Версия для слабовидящих
закрыть
Размер шрифта:
Цветовая схема:
8-800-300-80-90

ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие положения

1.1. Политика в отношении обработки и защиты персональных данных в Акционерном обществе «Пермский гарантийный фонд» (далее - Политика) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в Акционерном обществе «Пермский гарантийный фонд» (далее - Общество).

1.2. Настоящая Политика определяет способы и принципы обработки персональных данных в Обществе, права и обязанности Общества при обработке персональных данных, а также включает перечень мер, реализуемых в Обществе в целях обеспечения безопасности персональных данных при их обработке.

1.3. Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации, в том числе с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

2. Основные понятия и определения

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Смешанная обработка персональных данных – обработка персональных данных с помощью средств автоматизации, а также без нее.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Биометрические персональные данные - данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку с использованием информационных технологий и технических средств.

Контрагент – физическое лицо, заключившее договор с Обществом, за исключением договоров поручительства и/или договоров о предоставлении поручительства.

Заявитель (потенциальный заемщик) – лицо, подавшее в Общество заявку (заявление-анкету, заявление) на получение гарантии/ поручительства в рамках НГС.

Заемщик – лицо, заключившее договор поручительства и/или договор о предоставлении поручительства с Обществом.

Поручитель - лицо, заключившее договор поручительства с Обществом 


3. Категории субъектов персональных данных, чьи данные обрабатываются в АО «ПГФ»

3.1. Сведениями, составляющими персональные данные, в Обществе является любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

3.2. В целях обработки персональных данных Общество определяет следующие категории субъектов персональных данных:

3.3.1 Персональные данные контрагентов, потенциальных контрагентов, представителей контрагентов. Обработке подлежат следующие персональные данные: фамилия, имя, отчество, дата рождения, адрес места жительства (адрес регистрации, фактического проживания и (или) почтовый адрес), реквизиты документа, удостоверяющего личность, идентификационный номер налогоплательщика (при наличии), банковские реквизиты. Об работка осуществляется в целях реализации прав и обязанностей Общества в рамках договорных отношений с Контрагентом.

3.1.1. Персональные данные Заявителя – потенциального заемщика. Обработке подлежат следующие персональные данные: фамилия, имя, отчество, дата рождения, место рождения, адрес места жительства (адрес регистрации, фактического проживания и (или) почтовый адрес), гражданство, реквизиты документа, удостоверяющего личность, идентификационный номер налогоплательщика (при наличии), место ведения бизнеса (адрес, наименование), среднесписочная численность работников, информация о действующих кредитах и займах, бухгалтерская отчетность,  сведения о государственной регистрации (индивидуального предпринимателя, юридического лица), сведения о доходах, расходах, открытых банковских счетах (для индивидуального предпринимателя, юридического лица), сведения о собственности, в т.ч. нотариально удостоверенное согласие супруга/супруги, если предмет залога приобретен в период брака, сведения о финансовых показателях предпринимательской деятельности. Обработка персональных данных осуществляется в целях принятия решения о предоставлении / отказе в предоставлении поручительства. 

3.3.2. Персональные данные Заемщика. Обработке подлежат следующие персональные данные: фамилия, имя, отчество, дата рождения, место рождения, адрес места жительства (адрес регистрации, фактического проживания и (или) почтовый адрес), гражданство, реквизиты документа, удостоверяющего личность, идентификационный номер налогоплательщика (при наличии), место ведения бизнеса (адрес, наименование), среднесписочная численность работников, информация о действующих кредитах и займах, бухгалтерская отчетность,  сведения о государственной регистрации (индивидуального предпринимателя, юридического лица), сведения о доходах, расходах, открытых банковских счетах (для индивидуального предпринимателя, юридического лица сведения о собственности, в т.ч. нотариально удостоверенное согласие супруга/супруги, если предмет залога приобретен в период брака, сведения о финансовых показателях предпринимательской деятельности. Обработка персональных данных осуществляется в целях минимизации рисков Общества, связанных с нарушением Заемщиками долговых обязательств по заключенным договорам.

