Я согласен(на) на обработку моих персональных данных
Настоящим Я, действуя своей волей и в своем интересе, при размещении (вводе) своих персональных данных на Интернет сайте kfcompany.org общества с ограниченной ответственностью «Кировская Финансовая Компания» (ИНН 4345384394, ОГРН1144345009104, расположенное по адресу: Кировская обл., г Киров, ул. Урицкого/Орловская, д. 20/10, пом. 1007 далее - Оператор) подтверждаю свое согласие на обработку указанных мной персональных данных (ФИО и контактные данные) Оператором в целях предложения мне услуг, новых услуг, предлагаемых Оператором, в целях проведения опросов, анкетирования, рекламных и маркетинговых исследований в отношении услуг, предоставляемых Оператором, в том числе путем осуществления прямых контактов со мною посредством средств связи, указанных мной на настоящем сайте. Настоящее право (согласие) предоставляется на осуществление любых действий в отношении моих персональных данных, которые необходимы и желаемы для достижения вышеуказанных целей, включая, без ограничения, сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу, обезличивание, блокирование и уничтожение персональных данных, под которыми понимаются все данные, указанные мной на настоящем сайте. Настоящим подтверждаю, что уведомлен о том, что обработка персональных данных осуществляется Оператором любым способом, в том числе как с использованием средств автоматизации (включая программное обеспечение), так и без использования средств автоматизации (с использованием различных материальных носителей, включая бумажные носители).
ПОЛИТИКА
Общества с ограниченной ответственностью
«Кировская Финансовая Компания»
в отношении обработки и защиты
персональных данных
г. Киров
2022 г.
1. Общие положения
1.1. Настоящая Политика общества с ограниченной ответственностью «Кировская Финансовая Компания» в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты правна неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика действует в отношении всех персональных данных, которые обрабатывает Общество с ограниченной ответственностью «Кировская Финансовая Компания» (далее - Оператор, Общество).
1.3. Политика распространяется на отношения в области обработки персональных данных,возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.4. Политика определяет стратегию защиты персональных данных, обрабатываемых в Обществе и формулирует основные принципы и механизмы защиты персональных данных.
1.5. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.
1.6. Основные понятия, используемые в Политике:
персональные данные - любая информация, относящаяся к прямо или косвенно определенномуили определяемому физическому лицу (субъекту персональных данных);
оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
• сбор;
• запись;
• систематизацию;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.6. Основные права и обязанности Оператора.
1.6.1. Оператор имеет право:
1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
2) поручить обработку персональных данных другому лицу с согласия субъекта персональныхданных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
1.6.2. Оператор обязан:
1) организовывать обработку персональных данных в соответствии с требованиями Закона оперсональных данных;
2) отвечать на обращения и запросы субъектов персональных данных и их законныхпредставителей в соответствии с требованиями Закона о персональных данных;
3) сообщать в уполномоченный орган по защите прав субъектов персональных данных(Федеральную службу по надзору в сфере связи, информационных технологий и массовыхкоммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить в Роскомнадзормотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
4) в порядке, определенном федеральным органом исполнительной власти, уполномоченным вобласти обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак наинформационные ресурсы РФ, включая информирование его о компьютерных инцидентах,которые повлекли неправомерную передачу (предоставление, распространение, доступ)персональных данных.
1.7. Основные права субъекта персональных данных.
Субъект персональных данных имеет право:
1) получать информацию, касающуюся обработки его персональных данных, за исключениемслучаев, предусмотренных федеральными законами. Сведения предоставляются субъектуперсональных данных Оператором в доступной форме, и в них не должны содержатьсяперсональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
2) требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
3) дать предварительное согласие на обработку персональных данных в целях продвижения нарынке товаров, работ и услуг;
4) обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.
1.8. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.
1.9. Ответственность за нарушение требований законодательства Российской Федерации инормативных актов Общества в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.
2. Цели сбора персональных данных
2.1. Обработка персональных данных ограничивается достижением конкретных, заранееопределенных и законных целей. Не допускается обработка персональных данных несовместимая с целями сбора персональных данных.
