logo

Документ

Политика обработки персональных данных

Документ определяет подходы ООО «Белуха Финансовый Консалтинг» к сбору, использованию, защите и хранению персональных данных пользователей и партнёров E.Car.

1. Общие положения Политики

Общество с ограниченной ответственностью ООО «Белуха Финансовый Консалтинг» (далее – «Оператор») считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных (далее – «ПД»), а также обеспечение безопасности процессов их обработки.

Настоящая Политика об организации обработки и обеспечения безопасности ПД (далее – «Политика») разработана и применяется в целях прозрачного информирования субъектов ПД и их представителей.

Автоматизированная обработка ПД
обработка ПД с помощью средств вычислительной техники.
Безопасность ПД
защищенность ПД от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
Биометрические ПД
сведения, характеризующие физиологические и биологические особенности человека и используемые для установления личности субъекта ПД.
Блокирование ПД
временное прекращение обработки ПД (за исключением случаев, когда обработка необходима для уточнения ПД).
ИСПД
информационная система персональных данных – совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств.
Компьютерный инцидент
любое реальное или предполагаемое событие, имеющее отношение к безопасности информационной или телекоммуникационной системы.
Материальный носитель ПД
материальный объект, используемый для закрепления и хранения речевой, звуковой или изобразительной информации (ПД), в том числе в преобразованном виде.
Неавтоматизированная обработка ПД
обработка ПД без помощи средств вычислительной техники.
Обработка ПД
любое действие (операция) или совокупность действий (операций) с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение.
Обработка ПД без использования средств автоматизации
обработка ПД, содержащихся в ИСПД либо извлеченных из нее, если использование, уточнение, распространение и уничтожение осуществляется при непосредственном участии человека.
Общедоступные источники ПД
источники персональных данных, создаваемые в целях информационного обеспечения.
Оператор
ООО «Белуха Финансовый Консалтинг» (121552, г. Москва, Шоссе Рублёвское, д. 101, ИНН 9703105331, КПП 773101001), самостоятельно или совместно с другими лицами организующее обработку ПД.
Оценка возможного вреда
определение уровня вреда на основании учёта причинённых убытков, морального вреда и нарушений конфиденциальности, целостности и доступности ПД.
ПД
персональные данные – любая информация, относящаяся к прямо или косвенно определенному физическому лицу.
Политика
настоящая политика Оператора об организации обработки и обеспечения безопасности ПД.
Передача ПД
распространение, предоставление или доступ к ПД.
Субъект ПД
физическое лицо, к которому относятся соответствующие персональные данные.
СЗИ
средства защиты информации.
Работник
физическое лицо, вступившее в трудовые отношения с Оператором.
Распространение ПД
действия, направленные на раскрытие ПД неопределенному кругу лиц.
РФ
Российская Федерация.
152-ФЗ
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
Уничтожение ПД
действия, делающие невозможным восстановление содержания ПД в информационной системе ПД и (или) уничтожающие материальные носители ПД.
Трансграничная передача ПД
передача ПД на территорию иностранного государства органам власти или иным лицам.
Третьи лица
физические и юридические лица, действующие как в собственных интересах, так и представляющие интересы третьих сторон в отношениях с Оператором.
  • Политика разработана в целях реализации требований законодательства РФ в области обработки и защиты ПД.
  • Документ раскрывает способы и принципы обработки Оператором ПД, права и обязанности сторон, а также описывает применяемые меры защиты.
  • Политика является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке и защите ПД.
  • В Политике используются понятия, сокращения и аббревиатуры, приведенные ниже.

2. Принципы, цели и содержание обработки ПД

Оператор обеспечивает соблюдение принципов обработки ПД, указанных в ст. 5 152-ФЗ, и осуществляет обработку только для конкретных и законных целей.

Описание целей обработки ПД, состава сведений, категорий субъектов, правовых оснований, сроков обработки и хранения, способов обработки и действий приведено в Приложении №1 к Политике.

Полное справочно-информационное описание обработки ПД отражается в локальных нормативных актах Оператора. Субъекты ПД могут обратиться к Оператору с запросом для реализации своих прав и защиты законных интересов.

