Политика конфиденциальности

1.ОБЩИЕ ПОЛОЖЕНИЯ

1.1.Настоящая Политика в отношении обработки персональных данных и реализуемых требований к защите персональных данных ООО «Ломбард «МосАвтоЗайм» (далее – Политика) разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ № 152) и иными нормативными правовыми актами РФ о персональных данных (далее - ПД) и определяет принципы, порядок и условия обработки ПД, меры по обеспечению защиты (безопасности) ПД в ООО «Ломбард «МосАвтоЗайм» (далее – Общество) c целью защиты прав и свобод человека и гражданина при обработке его ПД, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2.     Действие Политики распространяется на все ПД, подлежащие обработке в Обществе с применением средств автоматизации и без применения таких средств (в соответствии с Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»), а также смешанным (комбинированным) способом.
1.3.     Обеспечение защиты (безопасности) ПД является одной из приоритетных задач Общества. ПД являются конфиденциальной информацией, в отношении которых действуют требования внутренних документов Общества об обеспечении режима конфиденциальности.
1.4.     Политика является общедоступной и подлежит размещению в офисе Общества по адресу его места нахождения и/или на официальном сайте Общества в информационно-телекоммуникационной сети «Интернет» (далее – сеть Интернет).
1.5.     Для целей Положения используются следующие основные термины и определения:
Автоматизированная обработка ПД - обработка ПД с помощью средств вычислительной техники.
Блокирование ПД - временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД).
Доступ к информации - возможность получения информации и ее использования.
Информация - сведения (сообщения, данные) независимо от формы их представления.
Информационная система ПД - совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность ПД - обязательное для соблюдения Обществом или иным получившим доступ к ПД лицом требование не допускать их распространения без согласия субъекта ПД или наличия иного законного основания.
Обезличивание ПД - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному субъекту ПД.
Обработка ПД - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД. В целях настоящей Политики оператором признается Общество.
ПД (ПД) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
ПД, разрешенные субъектом ПД для распространения, - ПД, доступ неограниченного круга лиц к которым предоставлен субъектом ПД путем дачи согласия на обработку ПД, разрешенных субъектом ПД для распространения в порядке, предусмотренном ФЗ № 152.
Предоставление ПД - действия, направленные на раскрытие ПД определенному лицу или определенному кругу лиц.
Распространение ПД - действия, направленные на раскрытие ПД неопределенному кругу лиц.
Трансграничная передача ПД - передача ПД на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение ПД - действия, в результате которых становится невозможным восстановить содержание ПД в информационной системе ПД и (или) в результате которых уничтожаются материальные носители ПД.
1.5.     Термины и определения, специально не определенные в Политике, используются в значениях, установленных законодательством РФ, в том числе нормативными правовыми актами РФ о ПД.
1.6.     Правовым основанием обработки ПД является совокупность правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку ПД, а именно:
-федеральные законы РФ и принятые на их основе нормативные правовые акты РФ, регулирующие отношения, связанные с деятельностью Общества;
-Устав Общества;
-договоры, заключаемые между Обществом и субъектом ПД;
-согласие на обработку ПД (в случаях, прямо не предусмотренных законодательством РФ, но соответствующих полномочиям Общества).

2. СОСТАВ И СРОКИ ОБРАБОТКИ ПД

2.1.     В зависимости от субъекта ПД Общество обрабатывает ПД следующих категорий субъектов ПД:
-   действующих работников, бывших работников, кандидатов на замещение вакантных должностей, а также родственников работников Общества – информация, необходимая Обществу для заключения и выполнения обязательств по трудовым договорам, ведения кадрового учета работников и выполнения требований законодательства РФ;
-   клиентов, контрагентов (потенциальных клиентов, контрагентов), а также уполномоченных представителей (руководителей, лиц, действующих на основании доверенности или в сиду закона) или сотрудников юридических лиц, являющихся клиентами, контрагентами (потенциальными клиентами, контрагентами) – информация, необходимая Обществу для выполнения своих обязательств в рамках договорных отношений с клиентами (контрагентами) и выполнения требований законодательства РФ;
-   аффилированных лиц или руководителей, участников или сотрудников юридических лиц, являющихся аффилированными лицами по отношению к Обществу - информация, необходимая Обществу для отражения ее в отчетных документах о деятельности Общества в соответствии с требованиями законодательства РФ;
-   заемщиков, залогодателей, поручителей (потенциальных заемщиков, залогодателей, поручителей) – информация, необходимая Обществу для заключения договоров и выполнения своих обязательств по таким договорам, защиты прав и законных интересов Общества (минимизация рисков Общества, связанных с нарушением обязательств по договорам займа, договорам залога, договорам поручительства) и выполнения требований законодательства РФ.
2.2.     Полный перечень ПД, в том числе специальных категорий ПД и биометрических ПД, подлежащих обработке и защите, сроки и цели их обработки в Обществе определяются законодательством РФ, внутренними документами Общества о ПД, согласием субъекта ПД и договорами, заключаемыми с субъектами ПД, в соответствии с законодательством РФ о ПД.

3. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПД

3.1.Обработка ПД в Обществе осуществляется с соблюдением следующих принципов:
-   обработка ПД должна осуществляться на законной и справедливой основе;
-   обработка ПД должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПД, несовместимая с целями сбора ПД;
-   не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой.
-   обработке подлежат только ПД, которые отвечают целям их обработки;
-   содержание и объем обрабатываемых ПД должны соответствовать заявленным целям обработки. Обрабатываемые ПД не должны быть избыточными по отношению к заявленным целям их обработки;
-   при обработке ПД должны быть обеспечены точность ПД, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПД. Общество принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
-   хранение ПД должно осуществляться в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, но не менее 5 (пяти) лет с даты прекращения отношений с субъектом ПД. Обрабатываемые ПД подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.2.     Обработка ПД осуществляется с соблюдением принципов и правил, предусмотренных настоящей Политикой. Обработка ПД допускается в следующих случаях:
-   обработка ПД осуществляется с согласия субъекта ПД на обработку его ПД;
-   обработка ПД необходима для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на Общество функций, полномочий и обязанностей;
-   обработка ПД необходима для выполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем;
-   обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия субъекта ПД невозможно;
-   обработка ПД необходима для осуществления прав и законных интересов Общества или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом от 03.07.2016 № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПД;
-   обработка ПД осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 ФЗ № 152, при условии обязательного обезличивания ПД;
-   осуществляется обработка ПД, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ.
3.3.Общество вправе поручить обработку ПД другому лицу с согласия субъекта ПД, если иное не предусмотрено законодательством РФ, на основании заключаемого с этим лицом договора, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение Общества). Лицо, осуществляющее обработку ПД по поручению Общества, обязано соблюдать принципы и правила обработки ПД, предусмотренные настоящей Политикой. В поручении Общества должны быть определены перечень действий (операций) с ПД, которые будут совершаться лицом, осуществляющим обработку ПД, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке, а также должны быть указаны требования к защите обрабатываемых ПД в соответствии со ст. 19 ФЗ № 152.
Лицо, осуществляющее обработку ПД по поручению Общества, не обязано получать согласие субъекта ПД на обработку его ПД.
В случае если Общество поручает обработку ПД другому лицу, ответственность перед субъектом ПД за действия указанного лица несет Общество. Лицо, осуществляющее обработку ПД по поручению Общества, несет ответственность перед Обществом.
3.4.Общество и иные лица, получившие доступ к ПД, обязаны соблюдать режим конфиденциальности - не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено законодательством РФ.
3.5.В целях информационного обеспечения в Обществе могут создаваться общедоступные источники ПД работников, в том числе справочники и адресные книги. В общедоступные источники ПД с согласия работника могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты.
Сведения о работнике Общества должны быть в любое время исключены из общедоступных источников ПД по требованию работника либо по решению суда или иных уполномоченных государственных органов.
3.6.Обработка Обществом специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных ч. 2 ст. 10 ФЗ № 152.
Обработка ПД о судимости может осуществляться Обществом исключительно в порядке и в случаях, предусмотренных законодательством РФ.
Обработка специальных категорий ПД, осуществлявшаяся в случаях, предусмотренных абз. 1 и 2 настоящего пункта, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено законодательством РФ.
3.7.     Согласие на обработку ПД, разрешенных субъектом ПД для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его ПД. Обработка ПД, разрешенных субъектом ПД для распространения, осуществляется Обществом в порядке и на условиях, определенных ст. 10.1 ФЗ № 152.
3.8.Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПД) и которые используются Обществом для установления личности субъекта ПД, могут обрабатываться только при наличии согласия в письменной форме субъекта ПД, за исключением случаев, предусмотренных ч. 2 ст. 11 ФЗ № 152.
Общество не вправе отказывать в обслуживании в случае отказа субъекта ПД предоставить биометрические ПД и (или) дать согласие на обработку ПД, если в соответствии с федеральным законом получение оператором согласия на обработку ПД не является обязательным.
Использование и хранение биометрических ПД вне информационных систем ПД могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
3.9.Трансграничная передача ПД осуществляется Обществом в соответствии с ФЗ № 152 и международными договорами РФ.
3.10.  Условием прекращения обработки ПД могут являться:
-достижение целей обработки ПД;
-истечение срока действия согласия или отзыв согласия субъекта ПД на обработку его ПД;
-выявление неправомерной обработки ПД.