2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.3. Обработка Оператором персональных данных осуществляется в следующих целях:
• осуществление своей деятельности в соответствии с уставом Общества, в том числе заключение и исполнение договоров с контрагентами;
• исполнение трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе:
- содействие работникам в трудоустройстве, получении образования и продвижении по службе;
- привлечение и отбор кандидатов на работу у Оператора,
- обеспечение личной безопасности работников,
- контроль количества и качества выполняемой работы,
- обеспечение сохранности имущества,
- ведение кадрового и бухгалтерского учета,
- заполнение и передача в уполномоченные органы требуемых форм отчетности,
- организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования,
- начисление и выплата заработной платы,
- ведение личных дел работников и контрагентов;
• осуществления деятельности по возврату просроченной задолженности:
- регистрация и обработка сведений, необходимых для осуществления деятельности по взысканию просроченной задолженности;
- регистрация обращений граждан, в том числе предоставление ответа на запрос физического лица.
- предоставление информации физическим лицам о деятельности и услугах Общества;
2.4. Обработка персональных данных работников может осуществляться исключительно в целях
обеспечения соблюдения законов и иных нормативных правовых актов.
3. Правовые основания обработки персональных данных
3.1. Правовым основанием обработки персональных данных является совокупность нормативных
правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 08.02.1998 N 14-ФЗ «Об обществах с ограниченной ответственностью»;
- Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 15.12.2001 N 167-ФЗ «Об обязательном пенсионном страховании вРоссийской Федерации»;
- Федеральный закон от 21.12.2013 г. № 353-ФЗ «О потребительском кредите (займе);
- Федеральный закон от 03.07.2016 № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности»;
- Федеральный закон от 30.12.2004 N 218-ФЗ «О кредитных историях».
- Иные нормативные правовые акты, регулирующие отношения, связанные с деятельностьюОператора.
3.2. Правовым основанием обработки персональных данных также является:
- Согласие на обработку персональных данных;
- Соглашение к договору потребительского микрозайма о способах и режиме взаимодействия по вопросам взыскания просроченной задолженности;
- Устав Общества;
- Политика Общества в отношении обработки персональных данных.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разд. 2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Оператор может обрабатывать персональные данные следующих категорий субъектовперсональных данных:
4.2.1. Кандидаты для приема на работу к Оператору - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
• фамилия, имя, отчество;
• пол;
• гражданство;
• дата и место рождения;
• контактные данные;
• сведения об образовании, опыте работы, квалификации;
• изображение (фотография);
• иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.
4.2.2. Работники и бывшие работники Оператора - для целей исполнения трудовогозаконодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
• фамилия, имя, отчество;
• пол;
• гражданство;
• дата и место рождения;
• изображение (фотография);
• паспортные данные;
• адрес регистрации по месту жительства;
• адрес фактического проживания;
• контактные данные;
• индивидуальный номер налогоплательщика;
• страховой номер индивидуального лицевого счета (СНИЛС);
• сведения об образовании, квалификации, профессиональной подготовке и повышенииквалификации, данные документа об образовании;
• семейное положение, наличие детей, родственные связи;
• сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или)дисциплинарных взысканий;
• данные о регистрации или расторжении брака (в связи со сменной фамилии работника и семейного положения);
• сведения о воинском учете;
• сведения об инвалидности;
• сведения об удержании алиментов;
• сведения о доходе с предыдущего места работы;
• иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства;
4.2.3. Члены семьи работников Оператора - для целей исполнения трудового законодательства врамках трудовых и иных непосредственно связанных с ним отношений:
• фамилия, имя, отчество;
• степень родства;
• год рождения;
• иные персональные данные, предоставляемые работниками в соответствии с требованиямитрудового законодательства.
4.2.4. Контрагенты Оператора (физические лица) - для целей осуществления своей деятельности в соответствии с уставом Общества:
• фамилия, имя, отчество;
• дата и место рождения;
• паспортные данные;
• адрес регистрации по месту жительства;
• контактные данные;
• замещаемая должность;
• индивидуальный номер налогоплательщика;
• номер расчетного счета;
• иные персональные данные, предоставляемые клиентами и контрагентами (физическимилицами), необходимые для заключения и исполнения договоров.
4.2.5. Представители (работники) клиентов и контрагентов Оператора (юридических лиц) - для
целей осуществления своей деятельности в соответствии с уставом Общества:
• фамилия, имя, отчество;
• паспортные данные;
• контактные данные;
• замещаемая должность;
• иные персональные данные, предоставляемые представителями (работниками) клиентов иконтрагентов, необходимые для заключения и исполнения договоров.
