Политика конфиденциальности (Политика оператора в отношении персональных данных)

 

 

ПОЛИТИКА

в отношении персональных данных, обрабатываемых в рамках деятельности по оказанию финансового посредничества

 

УТВЕРЖДАЮ

Генеральный директор

ООО «Финcервис»

В.В. Правдивый

 

Москва

2018 г.

 

 

 

  1. Общие положения
    • Политика оператора в отношении персональных данных, обрабатываемых в рамках деятельности по оказанию финансового посредничества (далее – «Политика») является локальным нормативным актом ООО «Финcервис» (далее – «Оператор»), разработанным и утвержденным в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», регламентирующим обработку Оператором персональных данных.
    • Настоящая Политика является общедоступной и размещается на официальном сайте Оператора в сети «Интернет» по адресу: www.finservice.pro.
    • В настоящей Политике используются следующие термины и определения:
      • Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
      • Субъект персональных данных (Субъект) – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
      • Оператор – ООО «Финсервис» (адрес: 117105, г. Москва, Варшавское ш., д. 1, стр. 1 – 2, эт. 4, ком. 38, оф. В412) совместно с другими лицами (Партнерами Оператора) организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
      • Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
      • Значения иных терминов и определений, употребляемых в настоящей Политике, приведены в Гражданском кодексе РФ, Федеральном законе от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – «Закон о ПДн»), иных нормативных правовых актах РФ.

 

  1. Цели сбора персональных данных, правовые основания их обработки, объем и категории обрабатываемых персональных данных
    • Обработка персональных данных осуществляется Оператором в целях:
  • рассмотрения заявления Субъекта – клиента Оператора о предоставлении потребительского кредита (займа), а также дополнительных услуг, оказываемых Оператором и/или Партнерами Оператора, заключения по инициативе Субъекта договора потребительского кредита (займа), заключения и исполнения договора страхования, договора об оказании иных дополнительных услуг, стороной которых будет являться Субъект;
  • предоставления персональной учетной записи в ИСПДн «PosLogic» работникам хозяйствующих субъектов, осуществляющих торговую деятельность, а также учета доступа к такой персональной учетной записи в ИСПДн «PosLogic».
    • Правовыми основаниями обработки Оператором персональных данных являются согласия на обработку персональных данных, предоставленное Оператору Субъектом – клиентом Оператора и работниками хозяйствующих субъектов, осуществляющих торговую деятельность.
    • Оператор осуществляет обработку персональных данных Субъектов – клиентов Оператора и работников хозяйствующих субъектов, осуществляющих торговую деятельность.
    • Оператор осуществляет обработку следующих персональных данных:
      • персональные данные Субъектов – клиентов Оператора:
    • фамилия, имя, отчество, адрес, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
    • дата и место рождения;
    • номер контактного телефона;
    • сведения об образовании;
    • сведения о трудовой деятельности;
    • сведения о семейном положении;
    • сведения об имущественном положении;
    • сведения о доходах и расходах;
    • фотография;
    • информация о приобретаемом товаре/услуге.
      • персональные данные работников хозяйствующих субъектов, осуществляющих торговую деятельность:
    • Фамилия, имя, отчество;
    • дата рождения;
    • адрес электронной почты;
    • номер контактного телефона;
    • наименование и адрес хозяйствующего субъекта, осуществляющего торговую деятельность.
      • Оператор не осуществляет обработку специальных категорий персональных данных, а также трансграничную передачу персональных данных.

 

  1. Порядок и условия обработки персональных данных
    • Оператор осуществляет обработку персональных данных Субъектов – клиентов Оператора и работников хозяйствующих субъектов, осуществляющих торговую деятельность, с использованием средств автоматизации путем записи, систематизации, накопления, хранения, уточнения (обновление, изменение), извлечения, использования и передачи персональных данных в ИСПДн «PosLogic», единоличным правообладателем исключительных прав на которую является Оператор.
    • Обработка персональных данных Субъектов – клиентов Оператора и работников хозяйствующих субъектов, осуществляющих торговую деятельность, также осуществляется без использования средств автоматизации путем хранения персональных данных (согласий на обработку персональных данных, предоставленных Оператору) в местах, обеспечивающих защиту от несанкционированного доступа к ним.
    • К обработке персональных данных допускаются только те работники Оператора, в чьи прямые обязанности входит обработка персональных данных, которые ознакомлены под роспись с положениями Закона о ПДн, в том числе требованиями к защите персональных данных, установленными Правительством РФ, настоящей Политикой, иными локальными актами Оператора по вопросам обеспечения безопасности обработки персональных данных и подписавшие обязательство о неразглашении персональных данных, перед получением доступа к персональным данным.
    • Сбор персональных данных осуществляется путем получения информации, содержащей персональные данные, в устной форме непосредственно от Субъектов – клиентов Оператора и работников хозяйствующих субъектов, осуществляющих торговую деятельность, а также предоставления такими лицами оригинала основного документа, удостоверяющего личность.
    • Оператор осуществляет передачу персональных данных третьим лицам (Партнерам Оператора), а также поручает обработку персональных данных третьим лицам (Партнерам Оператора) только с письменного согласия Субъектов и работников хозяйствующих субъектов, осуществляющих торговую деятельность, представленного в согласии на обработку персональных данных, и в тех случаях, когда это требуется для реализации целей сбора персональных данных.
    • Оператор вправе поручить обработку персональных данных другому лицу на основании соответствующего договора, заключенного оператором с таким лицом, при этом лица, осуществляющие обработку персональных данных по поручению Оператора, обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о ПДн.
    • В случае поручения обработки персональных данных третьему лицу, такое поручение Оператора должно определять перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, устанавливать обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указывать требования к защите обрабатываемых персональных данных в соответствии Законом о ПДн.
    • Хранение персональных данных Оператором осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению. Сроки хранения персональных данных соответствуют сроку, на которое Оператору предоставляется согласие на обработку персональных данных.
    • Носителями персональных данных при их обработке Оператором с использованием средств автоматизации являются жесткие диски серверного оборудования, на котором размещена ИСПДн «PosLogic». Оператор организует учет носителей персональных данных при их обработке Оператором с использованием средств автоматизации.
    • Носителями персональных данных при их обработке Оператором без использования средств автоматизации являются бумажные носители информации о персональных данных (согласия на обработку персональных данных).
    • Документы, содержащие персональные данные, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа к ним и размещенных в каждом обособленном подразделении Оператора и являющихся местами хранения бумажных носителей информации о персональных данных. Лица, осуществляющие обработку персональных данных, после окончания работы с бумажными носителями информации о персональных данных, должны помещать их на хранение места хранения бумажных носителей информации о персональных данных. Ответственными за размещение и сохранность шкафов (сейфов), обеспечивающих защиту от несанкционированного доступа к бумажным носителям информации о персональных данных в каждом обособленном подразделении Оператора являются лица, выступающие в качестве руководителя соответствующих обособленных подразделений Оператора.

