Политика обработки персональных данных

 

1. Общие положения

Политика обработки персональных данных (далее по тексту просто Политика) была создана в соответствии с ФЗ от 27.07.2006. № 152 – ФЗ «О персональных данных» (далее по тексту просто ФЗ-152).

Цель данной Политики – задать порядок обработки персональных данных и предусмотреть меры по обеспечению безопасности персональных данных в ООО «ГРУПП ФИНАНС» ОГРН 1176451000582 / ИНН 6439091982, являющийся поставщиком услуг и оператором персональных данных (Приказ № 48 от 30.04.2020) (далее по тексту - Оператор) с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных сведений, в том числе обеспечить защиту прав на неприкосновенность частной жизни, личной, а также семейной тайны.

Основные понятия используемые в Политике обработки персональных данных:

 

2. Принципы и условия обработки персональных данных

2.1 Принципы обработки персональных данных

Выполнение обработки персональных данных субъектов осуществляется на основе следующих принципов:

Уничтожение персональных данных по достижению целей их обработки или в случае, когда необходимость в достижении этих целей перестала присутствовать.

 

2.2 Условия обработки персональных данных

Оператор выполняет обработку персональных сведений, если присутствует хотя бы одно из представленных ниже условий:

Обработка персональных данных производится с разрешения субъекта персональных данных на обработку рассматриваемой информации;

Обработка персональных данных нужна для осуществления целей, которые были предусмотрены международным договором РФ или соответствующим законом, для выполнения установленных законодательством РФ на Оператора функций, полномочий, а также обязанностей;

Обработка персональных данных нужна для выполнения правосудия, а также приведение в действие судебного акта, акта другого должностного лица, которые должны подлежать выполнению в полном соответствии с законодательством РФ об исполнительном производстве;

Обработка персональных данных нужна для приведения в исполнение договора, стороной которого является либо заёмщик, либо поручитель, а также для того, чтобы произвести заключение договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет либо выгодоприобретателем, либо поручителем;

Обработка персональных данных необходима для соблюдения прав оператора или третьих лиц, но при это не должны нарушаться права субъекта персональных данных;

Производится обработка персональных сведений, доступ неограниченного числа лиц к которым предоставлен или субъектом персональных данных или это было сделано по его просьбе (далее по тексту – Общедоступные персональные данные);

Производится обработка персональных сведений, подлежащих раскрытию в полном соответствии с законодательством РФ.

 

2.3. Конфиденциальность персональных данных

Оператор, а также другие лица, которым был предоставлен доступ к персональным данным, обязаны не раскрывать полученные сведения третьим лицам, а также не осуществлять распространение персональных данных без предварительного согласия субъекта персональных данных, если иное не было предусмотрено ФЗ РФ.

 

2.4. Общедоступные источники персональных данных

В целях грамотного информационного обеспечения у Оператора могут быть созданы источники персональных сведений субъектов персональных данных, в их число могут быть включены такие источники, как справочники и адресные книги. Если было предоставлено письменное согласие субъекта персональных данных, то в общедоступные источники персональных сведений могут быть включены такие данные, как фамилия, имя, отчество, дата и место рождения, занимаемая должность, номер телефона, адрес электронной почты, а также другие персональные сведения, которые были предоставлены субъектом персональных данных.

Информация о субъекте персональных данных, должна быть в любое время исключена из источника предоставленных общедоступных персональных данных по требованию субъекта персональных данных, уполномоченного органа по организации защиты прав субъектов персональных сведений, а также по решению суда.

 

2.5. Специальные категории персональных данных

Оператором может производится обработка категорий специальных персональных данных таких как расовая и национальная принадлежность, политических взглядов, религиозных убеждений, а также других аспектов (состояние здоровья, сведения об интимной жизни и так далее), допускается только в определённых случаях таких как:

Производить обработку персональных данных о судимости Оператор может исключительно в случаях и в порядке, которые были определены федеральными законами РФ.

 

2.6. Биометрические персональные данные

Сведения на основании которых можно произвести оценку физиологических и биологических особенностей человека и позволяющие произвести установку его личности, то есть биометрические персональные данные могут быть обработаны Оператором, только если субъект выразил своё согласие на обработку своих персональных данных в письменной форме.

 

2.7. Поручение обработки персональных данных другому лицу

У Оператора есть право поручить обработку персональных данных другому лицу, если на это выразил своё согласие субъект персональных данных, если иное не было предусмотрено федеральным законом, на основании заключаемого с данным лицом Договора. Лицо, которое осуществляет обработку персональных данных по поручению Оператора в обязательном порядке должно соблюдать принципы и правила обработки персональных данных, которые были предусмотрены ФЗ-152 и настоящей Политикой.