4.2.6. Клиенты (физические лица), требования по договорам потребительского микрозаймакоторых были переуступлены Обществу:
• фамилия, имя, отчество;
• дата и место рождения;
• паспортные данные;
• адрес регистрации и фактического места жительства;
• контактные данные;
• семейное положение;
• социальное положение;
• имущественное положение;
• замещаемая должность;
• место работы;
• стаж;
• индивидуальный номер налогоплательщика;
• номер расчетного счета;
• образование, профессия;
• уровень и источник дохода;
• иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.
• данные СНИЛС
• данные водительского удостоверения,
• данные пенсионного удостоверения,
• номер телефона близких родственников (если предварительно получено согласие данных лиц);
• информация по кредитам, оформленным лицом в банках.
• изображение (фотография);
• сведения о наличии в отношении клиента (физического лица)
• данные о транспортном средстве;
4.2.7. Физические лица, обратившиеся в Общество путем заполнения контактной информации, в форме, размещенной на сайте Общества kfcompany.org:
• фамилия, имя, отчество;
• контактные данные;
4.3. Обработка Оператором биометрических персональных данных (сведений, которыехарактеризуют физиологические и биологические особенности человека, на основании которых
можно установить его личность) осуществляется в соответствии с законодательством Российской
Федерации.
4.4. Оператором не осуществляется обработка специальных категорий персональных данных,
касающихся расовой, национальной принадлежности, политических взглядов, религиозных или
философских убеждений, состояния здоровья, интимной жизни, за исключением случаев,
предусмотренных законодательством РФ.
5. Порядок и условия обработки персональных данных
5.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренныхзаконодательством Российской Федерации.
5.3. Оператор осуществляет обработку персональных данных для каждой цели их обработкиследующими способами:
• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка персональных данных.
5.4. К обработке персональных данных допускаются работники Оператора, в должностныеобязанности которых входит обработка персональных данных.
5.5. Обработка персональных данных для каждой цели обработки, указанной в п. 2.3 Политики,осуществляется путем:
• получения персональных данных в устной и письменной форме, а также через информационно-телекоммуникационную сеть «Интернет» непосредственно от субъектов персональных данных;
• внесения персональных данных в журналы, реестры и информационные системы Оператора;
• использования иных способов обработки персональных данных.
5.6. Не допускается раскрытие третьим лицам и распространение персональных данных безсогласия субъекта персональных данных, если иное не предусмотрено федеральным законом.Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных наобработку его персональных данных.
Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом
персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 N 18.
5.7. Передача персональных данных органам дознания и следствия, в суды, в Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального страхования, Федеральную службу судебных приставов и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.8. Оператор принимает необходимые правовые, организационные и технические меры длязащиты персональных данных от неправомерного или случайного доступа к ним, уничтожения,изменения, блокирования, распространения и других несанкционированных действий, в томчисле:
• определяет угрозы безопасности персональных данных при их обработке;
• принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
• назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
• создает необходимые условия для работы с персональными данными;
• организует учет документов, содержащих персональные данные;
• организует работу с информационными системами, в которых обрабатываются персональные данные;
• хранит персональные данные в условиях, при которых обеспечивается их сохранность иисключается неправомерный доступ к ним;
• организует обучение работников Оператора, осуществляющих обработку персональных данных.
5.9. Оператор осуществляет хранение персональных данных в форме, позволяющей определитьсубъекта персональных данных, не дольше, чем этого требует каждая цель обработкиперсональных данных, если срок хранения персональных данных не установлен федеральнымзаконом, договором.
5.9.1. Персональные данные на бумажных носителях хранятся в Обществе в течение сроковхранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
5.9.2. Срок хранения персональных данных, обрабатываемых в информационных системахперсональных данных, соответствует сроку хранения персональных данных на бумажныхносителях.
5.10. Оператор прекращает обработку персональных данных в следующих случаях:
• выявлен факт их неправомерной обработки. Срок - в течение трех рабочих дней с датывыявления;
• достигнута цель их обработки;
• истек срок действия или отозвано согласие субъекта персональных данных на обработкууказанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия.
5.11. При достижении целей обработки персональных данных, а также в случае отзыва субъектом
персональных данных согласия на их обработку Оператор прекращает обработку этих данных,если:
• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное не предусмотрено другим соглашением между Оператором и субъектом персональныхданных.