 

  1. Права субъектов персональных данных
    • Субъект персональных данных обладает следующими правами:
      • получать информацию, определенную Законом о ПДн, касающуюся обработки его персональных данных;
      • требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
      • требовать от Оператора прекращения обработки его персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;
      • требовать от Оператора разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов;
      • обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
      • осуществлять иные действия, предусмотренные Законом о ПДн.

 

  1. Обязанности Оператора
    • Оператор несет следующие обязанности:
      • предоставить субъекту персональных данных по его просьбе информацию, определенную Законом о ПДН, касающуюся обработки его персональных данных;
      • разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные, если предоставление персональных данных является обязательным в соответствии с федеральным законом;
      • предоставить (до начала обработки) субъекту персональных данных информацию, определенную Законом о ПДн, если персональные данные получены не от субъекта персональных данных;
      • обеспечивать конфиденциальность персональных данных, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
      • получать от субъекта персональных данных письменное согласие на обработку его персональных данных по форме, разработанной Оператором;
      • по требованию субъекта персональных данных немедленно прекратить обработку его персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;
      • по требованию субъекта персональных данных разъяснить такому субъекту порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения и рассмотреть такое возражение в течение тридцати дней со дня его получения, уведомив субъекта персональных данных о результатах рассмотрения такого возражения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов;
      • принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей Оператора, предусмотренных Законом о ПДн и принятыми в соответствии с ним нормативными правовыми актами, самостоятельно определяя состав и перечень таких мер;
      • принимать правовые, организационные и технические меры, необходимые для выполнения установленных Правительством РФ требований к защите персональных данных, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
      • сообщить в порядке, предусмотренном Законом о ПДн, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить безвозмездную возможность ознакомления с этими персональными данными в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя;
      • в срок, не превышающий семи рабочих дней, внести необходимые изменения в персональные данные при предоставлении субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, а также уведомить субъекта персональных данных или его представителя о внесенных изменениях и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы;
      • в срок, не превышающий семи рабочих дней, уничтожить персональные данные при представлении субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, а также уведомить субъекта персональных данных или его представителя о предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы;
      • сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса;
      • осуществить блокирование или обеспечить блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) неправомерно обрабатываемых/неточных персональных данных при обращении субъекта таких персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных, в случае выявления неправомерной обработки/неточных персональных данных;
      • в случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, в срок, не превышающий трех рабочих дней с даты этого выявления, прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожить такие персональные данные или обеспечить их уничтожение, а также уведомить лицо, обратившееся к Оператору, об устранении допущенных нарушений или об уничтожении персональных данных;
      • в случае подтверждения факта неточности персональных данных на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов, уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных;
      • в случае достижения цели обработки персональных данных прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
      • в случае отзыва субъектом персональных данных согласия на обработку его персональных данных прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
      • в случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п.5.1.15., 5.1.17., 5.1.18. настоящей Политики, осуществить блокирование таких персональных данных или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечить уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами;
      • уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (до начала обработки персональных данных);
      • осуществлять иные действия, предусмотренные Законом о ПДн.

 

  1. Заключительные положения
    • Лица, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с нормативными правовыми актами РФ. Работники Оператора, допустившие разглашение персональных данных, привлекаются к ответственности, предусмотренной действующим законодательством РФ.
    • По всем вопросам, не урегулированным настоящей Политикой, Оператор и лица, допущенные Оператором к обработке персональных данных, руководствуются требованиями Закона о ПДн и принятых в его исполнение нормативных правовых актов, а также действующими локальными актами Оператора по вопросам защиты персональных данных.
    • Настоящая Политика вступает в силу со дня его утверждения Генеральным директором Оператора и размещения на официальном сайте Оператора, является обязательным для исполнения всеми лицами, допущенными Оператором к обработке персональных данных, и действует до утверждения Оператором Политики в новой редакции.
    • Оператор вправе в одностороннем порядке вносить изменения и дополнения в настоящую Политику. Указанные изменения и дополнения вступают в силу с момента утверждения Оператором Политики в новой редакции и ее размещения на официальном сайте Оператора.
    • В случае изменения действующего законодательства РФ, если в результате такого изменения все или часть норм настоящей Политики вступают в противоречие с действующим законодательством РФ, Оператор до внесения изменений в настоящее Положение будет руководствоваться нормами действующего законодательства РФ.