Политика по защите персональных данных
ПОЛИТИКА по защите персональных данных в ЗАО «Альянс-Лизинг»
Настоящая политика (далее — Политика) разработана в соответствии с:
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
и обеспечивает защиту прав субъектов персональных данных при обработке их персональных данных с использованием средств автоматизации или без использования таких средств, а также устанавливает ответственность лиц, имеющих доступ к персональным данным, за невыполнение требований, регулирующих обработку и защиту персональных данных.
I. Основные понятия
Компания — закрытое акционерное общество «Альянс-Лизинг»;
Субъект персональных данных — идентифицированное или неидентифицированное физическое лицо, в отношении которого производится обработка персональных данных;
Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации Субъекту Персональных данных, в том числе его фамилия, имя, отчество, дата и место рождения, паспортные данные, адрес, социальное, семейное и имущественное положение, профессия, доходы, биографические сведения и другая подобная информация, полученная Компанией на законных основаниях от Субъектов персональных данных, своих контрагентов и иных третьих лиц в результате ведения своей деятельности. Персональные данные являются конфиденциальной информацией.
Перечень обрабатываемых Компанией Персональных данных приведен в Приложении №1 к настоящей Политике;
Обработка — производимые с Персональными данными действия (операции), в том числе их сбор, систематизация, накопление, хранение, уточнение, использование, распространение, обезличивание, блокирование и уничтожение, совершаемые Уполномоченными сотрудниками Компании в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении Субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы Субъекта персональных данных или права других лиц;
Уполномоченные сотрудники — сотрудники Компании, уполномоченные обрабатывать Персональные данные, а также обеспечивать их защиту;
Клиент — физическое лицо, состоящее с Компанией в договорных отношениях либо имеющее намерение по установлению таких отношений, а равно физическое лицо, договорные отношения Компании с которым прекратились в течение четырех лет ДО момента утверждения настоящей Политики;
Сотрудник — физическое лицо, с которым у Компании заключен трудовой договор.
II. Общие положения
1. В процессе своей деятельности Компания обрабатывает Персональные данные с соблюдением конфиденциальности в отношении Персональных данных Клиентов и Сотрудников Компании.
2. Настоящая Политика применима ко всем случаям обработки Персональных данных Компанией или от имени Компании, вне зависимости от того, является обработка Персональных данных автоматизированной или неавтоматизированной.
3. Настоящая Политика является локальным нормативным актом Компании и является обязательной для исполнения всеми ее подразделениями.
4. Настоящая Политика не распространяется на данные, не относящиеся к определенному физическому лицу и данные, относящиеся к юридическим лицам.
III. Принципы обработки Персональных данных
1. Правомерность обработки
1.1. Компания проводит обработку Персональных данных в случаях, когда она оправдана необходимостью принятия решений или совершения иных действий, порождающих юридические последствия в отношении Субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы Субъекта персональных данных или права других лиц. Обработка Персональных данных должна быть обоснованной и целесообразной.
1.2. Компания производит обработку Персональных данных, помимо прочего, в целях:
1.2.1. исполнения возложенных на Компанию действующим законодательством, в том числе:
- Налоговым кодексом Российской Федерации,
- Федеральными законами «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных»,
- Уставом и нормативными актами Компании;
1.2.2. заключения, исполнения и прекращения договоров с физическими, юридическими лицами, индивидуальными предпринимателями и иными лицами;
1.2.3. организации кадрового учета Компании, обеспечения соблюдения законов и иных нормативных правовых актов, заключения трудовых договоров и исполнения обязательств из них, ведения кадрового делопроизводства;
1.2.4. осуществления медицинского страхования Сотрудников в установленных нормативными актами Компании случаях; предоставления Сотрудникам установленных льгот, компенсаций;
1.2.5. поддержания и повышения эффективности деятельности Компании, в том числе для оценки возможности заключения договоров с Субъектами персональных данных, реализации прав и обязанностей Компании по таким договорам, поддержания отношений с Субъектами персональных данных, выполнения маркетинговых исследований.
1.3. Обработке подлежат Персональные данные в количестве и объеме, соответствующих целям обработки.
1.4. Компания предпринимает все доступные технические и организационные меры для защиты Персональных данных от потери или их незаконного использования. Доступ к Персональным данным предоставляется исключительно Уполномоченным сотрудникам в тех случаях, когда это требуется для эффективного исполнения такими сотрудниками своих обязанностей.
1.5. Сроки обработки Персональных данных определяются в соответствии со сроками действия договоров с Субъектами персональных данных, установленными сроками хранения документов, иными требованиями законодательства, а также сроком, указанным Субъектом персональных данных в соответствующем согласии на их обработку в случаях, когда такое согласие должно быть предоставлено в соответствии с требованиями законодательства.
