1. ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ
Для целей Политики в отношении обработки персональных данных (далее – Политика) используются следующие понятия, определения и сокращения: Компания – – «PACKSERVICE AGENCY» LLC
Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных. Конфиденциальность персональных данных – обязательное для соблюдения работниками Компании требование не раскрывать третьим лицам и не распространять Персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Законом о персональных данных. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). К субъектам персональных данных относятся:
— работники Компании – физические лица, с которыми Компания намеревается или заключил трудовой договор (контракт);
— клиенты (контрагенты) Компании – физические лица, с которыми планируется или заключен договор на оказание услуг, предоставляемых Компанией;
— иные лица — лица, к которым относятся:
— физические лица — представители, в том числе законные представители, физических, юридических лиц, индивидуальных предпринимателей и иных лиц, занимающихся частной практикой, действующие на основании документов, оформленных согласно законодательству;
— физические лица — выгодоприобретатели по договорам, заключаемым между клиентами и Компанией;
— физические лица — руководители, члены органов управления, акционеры, участники, представители контрагентов Компании, действующие на основании документов, оформленных согласно законодательству, данные которых предоставляются в целях заключения и исполнения договоров с Компанией;
— физические лица, не являющиеся работниками Компании: члены органов управления Компании, аффилированные лица, иные физические лица, обязанность раскрытия информации о которых возложена на Компания законодательством.
— иные физические лица, доступ к персональным данным которых Компания получил на законных основаниях в процессе ведения своей деятельности.
2. ОБЩИЕ ПОЛОЖЕНИЯ
2.1. Политика Компании определяет основные принципы обработки персональных данных и защиты прав физических лиц — субъектов персональных данных, персональные данные которых обрабатываются Компанией.
2.2. Политика разработана в соответствии с требованиями Закона о персональных данных.
2.3. Положения Политики обязательны для исполнения руководителями и работниками всех структурных подразделений Компании.
2.4. Настоящая Политика является внутренним нормативным документом Компании, с общедоступным статусом и подлежит размещению на официальном сайте Компании.
3. ПРИНЦИПЫ ОБРАБОТКИ ИОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. При обработке персональных данных в Компании строго соблюдаются следующие принципы:
— обработка персональных данных осуществляется на законной и справедливой основе;
— обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
— не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
— не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
— обработке подлежат только персональные данные, которые отвечают целям их обработки;
— содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки персональных данных, обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
— при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
— Компания принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
— хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Законом о персональных данных или иными федеральными законами, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
— обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законом о персональных данных.
3.2. Обработка персональных данных осуществляется на основе согласия субъекта персональных данных на обработку персональных данных, если иное не предусмотрено действующим законодательством.
4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных субъектов персональных данных осуществляется Компанией:
— в целях осуществления функций и полномочий, выполнения обязанностей, возложенных на Компания в соответствии с законодательством, соблюдения требований, иных нормативных правовых актов, нормативных актов Компании, а также Устава и внутренних нормативных документов Компании, в том числе в целях обязательного раскрытия персональных данных в случаях, установленных законодательством, и осуществления финансовых операций, не требующих установления договорных отношений с субъектом персональных данных, а также в целях осуществления прав и законных интересов Компании и обеспечения деятельности Компании;
— в целях установления и выполнения договорных отношений между Компанией и субъектом персональных данных, в частности:
— персональные данные работников Компании обрабатываются Компанией в целях учета работников для содействия им в трудоустройстве, обучении, продвижении по службе, контроля количества и качества выполняемой им работы (то есть в случаях, непосредственно связанных с вопросами трудовых отношений между работником и Компанией), пользования различного вида льготами, а также обеспечения личной безопасности работников, обеспечения сохранности их имущества и имущества Компании;
— персональные данные клиентов (контрагентов) Компании обрабатываются Компанией в целях заключения и исполнения обязательств сторон по заключенным с клиентами (контрагентами) договорам на оказание финансовых услуг;
— персональные данные иных лиц обрабатываются Компанией в целях заключения и исполнения обязательств сторон по заключенным с иными лицами договорам на продвижение услуг Компании.
5. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. При обработке персональных данных в Компании обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных. Компания принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных или неточных персональных данных в целях обеспечения их точности, достоверности и актуальности, в том числе по отношению к целям обработки персональных данных.
5.2. Компания в ходе своей деятельности может предоставлять и/или поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Законом о персональных данных. При этом обязательным условием предоставления и/или поручения обработки персональных данных другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.
5.3. Компания в ходе своей деятельности может осуществлять трансграничную передачу персональных данных на территорию иностранных государств органам власти иностранного государства, иностранным физическим или юридическим лицам. Решение вопросов обеспечения адекватной защиты прав субъектов персональных данных и обеспечения безопасности их персональных данных при трансграничной передаче реализуется в соответствии с Законом о персональных данных.
5.4. Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, осуществляется только при наличии согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных, во исполнение договора, стороной которого является субъект персональных данных, а также в иных случаях и в порядке, предусмотренных Законом о персональных данных.
5.5. Обработка персональных данных осуществляется с фиксацией информации на материальных носителях.
5.5.1. При обработке персональных данных используются как бумажные материальные носители информации, так и технические материальные носители информации (магнитные, электронные и др.). Обработка бумажных материальных носителей информации может осуществляется, как правило, без использования средств автоматизации. Обработка информации на технических материальных носителях осуществляется с использованием технических средств обработки информации.
5.5.2. При использовании любых материальных носителей информации обеспечивается безопасность зафиксированных на материальных носителях информации персональных данных в порядке, предусмотренном внутренними нормативными и регламентирующими документами Компании.
5.6. При обработке персональных данных в Компании могут использоваться типовые формы документов (шаблон, бланк документа или другая унифицированная форма документа, используемая с целью сбора персональных данных) для осуществления обработки персональных данных. Процедуры работы с ними регламентирована внутренними нормативными и регламентирующими документами Компании.
5.7. Компания в обязательном порядке рассматривает все обращения субъектов персональных данных (их законных представителей), в том числе содержащие требования субъектов персональных данных (их законных представителей).
5.8. Субъект персональных данных, обрабатываемых Компанией (его законный представитель) имеет право: — получать сведения о наличии в распоряжении Компании персональных данных, относящихся к соответствующему субъекту персональных данных, правовые основания, цели, сроки, способы их обработки, список лиц, которым на основании договоров они могут быть раскрыты, информация об их трансграничной передаче, иные сведения, предусмотренные законом о персональных данных, в том числе ознакомиться с их содержанием; — требовать от Компании уточнения своих персональных данных, прекращения их обработки, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки; — являясь гражданином Компании, при личном присутствии в специально оборудованном дополнительном или операционном офисе Компании дать поручение Компании разместить или обновить информацию в единой системе идентификации и аутентификации (далее – ЕСИА), а также, став клиентом в единой информационной системе персональных данных, обеспечивающей сбор, обработку, хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица (далее – ЕБС); — принимать предусмотренные законодательством меры по защите своих прав.
5.9. Порядок обработки обращений и запросов субъектов персональных данных (их законных представителей) по вопросам обработки их персональных данных и действий в случае запросов уполномоченного органа по защите прав субъектов персональных данных или иных надзорных органов, осуществляющих контроль и надзор в области персональных данных, устанавливается внутренними нормативными и регламентирующими документами Компании. Обработка обращений и запросов субъектов персональных данных (их законных представителей), уполномоченного органа по защите прав субъектов персональных данных или иных надзорных органов возлагаются на специально уполномоченные самостоятельные структурные подразделения Компании.
