Положение о порядке обработки
персональных данных
Общие положения
Назначение документа
Настоящий документ определяет порядок обработки, в том числе сбора, хранения, передачи и любого другого использования персональных данных физических лиц в Обществе с ограниченной ответственностью «Платежный» (далее по тексту – Компания).
Цель разработки Положения – определение целей и способов обработки персональных данных, порядка обработки персональных данных, обеспечение защиты прав и свобод человека и гражданина при обработке персональных данных, установление ответственности лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
Действие настоящего документа распространяется на все структурные подразделения Компании, участвующие в процессе обработки персональных данных субъектов персональных данных, состоящих в договорных, гражданско-правовых и иных отношениях с Компанией.
Термины, определения и сокращения
| Сокращение | Полное наименование |
|---|---|
| Блокирование персональных данных | Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) |
| Информационная система персональных данных | Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств |
| Обработка персональных данных | Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных |
| Персональные данные | Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) |
| Уничтожение персональных данных | Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных |
| ИБ | Информационная безопасность |
| ИСПДн | Информационная система персональных данных |
| ПДн | Персональные данные |
Правовые и нормативно-методические источники документа
Настоящее Положение разработано в соответствии со следующими нормативно-правовыми документами:
- Конституция Российской Федерации;
- Федеральный закон Российской Федерации № 152-ФЗ «О персональных данных» от 27.07.2006 г.;
- Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Субъекты персональных данных, состав персональных данных и цели обработки персональных данных
В Компании обрабатываются персональные данные следующих субъектов ПДн:
- клиенты.
Обработка персональных данных граждан осуществляется Компанией в целях:
- определения возможность оказания Компанией услуг по обеспечению информационного и технологического взаимодействия между участниками расчетов посредством сети Интернет; рассмотрение обращений и жалоб;
- обеспечение безопасности предоставляемых услуг и предотвращение мошеннических действий;
- предоставление субъектам ПДн информацию о продуктах и услугах, которые могут быть им интересны;
- информирование субъектов ПДн о действующих акциях;
- направление субъектам ПДн информационные материалы об услугах, включая объявления и служебные сообщения.
Компания осуществляет обработку следующих категорий персональных данных:
- персональные данные, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным или обезличенным персональным данным: фамилия, имя, отчество, номер мобильного телефона, адрес электронной почты, паспортные данные, страна, город, номер платежной карты, срок действия платежной карты, имя держателя карты, проверочный код cvv\cvc.
Обработка персональных данных
Основные положения
Компания обрабатывает персональные данные с согласия субъекта ПДн, а также без его согласия в случаях, предусмотренных законодательством о персональных данных. В случаях, предусмотренных законом, Компания осуществляет обработку персональных данных только с согласия субъекта ПДн. Согласие субъекта ПДн должно включать:
- фамилию, имя, отчество субъекта ПДн, наименование и адрес Компании;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта ПДн;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Компаниям способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва, если иное не установлено федеральным законом.
Запрещается получать, обрабатывать и хранить персональные данные граждан Российской Федерации, касающиеся политических, религиозных и иных убеждений субъекта ПДн, его расовой и национальной принадлежности, интимной жизни, членства в Общественных объединениях, в том числе в профессиональных союзах, за исключением случаев, предусмотренных законодательством Российской Федерации.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законодательством о персональных данных.
Обработка персональных данных Компанией осуществляется с использованием средств автоматизации.
Доступ к персональным данным
Доступ к персональным данным разрешается только работникам Компании, а также лицам, работающим с Компанией по договорам гражданско-правового характера, которым соответствующие персональные данные необходимы для оказания услуг по договору.
До начала обработки персональных данных все работники Компании, которым предоставляется доступ к персональным данным, должны быть ознакомлены с локальными актами Компании, устанавливающими порядок обработки персональных данных:
- политикой конфиденциальности Компании;
- настоящим Положением.
Процедура предоставления работникам доступа к персональным данным приведена в документе «Положение об организации и ведению работ по обеспечению безопасности персональных данных при их обработке».
В случае, если Компании оказываются услуги по договорам гражданско-правового характера, в силу которых физическим лицам может быть предоставлен доступ к персональным данным субъектов ПДн, то в тексте договоров с указанными физическими лицами должны содержаться положения об обеспечении указанными лицами конфиденциальности и безопасности персональных данных при их обработке, а также правила, устанавливающие порядок обработки персональных данных.