 

2.8. Обработка персональных данных граждан РФ

В полном соответствии со статьёй 2 ФЗ от 21 июля 2014 года № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» при осуществлении сбора персональных сведений, в том числе при выполнении данных операций посредством сети «Интернет» Оператор в обязательном порядке должен обеспечить выполнение следующих операций:

Извлечение персональных данных граждан РФ.

Данные операции выполняются с применением баз данных для граждан РФ находящихся на территории РФ за исключением таких случаев как:

 

2.9. Трансграничная передача персональных данных

Прежде всего Оператор в обязательном порядке должен убедиться в том, что иностранным государством на территорию которого планируется произвести передачу персональных данных обеспечивается достойная и адекватная защита прав субъектов персональных данных, для начала выполнения данной передачи.

Трансграничная передача персональных данных на территории иностранных государств, которые не способны обеспечить адекватную защиту прав субъектов персональных данных, может производиться в случаях:

Наличия согласия субъекта персональных данных на осуществление трансграничной передаче его персональных данных;

 

3. Права субъектов персональных данных

3.1  Согласие субъекта персональных данных на проведение обработки его персональных данных

Субъект персональных данных по собственной воле и преследуя собственные интересы предоставляет согласие на обработку его персональных данных. Согласие в котором предоставляется информация на обработку персональных данных субъекта может быть дано субъектом персональных данных или его представителем в любой форме, которая позволяет подтвердить факт его получения, если иная информация не установлена федеральным законом.

 

3.2  Права субъекта персональных данных

Субъект персональных данных обладает правом на то, чтобы получить у Оператора информацию, которая касается обработки его персональных данных, если данное право не ограниченно в соответствии с ФЗ. В случае необходимости субъект персональных данных вправе потребовать от Оператора уточнения его персональных данных, их блокировки или уничтожения в том ситуации, если рассматриваемые персональные данные являются либо неполными, либо устаревшими, а также если в них наблюдаются какие-либо неточности или персональные данные субъекта были незаконно получены или они не нужны для осуществления заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Обработка персональных данных для продвижения товаров и услуг возможна только с согласия субъекта персональных данных.

Оператор в обязательном порядке должен прекратить обработку персональных данных субъекта по требованию, если это необходимо субъекту для достижения вышеуказанных целей.

Запрещено принимать решения на основании исключительно автоматизированной обработки данных, которые способны породить юридические последствия в отношении субъекта персональных сведений или другим способом способные затронуть его права и законные интересы, исключая случаи, которые предусмотрены федеральными законами, или если есть согласие установленное в письменной форме субъекта персональных данных.

В том случае когда субъект персональных данных приходит к выводу, что Оператор производит обработку его персональных данных с какими-либо нарушениями требований ФЗ-152 или другим способом оказывает негативное воздействие на его права и свободы, субъект персональных данных имеет полное право обжаловать действия или же бездействия Оператора в Уполномоченный орган осуществляющий защиту прав субъектов персональных данных или в досудебном порядке.

Субъект персональных данных обладает правом на защиту своих прав, а также законных интересов, в том числе и на возмещение убытков.

 

4. Обеспечение безопасности персональных данных

Безопасность персональных данных, обработкой которых занимается Оператор, обеспечивается благодаря реализации правовых, организационных и технических мер, необходимых для того, чтобы обеспечить требования федерального законодательства в области защиты персональных данных.

Для исключения несанкционированного доступа к персональным данным Оператором используются следующие организационно-технические меры:

Назначение должностных лиц, несущих ответственность за организацию обработки, а также защиты персональных сведений;

Ограничение состава лиц, обладающих допуском к выполнению обработки персональных данных;

Проведение ознакомительных работ, направленных на получение информации о требованиях федерального законодательства и нормативных документов Оператора по проведению обработке и защиты персональных данных;

Организация таких мероприятий как учёт, хранение и обращение носителей, содержащих информацию, в которой содержаться персональные данные;

Определение угроз безопасности персональных данных при их обработке;

Надёжная защита персональных данных, разработанная на основе модели угроз системы защиты персональных данных;

Произвести оценку готовности, а также эффективности применения средств защиты информации;

Произвести разграничение обеспечением доступа пользователей к информационных ресурсам и программно – аппаратным средствам обработки информации;

Регистрация, а также учёт действий пользователей информационных систем персональных данных;

Применение антивирусных средств, а также средств обеспечивающих восстановление системы защиты персональных данных;

Применение в определённых случаях, когда этого требует ситуация средств межсетевого экранирования, обнаружения вторжений, анализа защищённости и средств криптографической защиты информации;

Создание пропускного режима на территорию Оператора, производить охрану помещений с техническими средствами обработки персональных данных.

 

5. Заключительные положения

Другие права, а также обязанности оператора в связи с выполняемой обработкой персональных данных определяются законодательством РФ в области персональных данных.

Работники Оператора, которые оказались виновны в нарушении норм, осуществляющих регулировку обработки и защиты персональных данных несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, который установлен федеральными законами.