4.СОГЛАСИЕ СУБЪЕКТА ПД НА ОБРАБОТКУ ЕГО ПД

4.1.     Субъект ПД принимает решение о предоставлении его ПД и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПД должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку ПД может быть дано субъектом ПД или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством РФ. В случае получения согласия на обработку ПД от представителя субъекта ПД полномочия данного представителя на дачу согласия от имени субъекта ПД проверяются Обществом.
4.2.     Согласие на обработку ПД может быть отозвано субъектом ПД. В случае отзыва субъектом ПД согласия на обработку ПД Общество вправе продолжить обработку ПД без согласия субъекта ПД при наличии оснований, указанных в п. 2 – 11 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ № 152.
4.3.     Обязанность предоставить доказательство получения согласия субъекта ПД на обработку его ПД или доказательство наличия оснований, указанных в п. 2 – 11 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ № 152, возлагается на Общество.
4.4.     В случаях, предусмотренных законодательством РФ, обработка ПД осуществляется только с согласия в письменной форме субъекта ПД. Равнозначным содержащему собственноручную подпись субъекта ПД согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» (далее – ФЗ № 63) электронной подписью.
Согласие в письменной форме субъекта ПД на обработку его ПД должно включать в себя, в частности:
-    фамилию, имя, отчество, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
-    фамилию, имя, отчество, адрес представителя субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПД);
-    наименование или фамилию, имя, отчество и адрес Общества, получающей согласие субъекта ПД;
-    цель обработки ПД;
-    перечень ПД, на обработку которых дается согласие субъекта ПД;
-    наименование или фамилию, имя, отчество и адрес третьего лица, осуществляющего обработку ПД по поручению Общества, если обработка будет поручена такому лицу;
-    перечень действий с ПД, на совершение которых дается согласие, общее описание используемых Обществом способов обработки ПД;
-    срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва, если иное не установлено законодательством РФ;
-    подпись субъекта ПД.
4.5.     В случае недееспособности субъекта ПД согласие на обработку его ПД дает законный представитель субъекта ПД.
4.6.     В случае смерти субъекта ПД согласие на обработку его ПД дают наследники субъекта ПД, если такое согласие не было дано субъектом ПД при его жизни.
4.7.     ПД могут быть получены Обществом от лица, не являющегося субъектом ПД, при условии предоставления Обществу подтверждения наличия оснований, указанных в п. 2 – 11 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ № 152.
4.8.     Требования к содержанию согласия на обработку ПД, разрешенных субъектом ПД для распространения, устанавливаются уполномоченным органом по защите прав субъектов ПД.