2. Обязанности Компании при получении Персональных данных
Компания обязана предоставить Субъектам персональных данных по их письменным просьбам следующую информацию, в том числе содержащую:
- подтверждение факта обработки Персональных данных Компанией;
- правовые основания и цели обработки Персональных данных;
- цели и применяемые Компанией способы обработки Персональных данных;
- наименование и место нахождения Компании, сведения о лицах (за исключением Сотрудников Компании), которые имеют доступ к Персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального закона;
- обрабатываемые Персональные данные, относящиеся к соответствующему Субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки Персональных данных, в том числе сроки их хранения;
- порядок осуществления Субъектом персональных данных прав, предусмотренных действующим законодательством о персональных данных;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку Персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные действующим законодательством.
2.2. При получении Персональных данных НЕ от Субъекта персональных данных Компания ДО начала их обработки информирует об этом Субъекта Персональных данных и сообщает ему:
- наименование и адрес Компании или ее представителя;
- цель обработки Персональных данных и ее правовое основание;
- сведения о предполагаемых пользователях Персональных данных;
- установленные законом права Субъекта персональных данных;
- источник получения Персональных данных.
2.3. Компания освобождается от обязанности предоставить Субъекту персональных данных указанные в пункте 2.2. настоящего раздела сведения в случаях, если:
- Субъект персональных данных уведомлен (в т.ч. третьими лицами) об осуществлении Компанией обработки его Персональных данных;
- Персональные данные получены Компанией на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных;
- Персональные данные сделаны Субъектом персональных данных общедоступными или получены из общедоступного источника;
- Компания осуществляет обработку персональных данных для статистических или иных исследовательских целей либо научной деятельности, если при этом не нарушаются права и законные интересы Субъекта персональных данных;
- предоставление Субъекту персональных данных сведений, предусмотренных пунктом 2.2, настоящего раздела нарушает права и законные интересы третьих лиц.
2.4. Применимый способ информирования Субъектов персональных данных об обстоятельствах, указанных в настоящем разделе, избирается Компанией самостоятельно применительно к каждому случаю направления уведомления. В случае, если прямое информирование Субъекта персональных данных невозможно ввиду отсутствия необходимых контактных данных, Компания потребует от лица, предоставившего Персональные данные, подтверждения факта информирования Субъекта персональных данных об обработке его Персональных данных Компанией.
3. Допуск к обработке Персональных данных
3.1. Персональные данные могут обрабатываться только Уполномоченными сотрудниками. Сотрудники, осуществляющие обработку Персональных данных, должны действовать в соответствии с должностными инструкциями, регламентами и другими распорядительными документами Компании, а также соблюдать требования Компании по обеспечению информационной безопасности. Обязанность по обеспечению безопасности Персональных данных при их обработке возлагается на обрабатывающих такие данные Уполномоченных сотрудников.
3.2. Сотрудникам, осуществляющим обработку Персональных данных, запрещается несанкционированное или нерегистрируемое копирование Персональных данных, в том числе с использованием отчуждаемых (сменных) носителей информации, мобильных устройств копирования и переноса информации, запоминающих устройств мобильных средств связи, а также устройств фото- и видеосъемки.
4. Привлечение третьих лиц к обработке Персональных данных
4.1. В случае привлечения третьих лиц к обработке Персональных данных Компанией будут предприняты все меры к обеспечению того, чтобы привлеченные к обработке Персональных данных лица действовали в соответствии с настоящей Политикой.
4.2. В случае, если Персональные данные получены Компанией от третьей стороны, Компания будет передавать их третьим лицам для обработки только в случае получения соответствующего согласия от Субъекта персональных данных.
IV. Права Субъекта персональных данных
1. Субъект персональных данных имеет право:
- на получение сведений об операторе, осуществляющем обработку его Персональных данных, о месте его нахождения, о наличии у такого оператора Персональных данных, относящихся к соответствующему Субъекту персональных данных, а также на ознакомление с такими Персональными данными;
- требовать от Компании уточнения своих Персональных данных, их блокирования или уничтожения в случае, если Персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленных целей обработки;
- требовать прекращения обработки своих Персональных данных, осуществляемой в маркетинговых целях;
- получать информацию, касающуюся обработки его Персональных данных, в том числе содержащую сведения, указанные п. 2.1. раздела III настоящей Политики.