В случае, если Компании оказывают услуги юридические лица на основании заключенных договоров, в силу которых сотрудникам указанных юридических лиц предоставляется доступ к персональным данным субъектов ПДн, то в договорах с этими юридическими лицами также должны содержаться положения об обеспечении ими конфиденциальности и безопасности персональных данных при их обработке.
Работники и лица, оказывающие Компании услуги по договорам гражданско-правового характера, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы:
- о факте обработки ими персональных данных, осуществляемой Компанией без использования средств автоматизации;
- о категориях обрабатываемых персональных данных;
- об особенностях и правилах осуществления неавтоматизированной обработки персональных данных.
Сбор персональных данных
Компания осуществляет сбор персональных данных путем их получения непосредственно от субъекта ПДн, либо третьих лиц, с согласия субъектов ПДн. (Обязанность получения согласия субъекта ПДн лежит на третьем лице).
Субъект ПДн или оператор ПДн обязаны предоставлять Компании достоверные сведения. Компания имеет право проверять достоверность предоставленных сведений, способами, не противоречившими действующему законодательству Российской Федерации.
Если персональные данные были получены не от субъекта ПДн, Компания до начала обработки таких персональных данных обязано уведомить (за исключением случаев, предусмотренных законодательством) субъекта ПДн о начале обработки его персональных данных, сообщив следующую информацию:
- наименование и адрес Компании;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные федеральным законом права субъекта ПДн;
- источник получения персональных данных.
Примечание. Способ передачи такой информации субъекту ПДн может различаться и определяется Компанией в каждом случае отдельно. Уведомить субъектов ПДн, чьи ПДн обрабатываются Компанией обязуются третьи лица, которые передают Компании данные ПДн.
При изменении персональных данных, переданных Компании и необходимых для исполнения обязательств по договору, субъект ПДн уведомляет Компанию о таких изменениях. Субъект ПДн может уведомить Компанию об изменении своих персональных данных путем направления уведомления по Почте России, либо обратившись в Компанию лично.
Согласие на обработку персональных данных может быть дано в форме отдельного документа, либо включено в анкеты, договоры, иные документы, которые подписываются субъектом ПДн и адресуются Компании, либо в электронной форме, либо иным, не противоречащим требованиям законодательства Российской Федерации, способом.
Хранение персональных данных
Персональные данные субъектов ПДн – физических лиц, состоящих (состоявших) в договорных и иных гражданско-правовых отношениях с Компанией, физических лиц, обратившихся в Компанию с целью получения информации, заключения договора, либо вступления в иные гражданско-правовые отношения с Компанией (лицом, интересы которого представляет Компания); иных физических лиц, чьи персональные данные обрабатываются Компанией в соответствии с требованиями законодательства, представителей указанных в настоящем пункте физических лиц, хранятся в электронном виде в ИСПДн.
Хранение персональных данных осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки в соответствии со сроками хранения, определяемыми законодательством Российской Федерации, договором, заключенным с субъектом ПДн. Персональные данные подлежат уничтожению или обезличению по достижении целей обработки или в случае утраты необходимости в их достижении.
Хранение персональных данных в Компании, осуществляется в порядке, исключающем доступ к ним третьих лиц. При хранении персональных данных субъектов ПДн в Компании применяются средства защиты от несанкционированного доступа.
Передача персональных данных
Передача персональных данных третьим лицам, в том числе с целью поручения Компанией обработки персональных данных третьим лицам, не допускается без согласия субъектов ПДн, за исключением случаев, установленных федеральными законами.
Примечание. Согласия субъекта ПДн на обработку (в т.ч. передачу) его персональных данных третьим лицам не требуется в случаях, предусмотренных ФЗ «О персональных данных». Передача персональных данных внутри Компании осуществляется только между работниками, имеющими доступ к соответствующей категории субъектов ПДн. Также персональные данные могут передаваться работниками Компании, имеющими доступ к персональным данным, лицам, оказывающим Компании услуги по договорам гражданско-правового характера.
Передача персональных данных третьим лицам осуществляется в порядке, установленном действующим законодательством, и настоящим Положением.
Передача третьим лицам документов (иных материальных носителей), содержащих персональные данные, осуществляется по письменному запросу третьего лица на предоставление персональных данных, при этом третье лицо должно обладать полномочиями по получению таких данных.