5. ПРАВА СУБЪЕКТА ПД

5.1.Субъект ПД имеет следующие права:
-право на доступ к своим ПД;
-права при обработке его ПД в целях продвижения товаров, работ, услуг на рынке;
-права при принятии решений на основании исключительно автоматизированной обработки его ПД;
-право на обжалование действий или бездействия Общества.
5.2.Субъект ПД имеет право на получение сведений, указанных в абз. 7 настоящего пункта, за исключением случаев, предусмотренных ч. 8 ст. 14 ФЗ № 152. Субъект ПД вправе требовать от Общества уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством РФ меры по защите своих прав.
Сведения, указанные в абз. 7 настоящего пункта, должны быть предоставлены субъекту ПД Обществом в доступной форме, и в них не должны содержаться ПД, относящиеся к другим субъектам ПД, за исключением случаев, если имеются законные основания для раскрытия таких ПД.
Сведения, указанные в абз. 7 настоящего пункта, предоставляются субъекту ПД или его представителю Обществом в течение 10 (десяти) рабочих дней с момента обращения либо получения Обществом запроса субъекта ПД или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Обществом в адрес субъекта ПД мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПД или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПД в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПД Обществом, подпись субъекта ПД или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ. Общество предоставляет сведения, указанные в абз. 7 настоящего пункта, субъекту ПД или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
В случае если сведения, указанные в абз. 7 настоящего пункта, а также обрабатываемые ПД были предоставлены для ознакомления субъекту ПД по его запросу, субъект ПД вправе обратиться повторно к Обществу или направить ему повторный запрос в целях получения сведений, указанных в абз. 7 настоящего пункта, и ознакомления с такими ПД не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД.
Субъект ПД вправе обратиться повторно к Обществу или направить ему повторный запрос в целях получения сведений, указанных в абз. 7 настоящего пункта, а также в целях ознакомления с обрабатываемыми ПД до истечения срока, указанного в абз. 4 настоящего пункта, в случае если такие сведения и (или) обрабатываемые ПД не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в абз. 3 настоящего пункта, должен содержать обоснование направления повторного запроса.
Общество вправе отказать субъекту ПД в выполнении повторного запроса, не соответствующего условиям, предусмотренным абз. 4 и 5 настоящего пункта. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Обществе.
Субъект ПД имеет право на получение информации, касающейся обработки его ПД, в том числе содержащей:
- подтверждение факта обработки ПД Обществом;
- правовые основания и цели обработки ПД;
- цели и применяемые Обществом способы обработки ПД;
- наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Обществом или в соответствии с законодательством РФ;
- обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством РФ;
- сроки обработки ПД, в том числе сроки их хранения;
- порядок осуществления субъектом ПД прав, предусмотренных ФЗ № 152;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Общества, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения Обществом обязанностей, установленных ст. 18.1 ФЗ № 152;
- иные сведения, предусмотренные ФЗ № 152 или другими федеральными законами.
Право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с федеральными законами, в том числе в случаях, предусмотренных ч. 8 ст. 14 ФЗ № 152.
5.3.Обработка ПД в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта ПД. Указанная обработка ПД признается осуществляемой без предварительного согласия субъекта ПД, если Общество не докажет, что такое согласие было получено.
Общество по требованию субъекта ПД немедленно прекращает обработку его ПД, указанную в абз. 1 настоящего пункта.
5.4.Запрещается принятие на основании исключительно автоматизированной обработки ПД решений, порождающих юридические последствия в отношении субъекта ПД или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных абз. 2 настоящего пункта.
Решение, порождающее юридические последствия в отношении субъекта ПД или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПД только при наличии согласия в письменной форме субъекта ПД или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта ПД.
Общество разъясняет субъекту ПД порядок принятия решения на основании исключительно автоматизированной обработки его ПД и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом ПД своих прав и законных интересов.
Общество рассматривает возражение, указанное в абз. 3 настоящего пункта, в течение 30 (тридцати) дней со дня его получения и уведомить субъекта ПД о результатах рассмотрения такого возражения.
5.5.Если субъект ПД считает, что Общество осуществляет обработку его ПД с нарушением требований ФЗ № 152 или иным образом нарушает его права и свободы, субъект ПД вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов ПД или в судебном порядке.
Субъект ПД имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6.ОБЯЗАННОСТИ ОБЩЕСТВА

