Политика обработки персональных данных ООО РИЗОНАРЭ

1.     Целью настоящей Политики обработки персональных данных ООО РИЗОНАРЭ (далее – РИЗОНАРЭ или Компания) является обеспечение соответствия процесса обработки и защиты персональных данных в ООО РИЗОНАРЭ законодательству Российской Федерации (далее – Политика). Настоящая Политика определяет основные принципы, цели, правовые основания и условия обработки персональных данных в Компании. При обработке персональных данных Компания руководствуется Федеральным Законом №152-ФЗ «О персональных данных».

2.     Действие настоящей Политики распространяется на любые действия Компании в отношении Персональных данных клиентов/контрагентов Компании — физических лиц, а также Персональных данных сотрудников Компании.

3.     Требования настоящей Политики должны учитываться при разработке и внедрении ИТ-систем / продуктов / всех бизнес-процессов, в рамках которых производится обработка персональных данных.

4.     Термины, сокращения, условные обозначения
4.1.        Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
4.2.        Компания – ООО РИЗОНАРЭ;
4.3.        Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
4.4.        Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4.5.        Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
4.6.        Обязательный Срок хранения — конкретный предельный срок обработки данных, предусмотренный применимым законодательством РФ (например, общие и специальные сроки, установленные законодательством РФ; максимальные сроки хранения, установленные регулирующими органами РФ для специальных категорий информации/документов; пределы хранения, требуемые органами РФ по защите данных с учетом определенных целей обработки);
4.7.        Персональные данные (ПДн) — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
4.8.        Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
4.9.        Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
4.10.    Специальные категории персональных данных — к специальным категориям персональных данных относятся данные, раскрывающие расовую или национальную принадлежность, политические взгляды, религиозные или философские убеждения, данные о состоянии о здоровья, интимной жизни физического лица;
4.11.    Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые могут использоваться оператором для установления личности субъекта персональных данных;
4.12.    Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
4.13.    Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
4.14.    Утечка персональных данных — нарушение безопасности, которое включает непреднамеренное или незаконное уничтожение, потерю, изменение, несанкционированное раскрытие или доступ к передаваемым данным, хранимыми или иным образом обрабатываемыми;
4.15.    Ответственный сотрудник — Должностное лицо Компании по организации обработки персональных данных, ответственное за организацию обработки персональных данных;

5.     Компания при обработке персональных данных руководствуется законодательством Российской Федерации, требованиями отраслевых стандартов. Политика разработана в соответствии с требованиями Федерального закона №152-ФЗ «О персональных данных».

6.     В Компании действует комплекс правовых, организационных и технических мер, направленных на защиту информации о клиентах, работниках, контрагентах и других субъектах персональных данных.

7.     Компания должна принимать соответствующие технические и организационные меры для обеспечения возможности демонстрации того, что обработка осуществляется в соответствии с 152-ФЗ, а также для защиты данных от несанкционированной или незаконной обработки.

8.     Обработка персональных данных в Банке осуществляется на основании следующих принципов:
8.1 обработка персональных данных осуществляется на законной и справедливой основе;
8.2 обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
8.3 обработке подлежат только персональные данные, которые отвечают целям их обработки;
8.4 недопустимость объединения баз данных созданных для несовместимых между собой целей обработки персональных данных;
8.5 содержание и объем обрабатываемых персональных данных должны быть минимально достаточными для достижения заранее определенных целей обработки персональных данных;
8.6 процессы обработки персональных данных должны обеспечивать точность, достаточность и актуальность персональных данных по отношению к целям их обработки, а также обеспечивать своевременные удаление или уточнение неполных или неточных данных.

9.     Обработка Оператором персональных данных работников (текущих и бывших), соискателей, клиентов, потенциальных клиентов и представителей контрагентов осуществляется в следующих целях:
9.1.     реализации операций и сделок;
9.2.     заключения с Субъектом персональных данных любых договоров и их дальнейшего исполнения;
9.3.     проведения акций, опросов, исследований;
9.4.     предоставления Субъекту персональных данных информации об оказываемых услугах;
9.5.     информирования Клиента о предложениях по продуктам и услугам Компании;
9.6.     ведения кадровой работы и организации учета работников Компании, обучения и должностного роста работников;
9.7.     заключения исполнения договоров добровольного страхования, прохождения практики (стажировки) в Компании учащихся образовательных учреждений;
9.8.     привлечения и отбора кандидатов на работу в Компании, в том числе содействия в трудоустройстве в Компании;
9.9.     формирования статистической отчетности, в том числе регуляторным органам;

10. Перечень целей, не является исчерпывающим и может быть изменен Компанией в соответствии с внутренними нормативными актами и законодательством Российской Федерации.