Работники Компании/лица, оказывающие Компании услуги по договорам гражданско-правового характера, передающие персональные данные третьим лицам, должны передавать их с обязательным уведомлением лица, получающего эти данные, об обязанности использования полученной информации ограниченного доступа лишь в целях, для которых она сообщена, и с предупреждением об ответственности за незаконное использование данной информации в соответствии с федеральными законами. Условие неразглашения информации ограниченного доступа включается в договор, на основании которого производится передача персональных данных.
Представителю субъекта ПДн данные соответствующего субъекта ПДн передаются в порядке, установленном действующим законодательством. Информация передается при наличии одного из следующих документов:
- документы, подтверждающие возникновение полномочия представителя;
- доверенность представителя субъекта ПДн, содержащая согласие субъекта ПДн на предоставление его персональных данных представителю.
Если в составе персональных данных имеются сведения, составляющие иную охраняемую законом информацию (тайну), допустимо установить требование предоставления согласия лица на передачу такой информации (тайны) его представителю.
Предоставление персональных данных государственным органам Российской Федерации производится в соответствии с требованиями действующего законодательства Российской Федерации.
Персональные данные могут быть предоставлены родственникам или членам семьи субъекта ПДн (кроме законных представителей) только с письменного разрешения самого субъекта ПДн, за исключением случаев, когда передача персональных данных без его согласия допускается действующим законодательством Российской Федерации.
Документы, содержащие персональные данные, могут быть отправлены посредством почтовой связи или курьерской службы. При этом должна быть обеспечена их конфиденциальность.
В случае если лицо, обратившееся в Компанию с запросом на предоставление персональных данных, не уполномочено на получение информации, относящейся к персональным данным, Компания обязано отказать лицу в выдаче такой информации. Лицу, обратившемуся с соответствующим запросом, выдается уведомление в свободной форме об отказе в выдаче информации, а копия уведомления хранится в соответствии с принятыми правилами делопроизводства (как исходящая корреспонденция).
Компания обязана предоставлять:
- по запросам уполномоченного органа по защите прав субъектов ПДн документы и локальные акты и (или) иным образом подтверждать принятие необходимых и достаточных мер для обеспечения выполнения обязанностей оператора персональных данных, предоставлять информацию (за исключением информации, составляющей охраняемую законом тайну, предоставление которой уполномоченному органу по защите прав субъектов ПДн не допускается);
- по запросам иных контрольных (надзорных) органов, в пределах их полномочий предоставлять информацию, не составляющую охраняемую законом тайну.
Обработка обращений/запросов субъектов персональных данных
Субъект ПДн имеет право на доступ к своим персональным данным, включая право на получение копии любой записи, содержащей его персональные данные (за исключением случаев, предусмотренных законодательством о персональных данных). Доступ к своим персональным данным предоставляется субъекту ПДн или его представителю при личном обращении либо при получении запроса от субъекта ПДн или его представителя. При этом запрос должен содержать данные, установленные Федеральным законом «О персональных данных».
Субъект ПДн имеет право требовать от Компании уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными либо не являются необходимыми для заявленной цели обработки. Для внесения изменений в свои персональные данные субъекту ПДн или его представителю либо уполномоченному органу по защите прав субъектов ПДн необходимо направить запрос либо обратиться в Компанию.
Субъект ПДн имеет право обращаться с требованием о прекращении неправомерной обработки его персональных данных.
Субъект ПДн имеет право отозвать свое согласие на обработку персональных данных способом, указанным в согласии на обработку персональных данных, или иным способом, предусмотренным действующим законодательством
Блокирование и уничтожение персональных данных
Блокирование персональных данных субъекта ПДн производится при обращении или по запросу субъекта ПДн (его представителя либо уполномоченного органа по защите прав субъектов ПДн) в случаях:
- выявления недостоверных персональных данных;
- выявления неправомерной обработки персональных данных.
При возникновении указанных случаев персональные данные субъекта ПДн блокируются на всех носителях, где они зафиксированы, и в ИСПДн до:
- уточнения персональных данных и последующего их разблокирования;
- прекращения неправомерной обработки либо уничтожения персональных данных.