6.1. При сборе ПД Общество предоставляет субъекту ПД по его просьбе информацию, предусмотренную абз. 7 п. 5.2 Политики.
6.2. Если в соответствии с федеральным законом предоставление ПД и (или) получение Обществом согласия на обработку ПД являются обязательными, Общество разъясняет субъекту ПД юридические последствия отказа предоставить его ПД и (или) дать согласие на их обработку.
6.3. Если ПД получены не от субъекта ПД, Общество, за исключением случаев, предусмотренных п. 6.4 Политики, до начала обработки таких ПД предоставляет субъекту ПД следующую информацию:
- наименование и адрес Общества, фамилию, имя, отчество его представителя;
- цель обработки ПД и ее правовое основание;
- перечень ПД;
- предполагаемые пользователи ПД;
- установленные настоящей Политикой и ФЗ № 152 права субъекта ПД;
- источник получения ПД.
6.4. Общество вправе не предоставлять субъекту ПД сведения, предусмотренные п. 6.3 Политики, в случаях, если:
- субъект ПД уведомлен об осуществлении обработки его ПД соответствующим оператором, признаваемым таковым в соответствии с настоящей Политикой;
- ПД получены Обществом на основании федерального закона или в связи с выполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД;
- обработка ПД, разрешенных субъектом ПД для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 ФЗ № 152;
- Общество осуществляет обработку ПД для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта ПД;
- предоставление субъекту ПД сведений, предусмотренных п. 6.3 Политики, нарушает права и законные интересы третьих лиц.
6.5. При сборе ПД, в том числе посредством сети Интернет, Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, указанных в п. 2 - 4, 8 ч. 1 ст. 6 ФЗ № 152.
6.6. Общество принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ФЗ № 152 и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, относятся:
- назначение лица, ответственного за организацию в Обществе обработки ПД;
- разработка и утверждение настоящей Политики и иных внутренних документов Общества по вопросам обработки ПД, определяющих для каждой цели обработки ПД категории и перечень обрабатываемых ПД, категории субъектов, ПД которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований, а также устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений. Такие документы не могут содержать положения, ограничивающие права субъектов ПД, а также возлагающие на операторов не предусмотренные законодательством РФ полномочия и обязанности;
- применение правовых, организационных и технических мер по обеспечению безопасности ПД в соответствии с разделом 7 настоящей Политики;
- осуществление внутреннего контроля и/или аудита соответствия обработки ПД настоящему ФЗ № 152 и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, установленным Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее - Постановление Правительства РФ № 1119), настоящей Политики, внутренним документам Общества;
- оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД, который может быть причинен субъектам ПД в случае нарушения настоящей Политики и ФЗ № 152, соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящей Политикой и ФЗ № 152;
- ознакомление работников Общества, непосредственно осуществляющих обработку ПД, с положениями законодательства РФ о ПД, в том числе требованиями к защите ПД, положениями настоящей Политики, внутренними документами Общества по вопросам обработки ПД, и/или обучение указанных работников.
6.7. Лицо, ответственное за организацию обработки ПД, получает указания непосредственно от единоличного исполнительного органа Общества (далее – Руководитель Общества), являющегося оператором, и подотчетно ему.
Общество предоставляет лицу, ответственному за организацию обработки ПД, сведения, указанные в ч. 3 ст. 22 ФЗ № 152.
Лицо, ответственное за организацию обработки ПД, в частности:
- осуществляет внутренний контроль за соблюдением Обществом и его работниками законодательства РФ о ПД, в том числе требований, установленных Постановлением Правительства РФ № 1119, к защите ПД;
- доводит до сведения работников Общества положения законодательства РФ о ПД, внутренних документов по вопросам обработки ПД, требований к защите ПД;
- организовывает прием и обработку обращений и запросов субъектов ПД или их представителей и/или осуществляет контроль за приемом и обработкой таких обращений и запросов.
6.8. Общество опубликовывает или иным образом обеспечивает неограниченный доступ к настоящей Политике. В случае осуществления сбора ПД с использованием информационно-телекоммуникационных сетей Общество опубликовывает в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Обществу Интернет-сайта (при наличии), с использованием которых осуществляется сбор ПД, настоящую Политику, а также обеспечивает возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
6.9. Общество представляет соответствующие внутренние документы, указанные в п. 6.6 Политики, и/или иным образом подтверждает принятие мер, указанных в п. 6.6 Политики, по запросу уполномоченного органа по защите прав субъектов ПД.
6.10. Общество сообщает в порядке, предусмотренном п. 5.2 Политики, субъекту ПД или его представителю информацию о наличии ПД, относящихся к соответствующему субъекту ПД, а также предоставляет возможность ознакомления с этими ПД при обращении субъекта ПД или его представителя либо в течение 10 (десяти) рабочих дней с даты получения запроса субъекта ПД или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Обществом в адрес субъекта ПД мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
