© Finance.ru, 2021
Концептуально политика по обработке персональных данных представлена ниже:
1.1. Для того чтобы в полном объеме выполнить нормы действующего законодательства РФ, Портал Финанс.ру (далее – Компания) считает важнейшими задачами соблюсти принципы справедливости, законности и конфиденциальности при обработке персональных данных, а также обеспечить безопасность процессов их обработки.
1.2. Для настоящей политики Компании в отношении обеспечения безопасности и организации обработки (далее – Политика) характерны следующие признаки:
1.2.1. Разработана с целью выполнения требований законодательства РФ в области обработки персональных данных.
1.2.2. Раскрывает принципы и способы обработки персональных данных Компанией, права и обязанности Компании при обработке права субъектов персональных данных и персональных данных. Кроме того, включает перечень мер, которые Компания применяет для обеспечения безопасности персональных данных во время их обработки.
1.2.3. Является документом общего доступа, который декларирует концептуальные основы Компании при защите и обработке персональных данных.
1.3. Перед началом обработки персональных данных Компания уведомила уполномоченный орган по защите прав субъектов персональных данных о своем намерении обрабатывать персональные данные. Компания в соответствующий срок и добровольно актуализирует сведения, которые указаны в уведомлении.
2.1. Политика Компании в части организации обработки персональных данных определена в соответствии со следующими нормативными правовыми актами РФ:
2.1.1. Конституцией РФ.
2.1.2. Гражданским Кодексом РФ.
2.1.3. Трудовым Кодексом РФ.
2.1.4. Федеральным законом «О персональных данных» (№ 152-ФЗ от 27.07.2006).
2.1.5. Федеральным законом «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» (№ 160-ФЗ от 19.12.2005).
2.1.6. Федеральным законом «Об информации, информационных технологиях и о защите информации» (№ 149-ФЗ от 27.07.2006).
2.2 Для исполнения настоящей Политики руководитель Компании утвердил следующие локальные нормативные акты:
2.2.1. Политика обеспечения безопасности персональных данных.
2.2.2. Положение о лице, которое несет ответственность за организацию обработки и безопасности персональных данных.
2.2.3. Другие локальные акты Компании в области обработки и защиты персональных данных.
3.1. В ходе своей деятельности Компания соблюдает принципы обработки персональных данных, которые указаны в ст.5 Федерального закона № 152-ФЗ «О персональных данных» от 27.07.2006.
3.2. Компания собирает и в дальнейшем обрабатывает персональные данные в следующих целях:
3.2.1. Подбор сотрудников Компании.
3.2.2. Ведение справочников сотрудников Компании.
3.2.3. Осуществление кадрового учета сотрудников Компании.
3.2.4. Проведение с сотрудниками Компании взаиморасчетов.
3.2.5. Ведение отчетности, которая предусмотрена законодательством РФ.
3.2.6. Предоставление сотрудникам Компании возможности добровольного медицинского обслуживания.
3.2.7. Оформление и выдача доверенностей.
3.2.8. Управление физическим доступом на территорию Компании.
3.2.9. Бронирование гостиниц и оформление проездных документов для сотрудников Компании.
3.2.10. Функционирование горячей линии на сайте finance.ru.
3.2.11. Предоставление пользователям сайта finance.ru сервисов для оформления заявок на финансовые продукты.
3.3. Компания установила следующие условия и сроки прекращения обработки персональных данных:
3.3.1. Достижение целей обработки персональных данных и максимального срока их хранения — 30 дней.
3.3.2. Утрата необходимости по достижению целей обработки персональных данных — в течение 30 дней.
3.3.3. Предоставление субъектом персональных данных или его законным представителем информации, которая подтверждает незаконность получения персональных данных или отсутствие необходимости для заявленной цели обработки — в течение 7 дней.
3.3.4. Отсутствие возможности обеспечить правомерность обработки персональных данных — в течение 10 дней.
3.3.5. При отзыве субъекта персональных данных согласия на обработку этих данных, если для целей обработки персональных данных их сохранение не требуется — в течение 30 дней.
3.4. Обработка Компанией персональных данных включает в себя их сбор, систематизацию, запись, хранение, накопление, извлечение, уточнение (изменение, обновление), использование, передачу (предоставление, распространение, доступ), блокирование, обезличивание, удаление и уничтожение.
3.5. Компания не обрабатывает биометрические персональные данные (данные, которые характеризуют биологические и физиологические особенности человека, по которым можно установить его личность).
3.6. Компания не обрабатывает специальные категории персональных данных, которые касаются национальной или расовой принадлежности, а также религиозных, политических и философских взглядов, интимной жизни и состояния здоровья.
3.7. Компания не передает персональные данные иностранным физическим или юридическим лицам, органам власти иностранного государства или на территорию зарубежного государства.
3.8. Компания не принимает решения, которые порождают юридические последствия в отношении субъектов персональных данных или другим образом касающиеся их законных интересов и прав, на основании исключительно автоматизированной обработки их персональных данных.
3.9. Компания обрабатывает персональные данные без использования средств автоматизации и с использованием средств автоматизации.
4.1. В процессе обработки персональных данных Компания принимает все необходимые правовые, технические и организационные меры для их защиты от случайного или неправомерного доступа, изменения, уничтожения, блокировки, предоставления, копирования, распространения, а также других неправомерных действий в их отношении. Обеспечение безопасности персональных данных, в частности, достигается следующими способами:
4.1.1. Назначением лица, ответственного за организацию обработки и обеспечение безопасности персональных данных.