2. Порядок предоставления информации Субъекту персональных данных
2.1. Доступ к соответствующим Персональным данным предоставляются Субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки Персональных данных оператором, подпись Субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
2.2. После получения запроса, указанного в п. 2.1. настоящего раздела, Компания сообщает Субъекту персональных данных или его представителю информацию о наличии Персональных данных, относящихся к соответствующему Субъекту персональных данных, а также предоставляет Субъекту персональных данных либо его представителю возможность ознакомления с соответствующими Персональными данными в течение 30 (тридцати) рабочих дней с даты получения соответствующего запроса.
2.3. Право Субъекта персональных данных на доступ к своим Персональным данным подлежит ограничению в случае, если предоставление таких Персональных данных нарушает конституционные права и свободы других лиц.
В случае отказа в предоставлении Субъекту персональных данных по его запросу информации о наличии соответствующих персональных данных либо персональных данных такой отказ должен быть мотивирован ссылкой на положение закона, являющееся основанием для такого отказа.
3. Требование Субъекта персональных данных о прекращении обработки его Персональных данных
3.1. Субъект персональных данных вправе требовать от Компании прекращения обработки своих Персональных данных в случае, если Персональные данные являются устаревшими, недостоверными, незаконно полученными либо не являются необходимыми для заявленной цели их обработки.
3.2. В течение 10 рабочих дней после получения Компанией соответствующего требования о прекращении обработки Персональных данных, Компания обязана проинформировать Субъекта персональных данных о возможности удовлетворения такого требования и о сроках его исполнения. Отказ в исполнении названного требования должен быть мотивированным.
4. Обработка запросов и требований Субъектов персональных данных
4.1. Обработка запросов и требований Субъектов персональных данных осуществляется Уполномоченными сотрудниками Компании. Ответы на соответствующие запросы предоставляются в указанные в настоящей Политике сроки.
V. Ответственность за неисполнение требований Политики
1. Защита прав Субъектов персональных данных, установленных настоящей Политикой и законодательством Российской Федерации, осуществляется в целях пресечения неправомерного использования Персональных данных, восстановления нарушенных прав и возмещения причиненного ущерба, в том числе морального вреда.
2. Сотрудники, виновные в нарушении норм, регулирующих получение, обработку и защиту Персональных данных, несут дисциплинарную, административную, гражданско-правовую и иную ответственность в соответствии с законодательством РФ.
3. Общий контроль за соблюдением Сотрудниками мер по защите Персональных данных осуществляет Начальник отдела кадров Компании.
Приложение №1
к Политике по защите персональных данных
в ЗАО «Альянс-Лизинг»
Сведениями, составляющими Персональные данные, в целях их обработки Компанией является любая информация, относящаяся к определенному либо определяемому на основании такой информации физическому лицу (Субъекту персональных данных), в том числе:
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ);
- фамилия, имя, отчество (в т.ч. прежние), дата и место рождения;
- биографические сведения;
- образование;
- специальность/профессия;
- занимаемая должность;
- адрес места регистрации по месту жительства (по месту пребывания), а также фактический адрес проживания;
- домашний и мобильный телефон (при наличии);
- сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки, о повышении квалификации либо о переподготовке;
- сведения о трудовой деятельности (данные о трудовой деятельности на текущее время с полным указанием должности, подразделения, наименования организации, ИНН такой организации, а также ее адреса и телефонов, а также данные о предшествующих работодателях);
- сведения о номере, серии и дате выдачи трудовой книжки (вкладыша в нее) и записях в ней;
- сведения о заработной плате (в т.ч. номера счетов для расчетов с работниками, данные по должностному окладу, надбавкам, налогам);
- сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу (серия, номер, дата выдачи, наименование органа, выдавшего военный билет, военно-учетная специальность, воинское звание, данные о принятии на учет/снятии с учета);
- сведения о семейном положении (состояние в браке, данные свидетельства о заключении брака, фамилия, имя, отчество и дата рождения супруга (супруги), фамилии, имена, отчества и даты рождения других членов семьи);
- сведения об имущественном положении Субъекта персональных данных;
- сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
- сведения об идентификационном номере налогоплательщика;
- сведения из страховых полисов обязательного и/или добровольного медицинского страхования;
- сведения, указанные в оригиналах и копиях приказов по личному составу Компании и материалах к ним;
- материалы по аттестации и оценке Сотрудников;
- материалы по внутренним служебным расследования в отношении Сотрудников;
- материалы по расследованию и учету несчастных случаев на производстве и профессиональным заболеваниям в соответствии с Трудовым кодексом Российской Федерации;
- сведения о временной нетрудоспособности Сотрудников;
- табельные номера Сотрудников;
- сведения о социальных льготах и о социальном статусе.