.3. Общество должно обеспечить:
— предотвращение несанкционированного доступа к персональным данным;
— предупреждение возможности наступления неблагоприятных последствий в результате нарушения порядка доступа к персональным данным;
— недопущение воздействия на технические средства обработки персональных данных, в результате которого нарушается их функционирование;
— возможность незамедлительного восстановления информации, содержащей персональные данные, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
— исполнение иных обязанностей, предусмотренных законодательством Российской Федерации и локальными нормативными актами Общества.
Права субъектов персональных данных
8.1. Субъект персональных данных имеет право на получение сведений об обработке Обществом его персональных данных, указанных в части 7 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
8.2. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.3. Субъект персональных данных имеет право на отзыв ранее предоставленного согласия на обработку своих персональных данных.
8.4. Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
8.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда, в судебном порядке.
Защита персональных данных
9.1. Под защитой персональных данных понимается ряд правовых, организационных и технических мер, направленных Обществом на:
— обеспечение защиты персональных данных от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении таких сведений о субъекте персональных данных;
— соблюдение конфиденциальности персональных данных;
— реализацию права на доступ к персональным данным.
9.2. Для защиты персональных данных Общество обеспечивает безопасность и конфиденциальность персональных данных в соответствии с требованиями законодательства Российской Федерации в области персональных данных, в частности устанавливаются и соблюдаются следующие меры, в том числе обеспечительные меры согласно установленному уровню защищенности, персональных данных:
— назначение Обществом лица, ответственного за организацию обработки персональных данных, и подразделения, ответственного за обеспечение безопасности информации (включая персональные данные);
— издание локальных актов по вопросам обработки и защиты персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
— осуществление внутреннего контроля и (или) аудита соответствия порядка обработки персональных данных Обществом требованиям Федерального закона от 27.07.2006
— № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Общества в отношении обработки персональных данных, локальным актам Общества;
— ознакомление работников Общества, осуществляющих обработку персональных данных, с правилами и требованиями законодательства Российской Федерации, с локальными нормативными актами Общества, касающимися обработки персональных данных, и требованиями по обеспечению безопасности, а также при необходимости — обучение указанных работников;
— проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения ими Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным Федеральным законом;
— определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз и их нейтрализация;
— применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации для нейтрализации актуальных угроз безопасности персональных данных;
— оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
— учет машинных носителей персональных данных;
— обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
— восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
— контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных;
— организация режима обеспечения безопасности помещений, в которых размещены информационные системы персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
— обеспечение сохранности материальных носителей персональных данных;
— утверждение руководством Общества документа, определяющего перечень лиц, доступ которым к персональным данным, обрабатываемым в информационных системах персональных данных, необходим для выполнения ими служебных (трудовых) обязанностей;
— иные требования, предусмотренные законодательством Российской Федерации в области персональных данных.
9.3. Реализация мер по обеспечению безопасности персональных данных осуществляется с помощью разработанной системы защиты персональных данных, которая в том числе нейтрализует актуальные угрозы безопасности персональных данных и обеспечивает защиту персональных данных в соответствии с уровнем их защищенности.
9.4. Уровень защищенности персональных данных устанавливается комиссией, назначенной приказом Общества, и утверждается генеральным директором или другим уполномоченным лицом.