В случае отказа в предоставлении информации о наличии ПД о соответствующем субъекте ПД или ПД субъекту ПД или его представителю при их обращении либо при получении запроса субъекта ПД или его представителя Общество дает в письменной форме мотивированный ответ, содержащий ссылку на положение ч. 8 ст. 14 ФЗ № 152 или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 10 (десяти) рабочих дней со дня обращения субъекта ПД или его представителя либо с даты получения запроса субъекта ПД или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Обществом в адрес субъекта ПД мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Общество предоставляет безвозмездно субъекту ПД или его представителю возможность ознакомления с ПД, относящимися к этому субъекту ПД. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом ПД или его представителем сведений, подтверждающих, что ПД являются неполными, неточными или неактуальными, Общество вносит в них необходимые изменения. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом ПД или его представителем сведений, подтверждающих, что такие ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Общество уничтожает такие ПД. Общество уведомляет субъекта ПД или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым ПД этого субъекта были переданы.
Общество сообщает в уполномоченный орган по защите прав субъектов ПД по запросу этого органа необходимую информацию в течение 10 (десяти) рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 (пять0 рабочих дней в случае направления Обществом в адрес уполномоченного органа по защите прав субъектов ПД мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6.11. В случае выявления неправомерной обработки ПД при обращении субъекта ПД или его представителя либо по запросу субъекта ПД или его представителя либо уполномоченного органа по защите прав субъектов ПД Общество осуществляет блокирование неправомерно обрабатываемых ПД, относящихся к этому субъекту ПД, или обеспечить их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПД при обращении субъекта ПД или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПД Общество осуществляет блокирование ПД, относящихся к этому субъекту ПД, или обеспечивает их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПД не нарушает права и законные интересы субъекта ПД или третьих лиц.
В случае подтверждения факта неточности ПД Общество на основании сведений, представленных субъектом ПД или его представителем либо уполномоченным органом по защите прав субъектов ПД, или иных необходимых документов уточняет ПД либо обеспечивает их уточнение (если обработка ПД осуществляется другим лицом, действующим по поручению Общества) в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование ПД.
В случае выявления неправомерной обработки ПД, осуществляемой Обществом или лицом, действующим по поручению Общества, Общество в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, прекращает неправомерную обработку ПД или обеспечивает прекращение неправомерной обработки ПД лицом, действующим по поручению Общества. В случае если обеспечить правомерность обработки ПД невозможно, Общество в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПД, уничтожает такие ПД или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении ПД Общество уведомляет субъекта ПД или его представителя, а в случае, если обращение субъекта ПД или его представителя либо запрос уполномоченного органа по защите прав субъектов ПД были направлены уполномоченным органом по защите прав субъектов ПД, также указанный орган.
В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, Общество с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов ПД или иным заинтересованным лицом уведомляет уполномоченный орган по защите прав субъектов ПД:
- в течение 24 (двадцати четырех) часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПД, и предполагаемом вреде, нанесенном правам субъектов ПД, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Обществом на взаимодействие с уполномоченным органом по защите прав субъектов ПД, по вопросам, связанным с выявленным инцидентом;
- в течение 72 (семидесяти двух) часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
В случае достижения цели обработки ПД Общество прекращает обработку ПД или обеспечивает ее прекращение (если обработка ПД осуществляется другим лицом, действующим по поручению Общества) и уничтожает ПД или обеспечивает их уничтожение (если обработка ПД осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки ПД, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между Обществом и субъектом ПД либо если Общество не вправе осуществлять обработку ПД без согласия субъекта ПД на основаниях, предусмотренных настоящей Политикой, ФЗ № 152 или другими федеральными законами.
В случае отзыва субъектом ПД согласия на обработку его ПД Общество прекращает их обработку или обеспечивает прекращение такой обработки (если обработка ПД осуществляется другим лицом, действующим по поручению Общества) и в случае, если сохранение ПД более не требуется для целей обработки ПД, уничтожает ПД или обеспечивает их уничтожение (если обработка ПД осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между Обществом и субъектом ПД либо если Общество не вправе осуществлять обработку ПД без согласия субъекта ПД на основаниях, предусмотренных настоящей Политикой, ФЗ № 152 или другими федеральными законами.
В случае обращения субъекта ПД к Обществу с требованием о прекращении обработки ПД оператор обязан в срок, не превышающий 10 (десяти) рабочих дней с даты получения Обществом соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПД), за исключением случаев, предусмотренных п. 2 – 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ № 152. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Обществом в адрес субъекта ПД мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
В случае отсутствия возможности уничтожения ПД в течение срока, указанного в абз. 3 – 6 настоящего пункта, Общество осуществляет блокирование таких ПД или обеспечивает их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению Общества) и обеспечивает уничтожение ПД в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.
Подтверждение уничтожения ПД в случаях, предусмотренных настоящим пунктом, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД.