3.3.3. Персональные данные Поручителей.  Обработке подлежат следующие персональные данные: фамилия, имя и отчество, дата рождения, место рождения, адрес места жительства (адрес регистрации, фактического проживания и (или) почтовый адрес), реквизиты документа, удостоверяющего личность, контактная информация. 

3.3.4. Персональные данные работников. Обработке подлежат следующие персональные данные: фамилия, имя, отчество, дата рождения, место рождения, адрес места жительства (адрес регистрации, фактического проживания), гражданство, данные об образовании, данные о трудовой занятости (профессия, стаж работы), сведения о семейном положении, о составе семьи, реквизиты документа, удостоверяющего личность, сведения о воинском учете, сведения об аттестации, о повышения квалификации, профессиональной переподготовке, сведения о наградах, поощрениях, почетных званиях, сведения об отпусках, сведения о социальных гарантиях, контактные телефоны, идентификационный номер налогоплательщика, номер страхового свидетельства государственного пенсионного страхования, сведения о знании иностранных языков, сведения о доходах физического лица в форме справок: справка о доходах физического лица 2 НДФЛ, справка о сумме заработной платы, номер текущего счета и (или) номер банковской карты, сведения о судимостях (в случаях, установленных законодательством российской Федерации).

3.3.5. Персональные данные родственников работника. Обработке подлежат следующие персональные данные: фамилия, имя и отчество, дата рождения, место рождения, адрес места жительства (адрес регистрации, фактического проживания и (или) почтовый адрес), место работы, занимаемая должность. 

3.3.6. Персональные данные соискателей. Обработке подлежат следующие персональные данные: фамилия, имя, отчество, дата рождения, адрес места жительства, реквизиты документа, удостоверяющего личность, данные об образовании, сведения об аттестации, о повышения квалификации, профессиональной переподготовке, опыт работы, контактные телефоны. Обработка персональных данных осуществляется в целях принятия решения о принятии соискателя на вакантную должность в АО «ПГФ». 

3.3.7. Персональные данные Членов Совета директоров. Обработке подлежат следующие персональные данные: фамилия, имя, отчество, дата рождения, место рождения, адрес места жительства (адрес регистрации, фактического проживания), гражданство, данные об образовании, данные о трудовой занятости (профессия, стаж работы), реквизиты документа, удостоверяющего личность, контактные телефоны, идентификационный номер налогоплательщика, номер страхового свидетельства государственного пенсионного страхования, сведения о судимостях, сведения о наличии исполнительных производств по корпоративным спорам, спорам в сфере предпринимательской деятельности, сведения о членстве в органах управления юридических лиц, и организаций, сведения о владении акциями (долями в уставном (складочном) капитале) Общества и его аффилированных лиц, сведения о владении акциями (долями в уставном (складочном) капитале) других юридических лиц.

3.4. В АО «ПГФ» не осуществляется обработка биометрических, а также специальных категорий персональных данных касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, биометрических персональных данных, без письменного согласия субъекта персональных данных на обработку специальных категорий персональных данных.


4. Цели и основания для обработки персональных данных

4.1. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

4.2. Общество осуществляет обработку персональных данных в следующих случаях:

4.2.1. осуществления финансовых операций и иной деятельности, предусмотренной Уставом АО «ПГФ», действующим законодательством РФ, в частности:

           - Трудовым кодексом Российской Федерации;

            - Федеральным законом от 24 июля 2007 г. №209-ФЗ «О развитии малого и среднего предпринимательства в Российской Федерации»;

            - Приказом Минэкономразвития России от 28 ноября 2016 № 763 «Об утверждении требований к фондам содействия кредитованию (гарантийным фондам, фондам поручительств) и их деятельности»

            - Федеральным законом от 26 декабря 1995 г. N 208-ФЗ «Об акционерных обществах»;

- Федеральным законом от 30.12.2004 №218-ФЗ «О кредитных историях»;

            - иными нормативно-правовыми актами Российской Федерации и нормативными документами уполномоченных органов государственной власти.

4.2.2. оформления заявок на предоставление гарантий/поручительств, изменения условий предоставления гарантий/поручительств, а также рассмотрение соответствующих заявок Обществом, сопровождаемое проверкой благонадежности Заемщика, его участников/акционеров, единоличных исполнительных органов, правоспособности Заемщика;

4.2.3. заключения, исполнения и прекращения договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и Уставом Общества;

4.2.4. заключения и последующего исполнения договоров поручительства и договоров предоставления поручительств, договора залога, заключенных между Заемщиком, Поручителем, Залогодателем и Обществом;

4.2.5. принудительного взыскания дебиторской задолженности;

4.2.6. получения кредитных отчетов в бюро кредитных историй;

4.2.7. осуществления и выполнения функций, полномочий и обязанностей Общества, возложенных на него законодательством Российской Федерации

4.2.8. осуществления прав и законных интересов Общества;

4.2.9. иные цели, для достижения которых в соответствии с законодательством Российской Федерации АО «ПГФ» вправе обрабатывать персональные данные субъекта персональных данных.



5. Основные принципы обработки персональных данных

5.1. Обработка персональных данных Обществом осуществляется на основе принципов:

5.1.1. законности целей и способов обработки персональных данных;

5.1.2. добросовестности Общества, как оператора персональных данных, что достигается путем выполнения требований законодательства Российской Федерацией в отношении обработки персональных данных;

5.1.3. достижения конкретных, заранее определенных целей обработки персональных данных;

5.1.4. соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;

5.1.5. соответствия состава и объема обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям обработки;

5.1.6. достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям обработки персональных данных;

5.1.7. обеспечения при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Общество принимает необходимые меры и обеспечивает их принятие по удалению или уточнению неполных, или неточных данных;

5.1.8. недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях несовместимых между собой;

5.1.9. хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.

5.2. Работники Общества, допущенные к обработке персональных данных, обязаны:

5.2.1. знать и выполнять положения:

- законодательства Российской Федерации в области персональных данных;

- настоящей Политики;

- локальных актов по вопросам обработки персональных данных.

5.2.2. обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;

5.2.3. не разглашать персональные данные, обрабатываемые в Обществе;

5.2.4. сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики либо об известных фактах нарушения требований настоящей Политики Лицу, ответственному за организацию обработки персональных данных в Обществе.

5.3. В целях обеспечения безопасности персональных данных, в документы (договоры, соглашения, иное), устанавливающие права и обязанности Общества и его контрагентов, вносятся условия обработки персональных данных.

5.4. Безопасность персональных данных в АО «ПГФ» обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем персональных данных в случае реализации угроз.



6. Обработка персональных данных

6.1. Обработка персональных данных допускается в следующих случаях:

6.1.1. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

6.1.2. обработка персональных данных осуществляется в связи с участием субъекта в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

6.1.3. обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

6.1.4. обработка персональных данных необходима для исполнения договора, стороной которого либо поручителем, является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться поручителем;

6.1.5. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

6.1.6. обработка персональных данных необходима для осуществления прав и законных интересов Общества при осуществлении деятельности по возврату дебиторской задолженности, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

6.1.7. обработка персональных данных осуществляется в статистических или иных исследовательских целях (за исключением обработки персональных данных в целях продвижения товаров, работ, услуг на рынке), при условии обязательного обезличивания персональных данных;

6.1.8. осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);

6.1.9. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.

6.1.10. осуществляется обработка персональных в иных случаях, установленных ч. 1 ст. 6 ФЗ «О персональных данных».

6.2. Согласие субъекта персональных данных на обработку его персональных данных:

6.2.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.

6.2.2. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

6.2.3. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством Российской Федерации.