11. Цели обработки персональных данных могут происходить в том числе из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности.

12. Компания может осуществлять обработку персональных данных в рамках, заявленных выше целей следующими способами, совершаемыми как с использованием средств автоматизации, так и без использования таковых, сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

13. Хранение персональных данных осуществляется в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости достижения этих целей, если иное не предусмотрено федеральным законом.

14. При обработке персональных данных Компания руководствуется минимально необходимым составом персональных данных для достижения целей получения персональных данных.

15. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Компания осуществляет обработку персональных данных, в том числе:
15.1.       Конституция Российской Федерации;
15.2.       Гражданский кодекс Российской Федерации;
15.3.       Трудовой кодекс Российской Федерации;
15.4.       Налоговый кодекс Российской Федерации;
15.5.       Федеральный закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» от 07.08.2001 г. N 115-ФЗ;
15.6.       Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»;
15.7.       Федеральный закон от 15.12.2001 N 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
15.8.       Федеральный закон от 31.07.2020 N 259-ФЗ «О цифровых финансовых активах, цифровой валюте и о внесении изменений в отдельные законодательные акты Российской Федерации»;
15.9.       Федерального закон от 27.07.2006 N 152-ФЗ «О персональных данных»;
15.10.   иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Компании.

16. Правовым основанием обработки персональных данных также являются:
16.1.       Устав Компании;
16.2.       договоры, заключаемые между Компанией и субъектами персональных данных;
16.3.       согласие субъектов персональных данных на обработку их персональных данных.

17. Согласие на обработку персональных данных (далее – Согласие) может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

18. Обработка персональных данных может осуществляется без согласия субъекта персональных данных (или при отзыве субъектом персональных данных согласия на обработку персональных данных) при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных».

19. Обработка специальных категорий персональных данных Компанией не осуществляется.

20. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято Компанией на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

21. Доступ к персональным данным субъектов персональных данных (вне зависимости от вида носителя) предоставляется работникам Компании в соответствии с их должностными обязанностями.

22. Передача персональных данных субъектов персональных данных третьим лицам осуществляется Компанией в соответствии с требованиями действующего законодательства Российской Федерации.

23. В ходе своей деятельности Компания может осуществлять трансграничную передачу персональных данных в страны присутствия Компании и подрядчикам юридических лиц Компании.

24. Компания должна удостовериться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях, предусмотренных действующим законодательством Российской Федерации.

25. В соответствии с законодательством Российской Федерации, возможность осуществления передачи персональных данных за пределы Российской Федерации может быть запрещена или ограничена уполномоченными органами государственной власти в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

26. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Компания обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных».

Основные права и обязанности Компании, как Оператора обработки персональных данных

27. Компания имеет право:
27.1.    самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено 152-ФЗ или другими федеральными законами;
27.2.    поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные 152-ФЗ, в том числе ст. 18, ч.5. ст.18, ст. 18.1, ст.19, ст.21.

28. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Компания вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в 152-ФЗ.

29. Компания обязана:
29.1.    организовывать обработку персональных данных в соответствии с требованиями 152-ФЗ;
29.2.    отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями 152-ФЗ;
29.3.    сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по запросу этого органа необходимую информацию в установленный законом срок.

Права субъектов персональных данных

30. Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, вправе отозвать согласие на обработку персональных данных в соответствии с действующим законодательством Российской Федерации, как в целом, так и в части, например, отзыва согласия на использование своих персональных данных, с целью направления Компанией маркетинговых рассылок, вправе получить от Компании информацию в понятной форме о передаче Персональных данных, а также принимать предусмотренные законодательством меры по защите своих прав.

31. В случаях и порядке, установленных Федеральным законом «О персональных данных», субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
31.1.       подтверждение факта обработки персональных данных Компанией;
31.2.       правовые основания и цели обработки персональных данных;
31.3.       цели и применяемые Компанией способы обработки персональных данных;
31.4.       наименование и место нахождения Компании, сведения о лицах (за исключением сотрудников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального закона;
31.5.       обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом «О персональных данных»;
31.6.       сроки обработки персональных данных, в том числе сроки их хранения;
31.7.       порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
31.8.       информацию о ранее осуществленной или о предполагаемой трансграничной передаче данных;
31.9.       наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
31.10.   сведениями о способах исполнения оператором обязанностей, установленных в ст. 18.1 152-ФЗ;
31.11.   иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

32. Подтверждение факта обработки персональных данных, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 152-ФЗ, предоставляются Компанией субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.

33. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

34. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

35. Компания своевременно и в полном соответствии с требованиями 152-ФЗ отвечает на обращения и запросы субъектов персональных данных и их законных представителей.

Данные о работниках

36. В дополнение к требованиям, изложенным в предыдущих пунктах, Компания обеспечивает защиту прав и свобод в отношении обработки персональных данных работников в контексте занятости.

37. Компания признает и уважает конфиденциальность данных своих работников, ограничивающую сбор, доступ и использование персональных данных, связанных с трудоустройством, и обрабатывает персональные данные своих работников для осуществления трудовой деятельности, и только в конкретных и законных целях в соответствии с соразмерностью и необходимостью.

38. Обязательство Компании уважать права работников на неприкосновенность частной жизни не должно приводить к ненадлежащему исполнению работниками своих должностных обязанностей на работе (например, компьютеры компании предназначены только для использования на работе; поэтому их использование, кроме как в коммерческих целях, должно быть сведено к минимуму и не должно влиять на выполнение трудовой деятельности). Кроме того, Компания имеет право доступа ко всем рабочим местам и рабочим инструментам, а также право просматривать сообщения и информацию, созданные на рабочем месте работника, если это необходимо, или в целях обеспечения безопасности и защиты своих ИТ-систем во всех случаях в той мере, в какой это допускается применимым законодательством.

Уведомление об Утечке Данных

39. Утечка персональных данных относится к инцидентам защиты информации. В случае инцидента (неправомерной или случайной передачи ПДн, повлекшей нарушение прав и свобод субъекта) Компания обязана:
1)     в течение 24 часов уведомлять Роскомнадзор:
— об инциденте;
— о предполагаемых причинах, которые повлекли нарушение прав субъектов;
— о предполагаемом вреде;
— о принятых мерах по устранению последствий;
— о лице, уполномоченном от имени Компании взаимодействовать с Роскомнадзором по вопросам инцидента;
2) в течение 72 часов сообщить Роскомнадзору о результатах внутреннего расследования инцидента и предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).

Сведения о реализуемых мерах по защите персональных данных

40. Компания при обработке персональных данных принимает правовые, организационные и технические меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации.

41. Обработка Персональных данных выполняется в соответствии с законодательством Российской Федерации и иными нормативными правовыми актами, в том числе соответствующих государственных органов, регулирующих обработку персональных данных.

42. В соответствии со статьей 18.1 Федерального закона «О персональных данных» Компания самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения требований законодательства, так, в частности, Компания принимает следующие меры:
42.1. назначает ответственного сотрудника за организацию обработки персональных данных;
42.2. разрабатывает и утверждает документы, определяющие политику в отношении обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
42.3. разрабатывает и внедряет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных». Компания использует все разумные средства для обеспечения точности, полноты и актуальности Персональных данных;
42.4. осуществляет внутренний контроль и аудит соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных, политике в отношении обработки персональных данных;
42.5. сотрудники Компании, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с положениями законодательства Российской Федерации об обработке персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;

43. Ответственный сотрудник Компании должен участвовать во всех вопросах, касающихся обработки персональных данных, и быть в состоянии выполнять свои задачи автономно в рамках организации.

44. Ответственный сотрудник периодически (например, ежегодно) актуализирует вопросы связанные с состоянием защиты персональных, с управлением рисками утечки данных, с выявленными нарушениями в работе.

45. Ответственный сотрудник осуществляет контроль второго уровня с целью мониторинга соблюдения требований применимого законодательства в области персональных данных.

46. Ответственный сотрудник Компании выполняя свои функции и задачи отвечает за:
46.1. осуществление внутреннего контроля за соблюдением Компанией и её сотрудниками законодательства Российской Федерации о персональных данных и внутренней политики в отношении обработки персональных данных;
46.2. доведение до сведения сотрудников Компании положений законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных;
46.3. информирование и консультирование Компании и её сотрудников об их обязанностях в соответствии с 152-ФЗ и иным применимым законодательством в области персональных данных;
46.4. организацию приема и обработки обращений и запросов субъектов персональных данных или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов;
46.5. взаимодействие с Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) и иными надзорными органами при возникновении такой служебной необходимости;
46.6. взаимодействие в качестве контактного лица по вопросам, касающимся обработки персональных данных.