ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ОАО «УК «Ленинец»

1. Общие положения

1.1.          Настоящая Политика обработки персональных данных (далее — Политика) ОАО «УК «Ленинец» (далее – Оператор), (ИНН 7816025796, адрес: г. Санкт-Петербург, ул. Софийская, д. 14), разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом 27 июля 2006 года № 152-ФЗ "О персональных данных", постановлением Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", иными федеральными законами и нормативно-правовыми актами в области персональных данных.

1.2.          Политика разработана в соответствии с нормами законодательства Российской Федерации (далее по тексту - РФ) о персональных данных с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных.

1.3.          Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных работников и контрагентов Оператора и других субъектов персональных данных.

1.4.          Основные понятия, используемые в Политике:

персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:

  • сбор;
  • запись;
  • систематизацию;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передачу (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.5.          Политика обработки персональных данных Банка (далее по тексту - Политика) является общедоступным документом, который отражает общие требования и принципы организации работ по обработке и защите персональных данных.

1.6.          Действие настоящей Политики распространяется на деятельность всех сотрудников Общества, участвующих в процессе обработки персональных данных.

 2. Цели обработки персональных данных

 2.1.          Персональные данные обрабатываются Оператором в следующих целях:

  • осуществление и выполнение возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, в частности:
  • выполнение требований законодательства в сфере труда и налогообложения;
  • ведение текущего бухгалтерского и налогового учёта, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической отчётности;
  • предоставление информации третьим лицам для оформления ДМС;
  • выполнение требований законодательства по определению порядка обработки и защиты персональных данных граждан, являющихся работниками, клиентами или контрагентами Оператора;
  • осуществления прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Оператора, или третьих лиц, либо достижения общественно значимых целей;
  • исполнение договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • предоставления информации субъектам персональных данных об оказываемых услугах, товарах и мероприятиях;
  • составление, ведение и анализ клиентской базы;
  • проведение рекламных и маркетинговых активностей и акций;
  • оповещение субъектов персональных данных и направление им информации о стимулирующих акциях, рекламных и маркетинговых активностях;
  • осуществление досудебной и судебной работы, в том числе в целях взыскания дебиторской задолженности
  • в иных законных и/или необходимых целях.

 3. Правовое основание обработки персональных данных

3.1.          Обработка персональных данных осуществляется на основе следующих федеральных законов и нормативно-правовых актов:

  • Конституции Российской Федерации;
  • Трудового кодекса Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
  • Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
  • Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
  • Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
  • Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ;
  • Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации.  Утверждено постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687;
  • Постановления от 1 ноября 2012 г. № 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных;
  • Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
  • Иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

3.2.            Правовым основанием обработки персональных данных также являются:

  • Устав Общества;
  • Договоры, заключаемые между Оператором и субъектами персональных данных;
  • Согласие субъектов персональных данных на обработку их персональных данных.

 4. Состав обрабатываемых персональных данных

4.1.          Общество может обрабатывать следующие категории субъектов персональных данных:

  • персональные данные клиентов/контрагентов (физ. лиц), представителей/работников клиентов/контрагентов (юридических лиц) – ФИО; паспортные данные или данные иного документа, удостоверяющего личность; гражданство; данные миграционной карты или иного документа, подтверждающего право иностранца или лица без гражданства на пребывание в РФ; адрес регистрации в стране, подданным которой является; адрес фактического проживания или временной регистрации в стране пребывания; информация о принадлежности к иностранным публичным должностным лицам; номера телефонов; адреса электронной почты; информация о трудовой деятельности; сведения о заработной плате; сведения о семейном положении; ссылки на персональные интернет страницы/ресурсы; сведения об имуществе; сведения о банковских счетах и реквизитах; ценные бумаги и иные сведения, предусмотренные действующим законодательством РФ и внутренними документами Общества;
  • персональные данные сотрудников/бывших сотрудников, кандидатов на замещение вакантных должностей, а также родственников сотрудников – ФИО; паспортные данные; идентификационный номер налогоплательщика; номер страхового свидетельства государственного пенсионного страхования; сведения о банковских счетах и реквизитах; данные водительского удостоверения; сведения об образовании, в том числе, информация об учебном заведении, дата окончания, номер диплома, специальность и квалификация по диплому, сертификаты и удостоверения о повышении квалификации; выполняемая работа с начала трудовой деятельности; данные справки, выданной органами МВД России, о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям, сведения о близких родственниках; сведения о воинском учете, медицинское заключение по установленной форме об отсутствии противопоказаний для работы, и иные сведения предусмотренные действующим законодательством РФ и внутренними документами Общества.

4.2.          В случаях, предусмотренных действующим законодательством, субъект персональных данных принимает решение о предоставлении его персональных данных Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе.
4.3.          Оператор обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки. 
4.4.          Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.

4.5.          Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

 5. Обработка персональных данных

5.1.          Обработка персональных данных в Оператором Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

5.2.          Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных, в том числе путем осуществления следующих действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5.3.          В процессе обработки персональных данных, Оператор руководствуется следующими основными принципами:

  • обработка персональных данных осуществляется на законном и справедливом основании;
  • обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
  • не допускается обработка персональных данных, несовместимая с целями их обработки;
  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только персональные данные, которые отвечают целям их обработки, содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки;
  • обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
  • при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
  • неполные или неточные персональные данные уточняются или удаляются;
  • хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; поручителем по которому является субъект персональных данных;
  • обрабатываемые персональные данные уничтожаются либо обезличиваются по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.

 6. Обеспечение защиты персональных данных при их обработке Оператором

6.1.          Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152 «О персональных данных», постановлением Правительства от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», и другими нормативными правовыми актами, если иное не предусмотрено федеральными законами.

6.2.          Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6.3.          Обеспечение безопасности персональных данных, в частности, достигается:

  • применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
  • осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
  • определение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»; 
  • ознакомление сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников.
  • определением угроз безопасности персональных данных;
  • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • учетом машинных носителей персональных данных;
  • обнаружением фактов несанкционированного доступа к персональным данным;
  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к персональным данным, а также обеспечением регистрации и учета всех действий, совершаемых с персональных данных;
  • контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности персональных данных.

6.4.          Обеспечение безопасности тайны связи и сведений об абонентах при обработке информации в системах и сетях связи осуществляется в соответствии с требованиями законодательства Российской Федерации о связи, а также международного законодательства по межоператорскому взаимодействию.

6.5.          Обеспечение безопасности персональных данных, обрабатываемых в информационных системах при обеспечении оперативно-розыскных мероприятий, осуществляется в соответствии с законодательством РФ об оперативно-розыскной деятельности.

6.6.          Уровни защищенности персональных данных при их обработке, требования к защите персональных данных, обеспечивающих уровни защищенности персональных данных, определяются в зависимости от актуальных угроз безопасности персональных данных с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональных данных в соответствии с требованиями Постановлений Правительства Российской Федерации, подзаконных нормативных правовых актов ФСТЭК, ФСБ и Минцифры России, а также договорами между Оператором и субъектами персональных данных.

6.7.          Обеспечение безопасности персональных данных при трансграничной обработке персональных данных осуществляется в соответствии с требованиями и рекомендациями международных правовых актов по обеспечению безопасности персональных данных, международных стандартов по информационной безопасности и законодательства стран, на территории которых обрабатываются персональные данные.

6.8.          Использование и хранение биометрических персональных данных осуществляется только с применением материальных носителей информации и технологии хранения, которые обеспечивают защиту биометрических персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления и распространения.

6.9.          Защита персональных данных при неавтоматизированной обработке осуществляется в соответствии с требованиями подзаконных нормативных правовых актов РФ и нормативными документами Оператора по работе с материальными носителями информации.

7. Права и обязанности субъекта персональных данных

7.1.          Субъект персональных данных имеет право:

  • получать информацию, касающуюся обработки его персональных данных, в порядке, форме и в сроки, установленные законодательством Российской Федерации в сфере персональных данных;
  • требовать уточнения своих персональных данных, их блокирования или уничтожения, в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для завяленной цели обработки или используются в целях, не заявленных ранее при предоставлении субъектов персональных данных согласия на обработку персональных данных;
  • принимать предусмотренные законом меры по защите своих прав;
  • отозвать свое согласие на обработку персональных данных.

7.2.          Для реализации своего права на получение информации касающейся обработки его персональных данных, субъект персональных данных, или его представитель, должен обратиться к Оператору по адресу: 192236, Санкт-Петербург, ул. Софийская, д. 14 или адресу электронной почты: info@ukln.ru, с письменным заявлением, которое должно содержать:

  • номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
  • сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором,
  • подпись субъекта персональных данных или его представителя.

7.3.          В рамках действующего законодательства РФ в сфере персональных данных, Оператор обязуется предоставить субъекту персональных данных по его запросу, следующую информацию:

  • подтверждение факта обработки персональных данных Оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Оператором способы обработки персональных данных;
  • сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональных данных или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Законом № 152-ФЗ;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Законом № 152-ФЗ или другими федеральными законами.

7.4.          В рамках реализации права на отзыв своего согласия на обработку персональных данных, субъект персональных данных вправе обратиться в адрес Оператора с заявлением об отзыве ранее данного согласия на обработку персональных данных. Вместе с тем, Оператор оставляет за собой право продолжить обработку персональных данных без согласия, если такая обработка будет осуществляться при наличии оснований, предусмотренных Законом № 152-ФЗ.

7.5.          Субъект персональных данных, в целях уточнения и актуализации своих персональных данных, обязан своевременно представлять Оператору информацию об изменении своих персональных данных.

8. Сроки обработки (хранения) персональных данных

8.1.          Порядок хранения персональных данных, обрабатываемых Оператором, определяется нормативными документами Оператора в соответствии с положениями Закона № 152-ФЗ.

8.2.          Сроки обработки (хранения) персональных данных определяются в соответствии со сроком действия договора с субъектом персональных данных, приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», сроками исковой давности, а также иными сроками, установленными законодательством РФ и нормативными документами Оператора.

8.3.          Персональные данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом или нормативными документами Оператора. Хранение персональных данных после истечения срока хранения допускается только после их обезличивания.

9. Актуализация, исправление, удаление и уничтожение персональных данных.

Порядок рассмотрения запросов субъектов персональных данных

9.1.          В случаях, прямо предусмотренных статьей 14 Закона № 152-ФЗ, Оператор сообщает субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставляет возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

9.2.          В рамках реализации требований Закона № 152-ФЗ, Оператор на безвозмездной основе представляет субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор вносит в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор уничтожает такие персональные данные. При этом Оператор обязуется уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональных данных этого субъекта были переданы.

9.3.          В случае подтверждения факта неточности персональных данных, Оператор на основании сведений, представленных субъектом персональных данных или его представителем, либо уполномоченным органом по защите прав субъектов персональных данных, обязуется уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

9.4.          Оператор также прекращает обработку персональных данных или обеспечивает прекращение обработки персональных данных лицом, действующим по его поручению:

  • в случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по его поручению, в срок, не превышающий трех рабочих дней с даты этого выявления;
  • в случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператором, при отсутствии иных правовых оснований обработки персональных данных;
  • в случае достижения цели обработки персональных данных.

9.5.          Оператор обязан уничтожить персональные данные или обеспечить их уничтожение, если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора, в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных.

9.6.          В случае отсутствия возможности уничтожения персональных данных в течение указанного срока Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование, если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора, и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

 10. Ответственность за нарушение норм, регулирующих обработку персональных данных

 

10.1.        Оператор и/или работники Оператора, виновные в нарушении требований законодательства РФ в области персональных данных, а также положений настоящей Политики, несут предусмотренную законодательством Российской Федерации ответственность.

 

10.2.        Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации.