Политика в отношении обработки и защиты персональных данных

1. Общие положения.

1.1. «Политика компаний, входящих в группу компаний EFT GROUP» (далее по тексту также - ГК) в отношении обработки персональных данных» (далее – Политика) определяет позицию и намерения ГК в области обработки и защиты персональных данных.

1.2. Политика разработана в целях реализации требований законодательства в области обработки и обеспечения безопасности персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в ГК.

1.3. Положения настоящей Политики являются обязательными для исполнения всеми Работниками ГК, имеющими доступ к персональным данным.

1.4. Политика является общедоступной и подлежит размещению на сайтах ГК.

1.5. Основные понятия, используемые в настоящей Политике.

1.5.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных);

1.5.2. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данным, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) можно отнести: сбор, получение, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.5.3. Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.5.4. Работник ГК – физическое лицо, заключившее с ГК трудовой договор.

1.5.5. Субъект персональных данных – физическое лицо, которое прямо или косвенно определено с помощью персональных данных.

 

2. Цели обработки персональных данных.

2.1. ГК осуществляет обработку персональных данных в целях:

  • заключения с Субъектом персональных данных любых договоров и их дальнейшего исполнения;
  • проведения ГК акций, опросов, исследований;
  • информирования Субъектов персональных данных о предложениях по продукции и услугам ГК;
  • ведения кадровой работы и организации учета Работников ГК;
  • привлечения и отбора кандидатов на замещение вакантных должностей в ГК;
  • формирования статистической отчетности;
  • осуществления ГК административно-хозяйственной деятельности.

 

3. Субъекты персональных данных.

3.1. ГК  обрабатывает персональные данные следующих лиц:

  • работников и бывших работников ГК;
  • кандидатов на замещение вакантных должностей ГК;
  • субъектов, с которыми заключены договоры гражданско-правового характера;
  • клиентов и контрагентов ГК (физические лица);
  • представителей/работников клиентов и контрагентов ГК (юридических лиц);
  • зарегистрированных пользователей сайтов ГК

 

4. Принципы и условия обработки персональных данных.

4.1. Обработка персональных данных осуществляется на основе следующих принципов:

  • обработка персональных данных осуществляется на законной и справедливой основе;
  • обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой;
  • обработке подлежат только те персональные данные, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;
  • при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;
  • хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом № 152-ФЗ «О персональных данных», договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом № 152-ФЗ «О персональных данных».

4.2. ГК в своей деятельности исходит из того, что субъект персональных данных предоставляет точную и достоверную информацию во время взаимодействия с ГК и извещает представителей ГК об изменении своих персональных данных.

4.3. ГК обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:

  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  • обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • обработка персональных данных необходима для осуществления прав и законных интересов ГК или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ.

4.4. ГК уничтожает либо обезличивает персональные данные по достижении целей обработки или в случае утраты необходимости достижения цели обработки.

 

5. Права Субъекта персональных данных и Общества.

5.1. Субъект персональных данных имеет право:

  • получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные Законодательством о персональных данных;
  • требовать уточнения своих персональных данных, их Блокирования или Уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении Субъектом персональных данных согласия на обработку персональных данных;
  • принимать предусмотренные законом меры по защите своих прав;
  • отозвать свое согласие на обработку персональных данных.

5.2. ГК имеет право:

  • обрабатывать персональные данные Субъекта персональных данных в соответствии с заявленной целью;
  • требовать от Субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации Субъекта персональных данных, а также в иных случаях, предусмотренных Законодательством о персональных данных;
  • ограничить доступ Субъекта персональных данных к его персональным данным в случае, если Обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Российской Федерации;
  • обрабатывать общедоступные персональные данные физических лиц;
  • осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации;
  • поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных.

 

6. Меры по обеспечению безопасности персональных данных при их обработке.

6.1. Под безопасностью персональных данных ГК понимает защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных и принимает необходимые правовые, организационные и технические меры для защиты персональных данных.

6.2. Обработка и обеспечение безопасности персональных данных в ГК осуществляется в соответствии с требованиями Конституции Российской Федерации, Федерального закона № 152-ФЗ «О персональных данных», подзаконных актов, других определяющих случаи и особенности обработки персональных данных федеральных законов Российской Федерации, руководящих и методических документов ФСТЭК России и ФСБ России.

6.3. ГК при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. К таким мерам в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» относятся:

  • определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
  • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
  • размещение технических средств обработки персональных данных в пределах охраняемой территории;
  • поддержание технических средств охраны, сигнализации в постоянной готовности;
  • проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных.
  • назначение лиц, ответственных за обеспечение безопасности персональных данных.

 

7. Ответственность.

7.1. ГК, а также его должностные лица и Работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки персональных данных физических лиц, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Российской Федерации.