В случае недееспособности субъекта персональных данных, согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

В случае смерти субъекта персональных данных, согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных, полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Обществом.

Персональные данные могут быть получены Обществом от лица, не являющегося субъектом персональных данных, при условии предоставления Обществом подтверждения наличия оснований, указанных в пунктах 6.1.2. – 6.1.10. настоящей Политики.

6.2.4. В случаях, предусмотренных законодательством Российской Федерации, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

6.2.5. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с законодательством Российской Федерации электронной подписью.

6.2.6. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя:

- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

- подпись субъекта персональных данных.

6.3. Согласие субъекта персональных данных на обработку его персональных данных оформляется в соответствии с требованиями действующего законодательства РФ и внутренней нормативной документации Общества.

6.4. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных путем направления, а адрес общества письменного заявления об отзыве своего согласия на обработку персональных данных.

В случае отзыва субъектом персональных данных согласия на обработку персональных данных, Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 6.1.2. – 6.1.10. настоящей Политики.

В случае отзыва субъектом персональных данных согласия на обработку его персональных данных АО «ПГФ» обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.

6.5. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в 6.1.2. – 6.1.10. настоящей Политики, возлагается на АО «ПГФ».

6.6. При идентификации субъекта персональных данных Оператор может затребовать предъявления документов, удостоверяющих личность субъекта и подтверждающих полномочия представителя.

6.7. Субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны.

6.8. Обработка персональных данных в Обществе осуществляется следующими способами:

6.8.1. с использованием средств автоматизации;

6.8.2. без использования средств автоматизации.

6.9. Обработка персональных данных заявителей, заёмщиков, поручителей осуществляется с использованием автоматизированной информационной системы «1С: Предприятие».

6.10. При принятии решений, затрагивающих интересы субъекта, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки.

6.11. В Обществе организован прием и обработка обращений и запросов субъектов персональных данных или их представителей и осуществляется контроль за приемом и обработкой таких обращений и запросов.

6.12. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора, условием которого является соблюдение конфиденциальности или неразглашение персональных данных.

6.13. АО «ПГФ» вправе передавать персональные данные Субъекта следующим лицам, включая, но не ограничиваясь:

6.14. Если предоставление персональных данных является обязательным в соответствии законодательством Российской Федерации, Общество разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

6.15. В целях подтверждения достоверности сведений, указанных Обществом в процессе оформления заявки на получении гарантии/поручительства, а также получения информации, необходимой для принятия решения о предоставлении гарантии/поручительства, вправе направлять запросы в бюро кредитных историй. Общество вправе самостоятельно выбрать конкретное бюро кредитных историй для направления соответствующих запросов.

6.16. В рамках реализации своего права на проверку достоверности, указанной субъектом информации Общество также вправе проводить проверку и уточнение предоставленных субъектом данных посредством устных или письменных обращений к лицам, контактные данные которых были предоставлены субъектом Обществу.

6.17. При получении персональных данных не от субъекта персональных данных, Общество до начала обработки таких персональных данных обязано предоставить субъекту персональных данных следующую информацию:

- наименование либо фамилия, имя, отчество и адрес оператора или его представителя; 

- цель обработки персональных данных и ее правовое основание;

- предполагаемые пользователи персональных данных;

- права субъекта персональных данных;

- источник получения персональных данных.

6.18. Общество освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные п. 6.15. настоящей Политики, в случаях, если:

- субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим Оператором;

- персональные данные получены Оператором на основании норм законодательства Российской Федерации или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;

- персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

- оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

- предоставление субъекту персональных данных сведений, предусмотренных п. 6.15 настоящей Политики, нарушает права и законные интересы третьих лиц.


7. Предоставление доступа к персональным данным

7.1. Право доступа к персональным данным Контрагента, представителя Контрагента имеют:

- генеральный директор Общества;

- заместитель генерального директора Общества;

- главный бухгалтер;

- работники отдела учета и отчетности;

- работники отдела экономической безопасности;

- руководители структурных подразделений по направлению деятельности;

- работники юридического отдела;

- работники внутреннего контроля;

- субъект персональных данных, его представитель.