7.МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПД ПРИ ИХ ОБРАБОТКЕ

7.1. Общество при обработке ПД принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.
7.2. Обеспечение безопасности ПД достигается, в частности:
- определением угроз безопасности ПД при их обработке в информационных системах ПД;
- применением организационных и технических мер, установленных Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Приказ ФСТЭК России № 21), по обеспечению безопасности ПД при их обработке в информационных системах ПД, необходимых для выполнения требований, установленных Постановлением Правительства РФ № 1119, к защите ПД, выполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПД;
- применением прошедших в установленном порядке процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации средств защиты информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
- оценкой эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы ПД;
- учетом машинных носителей ПД и обеспечением их сохранности;
- обнаружением фактов несанкционированного доступа к ПД и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы ПД и по реагированию на компьютерные инциденты в них;
- восстановлением ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к ПД, обрабатываемым в информационной системе ПД, а также обеспечением регистрации и учета всех действий, совершаемых с ПД в информационной системе ПД;
- организацией режима обеспечения безопасности помещений, в которых размещена информационная система ПД, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- назначением одного из работников Общества, ответственным за обеспечение безопасности ПД в информационной системе ПД;
- утверждением Руководителем Общества документа, определяющего перечень лиц, доступ которых к ПД, обрабатываемым в информационной системе ПД, необходим для выполнения ими служебных (трудовых) обязанностей;
- обеспечением доступа к содержанию электронного журнала сообщений только для работников Общества или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей;
- использованием автоматической регистрации в электронном журнале безопасности изменения полномочий работника Общества по доступу к ПД, содержащимся в информационной системе ПД;
- созданием структурного подразделения, ответственного за обеспечение безопасности ПД в информационной системе, либо возложение на одно из структурных подразделений Общества функций по обеспечению такой безопасности;
- контролем за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности информационных систем ПД.
7.3. Правительство РФ с учетом возможного вреда субъекту ПД, объема и содержания обрабатываемых ПД, вида деятельности, при осуществлении которого обрабатываются ПД, актуальности угроз безопасности ПД устанавливает:
- уровни защищенности ПД при их обработке в информационных системах ПД в зависимости от угроз безопасности этих данных (Постановление Правительства РФ № 1119);
- требования к защите ПД при их обработке в информационных системах ПД, выполнение которых обеспечивает установленные уровни защищенности ПД (Постановление Правительства РФ № 1119);
- требования к материальным носителям биометрических ПД и технологиям хранения таких данных вне информационных систем ПД (Постановление Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»).
7.4. Состав и содержание необходимых для выполнения установленных Правительством РФ в соответствии с п. 7.3 Политики требований к защите ПД для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах ПД устанавливаются Приказом ФСТЭК России № 21.
7.5. Для целей настоящей Политики под угрозами безопасности ПД понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПД, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПД, а также иные неправомерные действия при их обработке в информационной системе ПД. Под уровнем защищенности ПД понимается комплексный показатель, характеризующий требования, выполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПД при их обработке в информационных системах ПД.
7.6. Общество в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД.
7.7. Финансирование мероприятий по обеспечению безопасности ПД осуществляется за счет собственных средств Общества.

8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

8.1.Иные права и обязанности Общества, как оператора ПД, определяются законодательством РФ и внутренними документами Общества о ПД.
8.2.Политика утверждаются приказом Руководителя Общества и вступают в силу по истечении 5 (пяти) рабочих дней с даты их размещения на Интернет-сайте (при наличии), а также в пунктах выдачи займов Общества.
8.3.Требования Политики доводятся до сведения всех работников Общества и подлежат обязательному выполнению.
8.4.Лица, виновные в нарушении требований настоящей Политики, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.
8.5.Контроль за соблюдением требований настоящей Политики осуществляет должностное лицо, ответственное за организацию обработки ПД в Обществе.
8.6. В случае изменения действующего законодательства РФ, в том числе нормативных правовых актов РФ о ПД, Политика до момента внесения соответствующих изменений и дополнений действует в части, не противоречащей вступившим в силу изменениям законодательства РФ, а работники Общества и иные лица, указанные в Политике руководствуются нормами действующего законодательства РФ.