4.1.2. Существованием внутреннего аудита и/или контроля соответствия процесса обработки персональных данных Федеральному закону № 152-ФЗ «О персональных данных» от 27.07.2006, а также в соответствии с нормативными актами, которые приняты в соответствии с законом, локальным актам и требованиями к защите персональных данных.
4.1.3. Ознакомлением с положениями законодательства РФ о персональных данных, локальными актами в отношении обработки персональных данных, требованиями к защите персональных данных сотрудников Компании, которые непосредственно обрабатывают персональные данные и/или их обучение.
4.1.4. Определением угроз безопасности персональных данных в процессе их обработки в информационных системах персональных данных.
4.1.5. Применением технических и организационных мер по обеспечению безопасности персональных данных в процессе их обработки в информационных системах персональных данных, которые необходимы для выполнения требований к защите персональных данных.
4.1.6. Оценкой эффективности мер, которые были приняты для обеспечения безопасности персональных данных перед вводом в эксплуатацию информационной системы персональных данных.
4.1.7. Учетом машинных носителей персональных данных.
4.1.8. Выявлением фактов несанкционированного доступа к персональным данным и принятием последующих соответствующих мер.
4.1.9. Восстановлением персональных данных, которые были уничтожены или модифицированы по причине несанкционированного доступа к ним.
4.1.10. Установлением правил доступа к персональным данным, которые обрабатываются в информационной системе персональных данных, а также обеспечением учета и регистрации всех действий, которые совершаются с персональными данными в информационной системе персональных данных.
4.1.11. Контролем над мерами, которые принимаются по обеспечению безопасности персональных данных, а также уровнем защиты информационных систем персональных данных.
4.2. Обязанности сотрудников Компании, которые осуществляют обработку и защиту персональных данных, а также степень их ответственности, определяются в «Политике обеспечения безопасности персональных данных» Компании.
5.1. Права, обязанности, а также юридическая ответственность лица, которое несет ответственность за организацию обработки и обеспечение безопасности персональных данных, установлены Федеральным законом № 152-ФЗ «О персональных данных» от 27.07.2006 и «Положением о лице, ответственном за организацию обработки и обеспечение безопасности персональных данных» Компании.
5.2. Назначать на должность лицо, которое будет нести ответственность за организацию обработки и обеспечение безопасности персональных данных, и освобождать от нее — право руководителя Компании из числа руководящих должностных лиц Компании. При таком назначении руководитель Компании учитывает полномочия, компетенции и личностные качества должностного лица, которые позволяют ему надлежащим образом и в полном объеме осуществить свои права и выполнять обязанности как лица, которое несет ответственность за организацию обработки и обеспечение безопасности персональных данных.
5.3. Лицо, которое несет ответственность за организацию обработки и обеспечение безопасности персональных данных:
5.3.1. Организует наличие и полноценную работу внутреннего контроля над соблюдением Компанией и ее сотрудниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных.
5.3.2. Ознакамливает сотрудников Компании с положениями законодательства РФ о персональных данных, требований к защите персональных данных и локальных актов по вопросам обработки персональных данных.
5.3.3.Принимает и обрабатывает запросы и обращения субъектов персональных данных или их представителей, а также контролирует прием и обработку таких обращений и запросов.
6.1. Субъект персональных данных имеет право получать сведения об обработке Компанией его персональных данных.
6.2. Субъект персональных данных имеет право требовать от Компании уточнения этих персональных данных, их уничтожения или блокировки в случае, если они являются неполными, неточными, устаревшими, полученными незаконно или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать меры, предусмотренные законом, по защите своих прав.
6.3. Право субъекта персональных данных на его доступ к личным персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, в случае если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
6.4. Субъект персональных данных может обратиться к Компании для осуществления и защиты своих прав и законных интересов. Компания обязана рассматривать все обращения и жалобы от субъектов персональных данных, проводить тщательное расследование по фактам нарушений и принять все необходимые меры для их немедленного устранения, наказания лиц, виновных в возникшей ситуации, а также урегулирования конфликтных и спорных ситуаций в досудебном порядке.
6.5. Субъект персональных данных имеет право обжаловать действия или бездействие Компании, в частности составить обращение в уполномоченный орган по защите прав субъектов персональных данных.
6.6. Субъект персональных данных имеет законное право на защиту своих законных интересов и прав, в том числе на возмещение морального вреда и/или убытков в судебном порядке.
7.1. Бумажная версия действующей редакции Политики находится по месту нахождения исполнительного органа Компании.
7.2. Электронная версия действующей редакции Политики находится в общем доступе на сайте Компании в сети Интернет: https://finance.ru.
8.1. Утверждает Политику и вводит ее в действие руководитель Компании.
8.2. Компания оставляет за собой право вносить изменения в действующую Политику. При внесении таких изменений в заголовке Политики указывается дата, в которую утвердили действующую редакцию Политики.
8.3. Политика регулярно проверяется на актуальность и заново проходит процедуру утверждения — один раз в год с даты предыдущего утверждения редакции Политики.
8.4. Политика может быть проверена на актуальность и переутверждаться ранее назначенного срока, который указан в п. 8.3 Политики, по мере внесения изменений:
8.4.1. В правовые нормативные акты в области персональных данных.
8.4.2. В индивидуальные и локальные нормативные акты Компании, которые регламентируют организацию обработки и обеспечение безопасности персональных данных.
9.1. Лица, которые будут признаны виновными в нарушении норм, определяющих защиту и обработку персональных данных, несут ответственность, которая предусмотрена законодательством РФ, договорами, а также локальными актами, которые регламентируют правоотношения Компании с третьими лицами.
© Finance.ru, 2021