5.12. При обращении субъекта персональных данных к Оператору с требованием о прекращении
обработки персональных данных в срок, не превышающий 10 рабочих дней с даты полученияОператором соответствующего требования, обработка персональных данных прекращается, заисключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
5.13. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
6. Актуализация, исправление, удаление, уничтожение
персональных данных, ответы на запросы субъектов на доступ
к персональным данным
6.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и
цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона оперсональных данных, предоставляются Оператором субъекту персональных данных или егопредставителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставлениязапрашиваемой информации.
В предоставляемые сведения не включаются персональные данные, относящиеся к другимсубъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос должен содержать:
• номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
• подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направленысоответствующие обращение либо запрос, если иное не указано в обращении или запросе. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может бытьограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступсубъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
6.2. В случае выявления неточных персональных данных при обращении субъекта персональных
данных или его представителя либо по их запросу или по запросу Роскомнадзора Операторосуществляет блокирование персональных данных, относящихся к этому субъекту персональныхданных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъектаперсональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основаниисведений, представленных субъектом персональных данных или его представителем либоРоскомнадзором, или иных необходимых документов уточняет персональные данные в течениесеми рабочих дней со дня представления таких сведений и снимает блокирование персональных
данных.
6.3. В случае выявления неправомерной обработки персональных данных при обращении(запросе) субъекта персональных данных или его представителя либо Роскомнадзора Операторосуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
6.4. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом фактанеправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
• в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
• в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследованиявыявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
6.5. Порядок уничтожения персональных данных Оператором.
6.5.1. Условия и сроки уничтожения персональных данных Оператором:
• достижение цели обработки персональных данных либо утрата необходимости достигать эту цель - в течение 30 дней;
• достижение максимальных сроков хранения документов, содержащих персональные данные, - в течение 30 дней;
• предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение семи рабочих дней;
• отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.
6.5.2. При достижении цели обработки персональных данных, а также в случае отзыва субъектом
персональных данных согласия на их обработку персональные данные подлежат уничтожению,
если:
• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное не предусмотрено другим соглашением между Оператором и субъектом персональныхданных.
6.5.3. Уничтожение персональных данных осуществляет комиссия, созданная приказом директора Общества.
6.5.4. Уничтожение документов (носителей), содержащих ПД производится путем сожжения, дробления (измельчения). Для уничтожения бумажных документов допускается применение шредера.
6.5.5. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.
7. Защита персональных данных
7.1. В соответствии с требованиями нормативных документов в Обществе создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
7.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
7.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами, защиты информации в открытой печати, публикаторской и рекламной деятельности, аналитической работы.
7.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.
7.5. Основными мерами защиты ПД, используемыми Обществом, являются:
7.5.1. Назначение лица ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением Обществом и его работниками требований к защите ПД;
7.5.2. Определение актуальных угроз безопасности ПД при их обработке в ИСПД, и разработка мер и мероприятий по защите ПД;
7.5.3. Разработка локальных нормативных актов в отношении обработки персональных данных;
7.5.4. Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечения регистрации и учета всех действий, совершаемых с ПД в ИСПД;
7.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их должностным обязанностями;
7.5.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
7.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;
7.5.8. Сертифицированное программное средство защиты информации от несанкционированного доступа;
7.5.9. Сертифицированные межсетевой экран и средство обнаружения вторжения;
7.5.10. Соблюдаются условия, обеспечивающие сохранность ПД и исключающие несанкционированный к ним доступ;
7.5.11. Обнаружение фактов несанкционированного доступа к персональным данным и принятия мер;
7.5.12. Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
7.5.13. Обучение работников Общества, непосредственно осуществляющих обработку персональных данных, в рамках требований законодательства Российской Федерации в части защиты персональных данных, в том числе документам, определяющими политику Общества в отношении обработки персональных данных, локальным нормативным актам по вопросам обработки персональных данных;
7.5.14. Осуществление внутреннего контроля и аудита.
8. Заключительные положения
8.1. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных. В случае внесения в настоящую Политику изменений, к ним будет обеспечен неограниченный доступ всем заинтересованным субъектам персональных данных.
8.2. Настоящая Политика вступает в силу со дня утверждения директором Общества.