5.10. Компания в порядке и в сроки, установленные законом о персональных данных уведомляет уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, направляя информацию, содержащую следующие сведения:
— наименование и адрес Компании;
— цель обработки персональных данных;
— категории персональных данных; категории субъектов, персональные данные которых обрабатываются;
— правовое основание обработки персональных данных;
— перечень действий с персональными данными, общее описание используемых Компанией способов обработки персональных данных;
— описание мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных Законом о персональных данных, мер по обеспечению безопасности персональных данных при их обработке, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
— фамилия, имя, отчество физического лица, ответственного за организацию обработки персональных данных, и номер его контактного телефона, почтовый адрес и адрес электронной почты;
— дата начала обработки персональных данных;
— срок или условие прекращения обработки персональных данных;
— сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
— сведения о месте нахождения базы данных информации, содержащей персональные данные граждан;
— сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством.
5.11. В случае изменения сведений, указанных в пункте 5.10. настоящего документа, а также в случае прекращения обработки персональных данных Компания уведомляет об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
5.12. Компания в ходе своей деятельности может осуществлять обработку биометрических персональных данных в целях проведения идентификации граждан, в том числе при регистрации и без личного присутствия посредством сети «Интернет». При этом Компания может отказать в проведении указанной идентификации в случаях, предусмотренных законодательством.
5.13. Отзыв субъектами персональных данных согласия на обработку биометрических персональных данных осуществляется с особенностями, указанными в форме согласия на обработку персональных данных и биометрических персональных данных, утвержденной Правительством.
5.14. Компания осуществляет обработку биометрических персональных данных в соответствии с требованиями к защите биометрических персональных данных.
6. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Сроки Обработки Персональных данных, в том числе хранения, определяются в соответствии: — со сроком, на который предоставлено согласие субъекта персональных данных, при условии не достижения цели обработки Персональных данных до окончания данного срока, если иное не предусмотрено соглашением между Компанией и субъектом персональных данных; — со сроком действия договора (соглашения), заключенного Компанией с субъектом персональных данных, если иное не предусмотрено законами; — со сроками хранения документов, содержащих персональные данные, определенными требованиями законодательства, включая требования Компании.
6.2. Срок хранения документов, не включенных в Перечень, может определяться внутренними документами Компании.
6.3. Срок хранения Персональных данных в информационным системам персональным данным совпадает со сроком хранения документов на материальных носителях.
6.4. Срок хранения документов, содержащих персональные данные, так же, как и информация о делах, в которых хранятся Персональные данные, указывается в номенклатуре дел, которая составляется при организации хранения таких документов, в том числе в соответствии с внутренним нормативным документом «Инструкция по организации делопроизводства».
7. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. В Компании являются обязательными для исполнения требования Стандарта Компании «Обеспечение информационной безопасности организаций банковской системы».
7.2. С целью обеспечения безопасности персональных данных при их обработке Компания принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7.3. В целях исполнения требований Закона о персональных данных в Компании назначено лицо, ответственное за организацию обработки персональных данных.
7.4. В Компании производится ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства и внутренними нормативными и регламентирующими документами Компании, содержащими требования по обработке и обеспечению безопасности персональных данных в части, касающейся их должностных обязанностей, в ходе проведения мероприятий по их обучению или повышению осведомленности. Процедуры ознакомления работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства и внутренними нормативными и регламентирующими документами Компании, содержащими требования по обработке и обеспечению безопасности персональных данных в части, касающейся их должностных обязанностей соответствующим образом регистрируется. Контроль осуществляется Службой информационной безопасности Компании.
7.5. Доступ работников Компании к персональным данным и их обработка осуществляется исключительно в рамках их должностных обязанностей и осуществляется с соблюдением требований действующего законодательства (применимого законодательства) в порядке, определяемом внутренними нормативными документами Компании. Передача персональных данных между работниками Компании — пользователями ресурса персональных данных, может производиться только при условии наличия у работников доступа к персональным данным.
7.6. Передача персональных данных третьим лицам и доступ третьих лиц к персональным данным осуществляются на основе договорных отношений с соблюдением требований действующего законодательства (применимого законодательства) в порядке, определяемым внутренними нормативными документами Компании.