Персональные данные субъектов ПДн подлежат уничтожению, если иное не предусмотрено федеральными законами или соглашением между Компанией и субъектом ПДн, в следующих случаях:
- в случае выявления неправомерной обработки персональных данных и невозможностью устранения допущенных нарушений;
- по требованию субъекта ПДн или уполномоченного органа по защите прав субъектов ПДн, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- в случае отзыва субъектом ПДн согласия на обработку своих персональных данных;
- по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
При наступлении хотя бы одного из вышеперечисленных событий персональные данные должны быть уничтожены:
- уничтожение персональных данных определенного субъекта ПД осуществляется в рамках реагирования на обращения субъектов ПДн в структурных подразделениях, осуществляющих работу с персональными данными, совместно с работниками Департамента информационных технологий. Решение о необходимости такого уничтожения принимается только комиссией и доводится до сведения руководителей структурных подразделений, осуществляющих обработку персональных данных субъекта ПДн, в которых обрабатываются персональные данные субъекта ПДн;
- уничтожение персональных данных в случае окончания сроков хранения персональных данных (по достижении целей обработки или в случае утраты необходимости в их достижении) осуществляется работниками структурных подразделений, осуществляющих работу с персональными данными, с привлечением при необходимости работников Департамента информационных технологий.
Персональные данные должны быть уничтожены на всех носителях (в т.ч. машинных носителях, бумажных носителях) и в ИСПДн.
Права, обязанности и ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
Обязанности Компании в части обработки персональных данных
Компания обязуется:
- обеспечить конфиденциальность персональных данных, то есть не допустить их передачи или распространения без согласия субъекта ПДн или наличия иного законного основания, за исключением случаев обезличенных персональных данных и общедоступных персональных данных;
- обеспечить безопасность персональных данных при их обработке в соответствии с требованиями законодательства о персональных данных;
- в случае реорганизации или ликвидации осуществлять учет, сохранность и передачу персональных данных на хранение в соответствии с законодательством Российской Федерации.
Права субъектов персональных данных
Субъект ПДн, персональные данные которого обрабатываются в Компании, имеет право:
- получать доступ к своим персональным данным и знакомиться с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные (за исключением случаев, предусмотренных федеральным законом);
- получать от Компании:
- подтверждение факта обработки персональных данных Компанией;
- сведения о правовых основаниях и целях обработки персональных данных;
- сведения о применяемых Компанией способах обработки персональных данных;
- сведения о лицах, которые имеют доступ к его персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального закона;
- перечень обрабатываемых персональных данных, относящихся к нему, источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
- сведения о сроках обработки его персональных данных, в том числе сроки их хранения;
- сведения о порядке осуществления субъектом ПДн прав, предусмотренных законодательством о персональных данных;
- сведения об осуществляемой или о предполагаемой трансграничной передаче персональных данных;
- наименование и адрес лица, осуществляющего обработку персональных данных по поручению Компании;
- иные сведения, предусмотренные законодательством Российской Федерации;
- требовать от Компании уточнения, блокирования или уничтожения персональных данных, в случае если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки персональных данных;
- отозвать согласие на обработку персональных данных;
- обжаловать в уполномоченном органе по защите прав субъектов ПДн или в судебном порядке неправомерные действия или бездействия Компании при обработке и защите персональных данных;
- принимать предусмотренные законом меры по защите своих прав и свобод;
- заявить возражение против порядка принятия решения на основании исключительно автоматизированной обработки Компанией персональных данных, а также получить разъяснения по порядку защиты своих прав и законных интересов.
Ответственность
Работники Компании, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном законодательством, трудовым договором/ договором гражданско-правового характера.
Компания вправе применить к работникам при нарушении ими норм, регулирующих получение, обработку и защиту персональных данных, дисциплинарные взыскания:
- замечание;
- выговор;
- увольнение по соответствующим основаниям.
Актуализация документа
Актуализация настоящего Положения проводится в следующих случаях:
- при изменении законодательства в области обработки и защиты персональных данных;
- в случаях получения предписаний на устранение несоответствий, затрагивающих область действия настоящего документа;
- по решению руководства Компании;
- при изменении организационной структуры Компании, касающейся подразделений, задействованных в реализации настоящего Положения;
- при изменении структуры информационных и/или телекоммуникационных систем (или введении новых), применении новых технологий обработки персональных данных;
- при появлении необходимости в изменении процесса обработки персональных данных, связанной с бизнес-деятельностью Компании;
- по фактам возникновения инцидентов, уязвимостей, иных значимых событий ИБ, по решению руководства Компании.