Настоящий документ определяет порядок обработки, в том числе сбора, хранения, передачи и любого другого использования персональных данных физических лиц в Обществе с ограниченной ответственностью «Платежный» (далее по тексту – Компания).
Цель разработки Положения – определение целей и способов обработки персональных данных, порядка обработки персональных данных, обеспечение защиты прав и свобод человека и гражданина при обработке персональных данных, установление ответственности лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
Действие настоящего документа распространяется на все структурные подразделения Компании, участвующие в процессе обработки персональных данных субъектов персональных данных, состоящих в договорных, гражданско-правовых и иных отношениях с Компанией.
Сокращение | Полное наименование |
---|---|
Блокирование персональных данных | Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) |
Информационная система персональных данных | Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств |
Обработка персональных данных | Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных |
Персональные данные | Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) |
Уничтожение персональных данных | Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных |
ИБ | Информационная безопасность |
ИСПДн | Информационная система персональных данных |
ПДн | Персональные данные |
Настоящее Положение разработано в соответствии со следующими нормативно-правовыми документами:
В Компании обрабатываются персональные данные следующих субъектов ПДн:
Обработка персональных данных граждан осуществляется Компанией в целях:
Компания осуществляет обработку следующих категорий персональных данных:
Компания обрабатывает персональные данные с согласия субъекта ПДн, а также без его согласия в случаях, предусмотренных законодательством о персональных данных. В случаях, предусмотренных законом, Компания осуществляет обработку персональных данных только с согласия субъекта ПДн. Согласие субъекта ПДн должно включать:
Запрещается получать, обрабатывать и хранить персональные данные граждан Российской Федерации, касающиеся политических, религиозных и иных убеждений субъекта ПДн, его расовой и национальной принадлежности, интимной жизни, членства в Общественных объединениях, в том числе в профессиональных союзах, за исключением случаев, предусмотренных законодательством Российской Федерации.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законодательством о персональных данных.
Обработка персональных данных Компанией осуществляется с использованием средств автоматизации.
Доступ к персональным данным разрешается только работникам Компании, а также лицам, работающим с Компанией по договорам гражданско-правового характера, которым соответствующие персональные данные необходимы для оказания услуг по договору.
До начала обработки персональных данных все работники Компании, которым предоставляется доступ к персональным данным, должны быть ознакомлены с локальными актами Компании, устанавливающими порядок обработки персональных данных:
Процедура предоставления работникам доступа к персональным данным приведена в документе «Положение об организации и ведению работ по обеспечению безопасности персональных данных при их обработке».
В случае, если Компании оказываются услуги по договорам гражданско-правового характера, в силу которых физическим лицам может быть предоставлен доступ к персональным данным субъектов ПДн, то в тексте договоров с указанными физическими лицами должны содержаться положения об обеспечении указанными лицами конфиденциальности и безопасности персональных данных при их обработке, а также правила, устанавливающие порядок обработки персональных данных.
В случае, если Компании оказывают услуги юридические лица на основании заключенных договоров, в силу которых сотрудникам указанных юридических лиц предоставляется доступ к персональным данным субъектов ПДн, то в договорах с этими юридическими лицами также должны содержаться положения об обеспечении ими конфиденциальности и безопасности персональных данных при их обработке.
Работники и лица, оказывающие Компании услуги по договорам гражданско-правового характера, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы:
Компания осуществляет сбор персональных данных путем их получения непосредственно от субъекта ПДн, либо третьих лиц, с согласия субъектов ПДн. (Обязанность получения согласия субъекта ПДн лежит на третьем лице).
Субъект ПДн или оператор ПДн обязаны предоставлять Компании достоверные сведения. Компания имеет право проверять достоверность предоставленных сведений, способами, не противоречившими действующему законодательству Российской Федерации.
Если персональные данные были получены не от субъекта ПДн, Компания до начала обработки таких персональных данных обязано уведомить (за исключением случаев, предусмотренных законодательством) субъекта ПДн о начале обработки его персональных данных, сообщив следующую информацию:
Примечание. Способ передачи такой информации субъекту ПДн может различаться и определяется Компанией в каждом случае отдельно. Уведомить субъектов ПДн, чьи ПДн обрабатываются Компанией обязуются третьи лица, которые передают Компании данные ПДн.
При изменении персональных данных, переданных Компании и необходимых для исполнения обязательств по договору, субъект ПДн уведомляет Компанию о таких изменениях. Субъект ПДн может уведомить Компанию об изменении своих персональных данных путем направления уведомления по Почте России, либо обратившись в Компанию лично.
Согласие на обработку персональных данных может быть дано в форме отдельного документа, либо включено в анкеты, договоры, иные документы, которые подписываются субъектом ПДн и адресуются Компании, либо в электронной форме, либо иным, не противоречащим требованиям законодательства Российской Федерации, способом.
Персональные данные субъектов ПДн – физических лиц, состоящих (состоявших) в договорных и иных гражданско-правовых отношениях с Компанией, физических лиц, обратившихся в Компанию с целью получения информации, заключения договора, либо вступления в иные гражданско-правовые отношения с Компанией (лицом, интересы которого представляет Компания); иных физических лиц, чьи персональные данные обрабатываются Компанией в соответствии с требованиями законодательства, представителей указанных в настоящем пункте физических лиц, хранятся в электронном виде в ИСПДн.
Хранение персональных данных осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки в соответствии со сроками хранения, определяемыми законодательством Российской Федерации, договором, заключенным с субъектом ПДн. Персональные данные подлежат уничтожению или обезличению по достижении целей обработки или в случае утраты необходимости в их достижении.
Хранение персональных данных в Компании, осуществляется в порядке, исключающем доступ к ним третьих лиц. При хранении персональных данных субъектов ПДн в Компании применяются средства защиты от несанкционированного доступа.
Передача персональных данных третьим лицам, в том числе с целью поручения Компанией обработки персональных данных третьим лицам, не допускается без согласия субъектов ПДн, за исключением случаев, установленных федеральными законами.
Примечание. Согласия субъекта ПДн на обработку (в т.ч. передачу) его персональных данных третьим лицам не требуется в случаях, предусмотренных ФЗ «О персональных данных». Передача персональных данных внутри Компании осуществляется только между работниками, имеющими доступ к соответствующей категории субъектов ПДн. Также персональные данные могут передаваться работниками Компании, имеющими доступ к персональным данным, лицам, оказывающим Компании услуги по договорам гражданско-правового характера.
Передача персональных данных третьим лицам осуществляется в порядке, установленном действующим законодательством, и настоящим Положением.
Передача третьим лицам документов (иных материальных носителей), содержащих персональные данные, осуществляется по письменному запросу третьего лица на предоставление персональных данных, при этом третье лицо должно обладать полномочиями по получению таких данных.
Работники Компании/лица, оказывающие Компании услуги по договорам гражданско-правового характера, передающие персональные данные третьим лицам, должны передавать их с обязательным уведомлением лица, получающего эти данные, об обязанности использования полученной информации ограниченного доступа лишь в целях, для которых она сообщена, и с предупреждением об ответственности за незаконное использование данной информации в соответствии с федеральными законами. Условие неразглашения информации ограниченного доступа включается в договор, на основании которого производится передача персональных данных.
Представителю субъекта ПДн данные соответствующего субъекта ПДн передаются в порядке, установленном действующим законодательством. Информация передается при наличии одного из следующих документов:
Если в составе персональных данных имеются сведения, составляющие иную охраняемую законом информацию (тайну), допустимо установить требование предоставления согласия лица на передачу такой информации (тайны) его представителю.
Предоставление персональных данных государственным органам Российской Федерации производится в соответствии с требованиями действующего законодательства Российской Федерации.
Персональные данные могут быть предоставлены родственникам или членам семьи субъекта ПДн (кроме законных представителей) только с письменного разрешения самого субъекта ПДн, за исключением случаев, когда передача персональных данных без его согласия допускается действующим законодательством Российской Федерации.
Документы, содержащие персональные данные, могут быть отправлены посредством почтовой связи или курьерской службы. При этом должна быть обеспечена их конфиденциальность.
В случае если лицо, обратившееся в Компанию с запросом на предоставление персональных данных, не уполномочено на получение информации, относящейся к персональным данным, Компания обязано отказать лицу в выдаче такой информации. Лицу, обратившемуся с соответствующим запросом, выдается уведомление в свободной форме об отказе в выдаче информации, а копия уведомления хранится в соответствии с принятыми правилами делопроизводства (как исходящая корреспонденция).
Компания обязана предоставлять:
Субъект ПДн имеет право на доступ к своим персональным данным, включая право на получение копии любой записи, содержащей его персональные данные (за исключением случаев, предусмотренных законодательством о персональных данных). Доступ к своим персональным данным предоставляется субъекту ПДн или его представителю при личном обращении либо при получении запроса от субъекта ПДн или его представителя. При этом запрос должен содержать данные, установленные Федеральным законом «О персональных данных».
Субъект ПДн имеет право требовать от Компании уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными либо не являются необходимыми для заявленной цели обработки. Для внесения изменений в свои персональные данные субъекту ПДн или его представителю либо уполномоченному органу по защите прав субъектов ПДн необходимо направить запрос либо обратиться в Компанию.
Субъект ПДн имеет право обращаться с требованием о прекращении неправомерной обработки его персональных данных.
Субъект ПДн имеет право отозвать свое согласие на обработку персональных данных способом, указанным в согласии на обработку персональных данных, или иным способом, предусмотренным действующим законодательством
Блокирование персональных данных субъекта ПДн производится при обращении или по запросу субъекта ПДн (его представителя либо уполномоченного органа по защите прав субъектов ПДн) в случаях:
При возникновении указанных случаев персональные данные субъекта ПДн блокируются на всех носителях, где они зафиксированы, и в ИСПДн до:
Персональные данные субъектов ПДн подлежат уничтожению, если иное не предусмотрено федеральными законами или соглашением между Компанией и субъектом ПДн, в следующих случаях:
При наступлении хотя бы одного из вышеперечисленных событий персональные данные должны быть уничтожены:
Персональные данные должны быть уничтожены на всех носителях (в т.ч. машинных носителях, бумажных носителях) и в ИСПДн.
Компания обязуется:
Субъект ПДн, персональные данные которого обрабатываются в Компании, имеет право:
Работники Компании, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном законодательством, трудовым договором/ договором гражданско-правового характера.
Компания вправе применить к работникам при нарушении ими норм, регулирующих получение, обработку и защиту персональных данных, дисциплинарные взыскания:
Актуализация настоящего Положения проводится в следующих случаях: