Политика по обработке персональных данных

1. Общие положения Политика Акционерного Общества «Эксперт Инвест» (далее - Общество) в отношении персональных данных (далее – Политика Общества) разработана в соответствии с требованиями Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных» (далее ФЗ №152) и иных нормативно- правовых актов и применяется в отношении всех персональных данных, обрабатываемых Обществом в процессе осуществления своей деятельности. Политика Общества разработана в целях доведения до сведения лиц, персональные данные которых обрабатываются Обществом (далее – субъекты персональных данных), информации о перечне обрабатываемых персональных данных, целях и способах обработки указанных данных, о принимаемых мерах по их защите, а также иной информации, связанной с обработкой персональных данных указанных субъектов. Обработка персональных данных осуществляется Обществом с согласия субъекта персональных данных на обработку его персональных данных в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Общество оставляет за собой право вносить необходимые изменения в Политику Общества, в том числе в связи с изменениями действующего законодательства Российской Федерации.

2. Перечень обрабатываемых персональных данных Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В рамках своей деятельности Общество осуществляет сбор и обработку следующих персональных данных: - фамилия, имя, отчество, - пол, - дата рождения и место рождения, - данные документа, удостоверяющего личность; - адрес электронной почты; - контактные телефоны; - название и реквизиты банка, номер расчетного счета; - номер банковской карты. В отношении работников Общества могут дополнительно обрабатываться следующие сведения: об образовании, о владении иностранными языками, о трудовой деятельности, о поощрениях, взысканиях и наградах; о семейном положении, составе и членах семьи, паспортные данные, контактные телефоны; сведения адресного характера, сведения о производственной деятельности; данные для обеспечения льгот и гарантий, данные аттестаций и характеристик, сведения о профессиональном образовании, профессиональной переподготовке, сведения о доходах, имуществе и обязательствах имущественного характера; о прохождении медицинских профилактических осмотров, о частичной или временной нетрудоспособности, данные оценки эффективности работников. Указанный перечень не является исчерпывающим, в него могут вноситься изменения.

3. Принципы обработки персональных данных Общество осуществляет обработку персональных данных с соблюдением установленных законодательством требований и процедур, руководствуясь следующими принципами. Обработка персональных данных осуществляется Обществом на законной и справедливой основе. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Общество обеспечивает, чтобы содержание и объем обрабатываемых персональных данных соответствовали заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество принимает необходимые меры либо обеспечивает принятие соответствующих мер по удалению или уточнению неполных или неточных данных. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются с невозможностью соотнести их с конкретным субъектом персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Общество и иные лица, получившие доступ к персональным данным, принимают меры по предотвращению раскрытия третьим лицам и распространения персональных данных, в случаях, если отсутствует согласие субъекта персональных данных на такое раскрытие и если иное не предусмотрено федеральным законом.

4. Цели и условия обработки персональных данных Общество осуществляет сбор и обработку персональных данных субъектов в целях: - оказания услуг субъекту персональных данных; - обработки запросов субъектов персональных данных; - анализа персональных данных субъекта в целях улучшения сервисного обслуживания. Обработка персональных данных Обществом допускается, в частности, в следующих случаях: - обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; - обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; - обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей; - в иных случаях, предусмотренных законодательством.

5. Лица, имеющие доступ к персональным данным Доступ к персональным данным имеют работники Общества, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей. Перечень должностей, которым необходим доступ к персональным данным, утверждается приказом Общества. В случае если Обществу оказывают услуги юридические или физические лица на основании заключенных договоров (или иных оснований) и в силу таких договоров они должны иметь доступ к персональным данным, то соответствующие персональные данные предоставляются только при условии подписания с указанными лицами соглашения о неразглашении конфиденциальной информации либо при наличии в упомянутых выше договорах положений о конфиденциальности. Локальными актами Общества предусмотрена процедура оформления допуска работника к персональным данным, а также перечень лиц, имеющих такой доступ без специального разрешения. Доступ к персональным данным лицам, не включенным в указанный перечень и не прошедшим процедуру оформления доступа, запрещен.

6. Способы обработки Обществом персональных данных Под обработкой персональных данных в рамках Политики Общества понимается любое действие (операция) или совокупность действий (операций), совершаемых как с использованием средств автоматизации, так и без него, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Обществом не производится принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы на основании исключительно автоматизированной обработки персональных данных.

7. Сроки обработки персональных данных Сроки обработки персональных данных определяются исходя из целей обработки персональных данных в соответствии с требованиями законодательства. Персональные данные, обрабатываемые в информационных системах Общества, уничтожаются в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных либо с момента прекращения их обработки или обезличивания, если иное не определено законом. 8. Меры по обеспечению защиты персональных данных при их обработке, принимаемые Обществом Общество самостоятельно определяет состав и перечень мер, направленных на реализацию положений законодательства о персональных данных и на защиту персональных данных при их обработке. В частности, Общество: - обеспечивает осуществление внутреннего контроля соответствия обработки персональных данных положениям ФЗ №152 и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Общества в отношении обработки персональных данных, локальным актам Общества; - осуществляет ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных; - обеспечивает определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных; - осуществляет применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; - устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; - осуществляет постоянный контроль уровня защищенности персональных данных; - принимает иные меры, направленные на обеспечение защиты персональных данных при их обработке.