Политика конфиденциальности

  1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. С целью соблюдения законодательства Российской Федерации, регулирующего отношения, связанные с обработкой и обеспечением безопасности персональных данных, а также поддержания деловой репутации Общества с ограниченной ответственностью «Инвест-Бизнес Актив» (далее – Общество) считает своей важнейшей задачей обеспечение легитимности обработки и безопасности обрабатываемых персональных данных субъектов.

1.2. Настоящая политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в Обществе с целью защиты  прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайны.

1.3. В Политике используются следующие основные понятия:

- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники; - блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;

- обезличивание персональных данных - действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;

- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

 - оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

- персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе 3 персональных данных и (или) результате которых уничтожаются материальные носители персональных данных;

 

1.4. Компания обязана опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике обработки персональных данных в соответствии с ч. 2 ст. 18.1. ФЗ-152.

 

 

1.5. Для решения данной задачи в Обществе введена, функционирует и периодически пересматривается (контролируется) система защиты персональных данных.

1.6. Обработка персональных данных в Обществе основана на следующих принципах:

- законности целей и способов обработки персональных данных и ее добросовестности;

- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Общества;

- соответствия объема и содержания обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

- точности персональных данных, их актуальности и достаточности для целей обработки, недопустимости обработки избыточных по отношению к целям сбора персональных данных;

- легитимности организационных и технических мер по обеспечению безопасности персональных данных;

- непрерывности повышения уровня знаний работников Общества в сфере обеспечения безопасности персональных данных при их обработке;

 - стремления к постоянному совершенствованию системы защиты персональных данных.

  1. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии с принципами обработки персональных данных в Обществе определены цели обработки персональных данных:

- рассмотрение резюме и подбор кандидатов для трудоустройства на вакантные должности в Общество, а также получение дополнительной информации при рассмотрении резюме и подборе кандидатов на вакантные должности;

- заключение, сопровождение, изменение, расторжение трудовых договоров и исполнение Обществом обязательств, предусмотренных локальными нормативными актами Общества, содержащими нормы трудового права, и трудовыми договорами;

 - заключение, сопровождение, изменение, расторжение гражданско-правовых договоров с контрагентами и исполнение Обществом обязательств, предусмотренных этими договорами,

- заключение, сопровождение, изменение, расторжение гражданско-правовых договоров, которые являются основанием для возникновения отношений между клиентами и Обществом, и исполнение Обществом обязательств, предусмотренных этими договорами;

 - оказание услуг в рамках основной деятельности Общества;

- взаимодействие с представителями, контактными лицами клиентов и контрагентов в процессе заключения, исполнения, изменения и расторжения договоров;

- предоставление информации контрагентам и клиентам при заключении с ними договоров;

- исполнение Обществом обязанностей, предусмотренных законодательством Российской Федерации.

  1. ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. В Обществе осуществляется обработка персональных данных в соответствии с утвержденным Генеральным директором Общества Перечнем персональных данных, обрабатываемых в Обществе, определяющим состав и цели обрабатываемых данных, правовое основание для обработки персональных данных, а также сроки их хранения в Обществе.

 

3.2. В Обществе осуществляется обработка персональных данных следующих категорий субъектов персональных данных:

- кандидаты для трудоустройства на вакантные должности в Общество;

- работники Общества;

- близкие родственники (супруг, супруга, родители, дети, родные братья и сестры) кандидатов для трудоустройства на вакантные должности и работников Общества;

- исполнители, подрядчики, агенты и иные лица, являющиеся стороной договоров гражданско-правового характера, заключенных с Обществом (физические лица, индивидуальные предприниматели), за исключением заемщиков, поручителей и залогодателей;

- заемщики, поручители и залогодатели (физические лица, индивидуальные предприниматели);

- члены коллегиальных органов управления, исполнительных органов, главные бухгалтеры и лица, которым предоставлено право распоряжения денежными средствами, находящимися на счетах юридических лиц, являющихся стороной договоров гражданско-правового характера, заключенных с Обществом;

- представители клиентов и контрагентов (юридических лиц, физических лиц, физических лиц, занимающихся в установленном законодательством Российской Федерации порядке частной практикой, индивидуальных предпринимателей), действующие на основании доверенности;

- бенефициарные владельцы клиентов;

- выгодоприобретатели клиентов;

- контактные лица клиентов и контрагентов;

- посетители;

- инсайдеры;

- физические лица, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму;

- члены Совета директоров Общества, лица, имеющие право действовать от имени Общества без доверенности, а также лица, имеющие право подписи.

3.3. В Обществе не допускается обработка категорий персональных данных, касающихся:

- расовой принадлежности;  

- национальной принадлежности;

- политических взглядов;

- философских убеждений;

 - религиозных убеждений;

- интимной жизни.

3.4. Обработка персональных данных, касающихся состояния здоровья работников Общества, допускается исключительно в случаях, предусмотренных трудовым законодательством, включая законодательство об охране труда, и законодательством о социальной защите инвалидов. Обработка персональных данных, касающихся состояния здоровья клиентов Общества, допускается исключительно на основании согласий субъектов, полученных в письменной форме. Обработка таких данных производится без использования средств автоматизации. Обработка персональных данных, касающихся состояния здоровья остальных категорий субъектов персональных данных, в Обществе не осуществляется.

3.5. Обработка персональных данных о судимости физических лиц, членов Совета директоров и работников Общества допускается исключительно в случаях, предусмотренных законодательством Российской Федерации. Обработка таких данных производится без использования средств автоматизации. Обработка персональных данных о судимости остальных категорий субъектов персональных данных в Обществе не осуществляется.

3.6. В Обществе осуществляется обработка биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) – фотографий работников  Общества (в том числе филиалов и обособленных подразделений) Обработка указанных биометрических персональных данных осуществляется исключительно на основании согласий субъектов, полученных в письменной форме.

3.7. В Обществе не осуществляется принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.  

3.8. В Обществе осуществляется трансграничная передача персональных данных (передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) в случаях, если такая передача необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей, а также в случаях, если такая передача необходима для целей исполнения договоров, сторонами которых являются Общество и субъекты персональных данных.

3.9. Общество не создает и не публикует общедоступные источники персональных данных, не размещает персональные данные субъекта в общедоступных источниках без его предварительного письменного согласия.

3.10. Общество вправе поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. При этом Общество в договоре обязывает лицо, осуществляющее обработку персональных данных по поручению, соблюдать конфиденциальность обрабатываемых персональных данных, соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и настоящей Политикой.

3.11. Общество может предоставлять персональные данные субъектов третьим лицам на основании заключаемых с ними договоров или государственным и муниципальным органам в соответствии с требованиями законодательства Российской Федерации. Передача персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, когда для передачи персональных данных имеются иные правовые основания, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

3.12. Общество обязуется и требует от иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без предварительного письменного согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.  

  1. РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. С целью обеспечения безопасности персональных данных при их обработке в Обществе реализуются требования, которые устанавливают следующие нормативные правовые акты в области обработки и обеспечения безопасности персональных данных:

- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

- Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

- Постановление Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

4.2. Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:

- назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;

- ограничение состава лиц, допущенных к обработке персональных данных; - ознакомление субъектов с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных;

 - организация учета, хранения и обращения носителей, содержащих информацию с персональными данными;

- определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;

 - разработка на основе модели угроз системы защиты персональных данных; - проверка готовности и эффективности использования средств защиты информации;

 - разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;

- использование антивирусных средств и средств восстановления системы защиты персональных данных;

- применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;

 

  1. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
5.1. Иные права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Российской Федерации в области персональных данных. 5.2. Работники Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установлен