3. Особенности сбора и иной обработки ПД

ПД могут быть получены Оператором напрямую от субъекта ПД, его представителя или иным способом, не запрещённым законом.

При сборе ПД Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение и извлечение ПД граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением прямо предусмотренных законом случаев.

Для обработки ПД могут применяться информационные системы, автоматизированные рабочие места, отчуждаемые машинные носители, бумажные носители, внутренняя сеть Оператора и информационно-телекоммуникационные сети (включая сеть Интернет) с ограниченным доступом.

4. Передача ПД

Для достижения целей обработки ПД Оператор вправе привлекать третьих лиц и передавать им ПД при условии соблюдения конфиденциальности и безопасности данных.

Третьи лица могут привлекаться на основании поручений или без них, в том числе для трансграничной передачи ПД. Ответственность за несоблюдение требований лежит на таких лицах в рамках договоров и законодательства.

  • К третьим лицам могут относиться:
    • лица, имеющие право получать ПД в случаях, предусмотренных законодательством;
    • лица, в пользу которых может быть произведена уступка прав и (или) обязанностей Оператора;
    • правопреемники (инвесторы) Оператора и (или) его аффилированные лица при реорганизации, слиянии, поглощении, ликвидации или отчуждении активов;
    • иные лица, с которыми Оператор взаимодействует или может взаимодействовать для достижения целей обработки ПД.
  • Фактический состав третьих лиц определяется с учётом отношений между Оператором и субъектом ПД, законодательства, договоров и согласий субъектов.
  • Оператор может создавать общедоступные источники ПД и осуществлять распространение ПД только с согласия субъекта ПД или на основании законодательства.

5. Условия прекращения обработки ПД и порядок уничтожения ПД

  • Обработка ПД прекращается при достижении целей, истечении сроков хранения или утрате необходимости в обработке.
  • Процедура завершения обработки запускается при выявлении неправомерной обработки, невозможности обеспечить правомерность обработки или при отзыве согласия субъекта ПД.
  • Требование субъекта ПД о прекращении обработки исполняется, за исключением случаев, предусмотренных законодательством.
  • Обработка прекращается при истечении сроков исковой давности, ликвидации или отдельных форм реорганизации Оператора.
  • Прекращение обработки, регулируемой 152-ФЗ, осуществляется путем блокирования и (или) уничтожения ПД, а также в порядке, предусмотренном законодательством об архивном деле.
  • При невозможности незамедлительного уничтожения ПД Оператор блокирует их и уничтожает в течение шести месяцев, если иной срок не установлен законодательством.
  • Уничтожение ПД производится способом, исключающим возможность восстановления, вместе с материальными носителями (при необходимости).
  • Факты уничтожения ПД фиксируются в порядке, установленном уполномоченным органом по защите прав субъектов ПД.

6. Меры по организации обработки и обеспечению безопасности ПД

Оператор принимает правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

  • назначение ответственных лиц за обработку ПД и обеспечение безопасности ПД в ИСПД;
  • издание документов, определяющих политику и локальные акты по обработке ПД, а также процедуры предотвращения нарушений;
  • внутренний контроль и (или) аудит соответствия обработки ПД требованиям законодательства;
  • оценка вреда, который может быть причинён субъектам ПД, и соотнесение его с принимаемыми мерами защиты;
  • ознакомление и обучение лиц, допущенных к обработке ПД, требованиям законодательства и локальным актам;
  • определение угроз безопасности ПД и применение организационных и технических мер, обеспечивающих конфиденциальность, целостность и доступность данных;
  • применение сертифицированных средств защиты информации при необходимости нейтрализации актуальных угроз;
  • оценка эффективности мер по обеспечению безопасности ПД до ввода в эксплуатацию ИСПД;
  • определение мест хранения материальных носителей ПД, обеспечение их учёта, сохранности и раздельного хранения;
  • запрет на объединение баз ПД, если обработка ведётся в несовместимых целях;
  • обнаружение фактов несанкционированного доступа и принятие мер по предупреждению и ликвидации последствий компьютерных атак;
  • восстановление ПД, модифицированных или уничтоженных вследствие инцидентов;
  • установление правил доступа к ПД и учёт всех действий в ИСПД;
  • контроль уровня защищённости ИСПД и мер безопасности;
  • установление перечня лиц, допущенных к автоматизированной и неавтоматизированной обработке ПД, и ограничение доступа для прочих лиц;
  • информирование лиц, обрабатывающих ПД без автоматизации, о категориях данных и правилах обработки;
  • организация режима безопасности помещений, где обрабатываются ПД или размещены средства обработки;
  • уничтожение ПД способом, исключающим восстановление, и подтверждение уничтожения в установленном порядке;
  • формирование моделей угроз безопасности ПД и разработка систем защиты с учётом уровней защищенности ИСПД;
  • установка и эксплуатация СЗИ согласно документации, обучение пользователей СЗИ и учёт применяемых средств;
  • учёт лиц, допущенных к работе с ПД, и контроль соблюдения условий использования СЗИ;
  • проведение проверок по фактам нарушений условий хранения ПД и эксплуатации СЗИ;
  • уведомление уполномоченных органов о фактах неправомерной или случайной передачи ПД;
  • обеспечение взаимодействия с ГосСОПКА, включая информирование уполномоченного федерального органа о компьютерных инцидентах, повлекших неправомерную передачу ПД.

7. Лицо, ответственное за организацию обработки ПД

Права, обязанности и ответственность ответственного лица установлены ст. 22.1 152-ФЗ и локальными актами Оператора.

Назначение и освобождение ответственного осуществляется решением Оператора с учетом компетенции и личных качеств специалиста.

  • организация внутреннего контроля соблюдения Оператором законодательства о ПД и требований к защите данных;
  • обеспечение ознакомления лиц, обрабатывающих ПД, с законодательством, локальными актами и требованиями к защите;
  • контроль приёма и обработки обращений и запросов субъектов ПД или их представителей.

8. Лицо, ответственное за обеспечение безопасности ПД в ИСПД

Для каждой ИСПД назначается должностное лицо, ответственное за обеспечение безопасности ПД. Одно лицо может отвечать за несколько ИСПД.

Ответственный обеспечивает сохранность ПД, реализует технические меры защиты, помогает предотвращать компьютерные инциденты и участвует в расследованиях.

9. Права субъектов ПД

  • получать сведения об обработке своих ПД Оператором;
  • требовать уточнения, блокирования или уничтожения ПД, если они неполные, устаревшие, неточные, незаконно полученные или лишние для заявленных целей;
  • реализовывать права с учётом ограничений, предусмотренных федеральными законами (например, для защиты прав третьих лиц);
  • в любой момент отозвать согласие на обработку ПД полностью или частично, за исключением случаев, предусмотренных ст. 6, 10 и 11 152-ФЗ;
  • обратиться к Оператору любым доступным способом для защиты прав и законных интересов;
  • подавать жалобы в уполномоченный орган по защите прав субъектов ПД и обжаловать действия или бездействие Оператора;
  • требовать возмещения убытков и (или) компенсации морального вреда в судебном порядке.

10. Доступ к Политике и коммуникация с Оператором

  • Актуальная редакция Политики хранится по адресу исполнительного органа Оператора и опубликована на интернет-ресурсах Оператора.
  • По вопросам обработки ПД субъект может обратиться к Оператору личным письменным обращением, почтовым отправлением или письмом на электронный адрес info@ecar.agency (подписанным усиленной квалифицированной электронной подписью либо в виде скан-копии подписанного обращения).

11. Порядок утверждения и внесения изменений в Политику

  • Политика утверждается решением Оператора и действует до её отмены.
  • Оператор вправе вносить изменения по мере необходимости; изменения утверждаются решением Оператора.
  • Политика пересматривается не реже одного раза в три года и публикуется с указанием срока начала действия.
  • Внеплановый пересмотр возможен при изменении нормативного регулирования, локальных актов, фактического порядка обработки ПД, структуры Оператора, взаимоотношений с субъектами ПД, а также по итогам анализа инцидентов или других факторов, влияющих на обработку ПД.

12. Ответственность

Лица, виновные в нарушении норм, регулирующих обработку и защиту ПД, несут ответственность, предусмотренную законодательством РФ, локальными актами Оператора и договорами с третьими лицами.