7.2. Право доступа к персональным данным Заявителя (потенциального заемщика):

- генеральный директор Общества;

- заместитель генерального директора Общества;

- главный бухгалтер;

- работники отдела экономической безопасности;

- работники отдела содействия кредитованию малого и среднего бизнеса;

- работники юридического отдела;

- руководитель отдела рисков;

- работники отдела внутреннего контроля;

- субъект персональных данных, его представитель.

7.3. Право доступа к персональным данным Заемщика, Поручителя имеют:

- генеральный директор Общества;

- заместитель генерального директора Общества;

- главный бухгалтер;

- работники отдела учета и отчетности;

- работники отдела экономической безопасности;

- работники отдела содействия кредитованию малого и среднего бизнеса;

- работники юридического отдела;

- руководитель отдела рисков;

- работники отдела внутреннего контроля;

- субъект персональных данных, его представитель.

7.4. Право доступа к персональным данным членов Совета директоров Общества имеют:

- генеральный директор Общества;

- заместитель генерального директора Общества;

- главный бухгалтер;

- работники отдела внутреннего контроля;

- субъект персональных данных, его представитель.

7.5. Право доступа к персональным данным работников имеют:

- генеральный директор Общества;

- заместитель генерального директора Общества;

- главный бухгалтер/ заместитель главного бухгалтера;

- работники отдела экономической безопасности;

- руководители структурных подразделений по направлению деятельности (доступ к персональным данным только работников своего подразделения);

- работники отдела внутреннего контроля;

- субъект персональных данных, его представитель.

7.6. Право доступа к персональным данным родственников работников имеют:

- генеральный директор Общества;

- главный бухгалтер/ заместитель главного бухгалтера;

- субъект персональных данных, его представитель.

7.7. Право доступа к персональным данным соискателей Общества имеют:

- генеральный директор Общества;

- заместитель генерального директора Общества;

- руководители структурных подразделений по направлению деятельности (доступ к персональным данным только соискателей на должность в своем подразделении);

- субъект персональных данных, его представитель.

7.8. Работник, получивший допуск к персональным данным, должен быть ознакомлен с порядком работы с персональными данными.

7.9. При получении доступа к персональным данным работники знакомятся с действующим законодательством Российской Федерации и локальными нормативными актами акционерного общества «Пермский гарантийный фонд», регламентирующими работу с персональными данными и информацией, носящей конфиденциальный характер.

7.10. Доступ к автоматизированной информационной системе Общества разграничен п.п. 7.1. - 7.7 настоящей Политики.

7.11. Каждый пользователь имеет индивидуальную учетную запись, которая определяет его права и полномочия в автоматизированной информационной системе. Информация об учетной записи не может быть передана другим лицам. Пользователь несет персональную ответственность за конфиденциальность сведений собственной учетной записи.

7.12. При увольнении работника, имеющего доступ к персональным данным субъектов персональных данных, документы и иные носители, содержащие персональные данные субъектов персональных данных, передаются другому работнику, по распоряжению Генерального директора Общества.


8. Порядок передачи информации, содержащей персональные данные

8.1. В соответствии с законодательством Российской Федерации персональные данные могут быть переданы правоохранительным, судебным органам и другим учреждениям в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства, а также в иных случаях, установленных законодательством Российской Федерации.

8.2. Без письменного согласия субъекта персональных данных или его законного представителя сообщать персональные данные субъекта персональных данных в коммерческих целях запрещено.

8.3. Общество обязано предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности;



9. Хранение персональных данных

9.1. Документы, содержащие персональные данные, подлежат хранению в порядке, предусмотренном архивным законодательством Российской Федерации.

9.1.1. Хранение персональных данных субъектов персональных данных осуществляется на бумажном и электронных носителях. Общество обеспечивает защиту персональных данных, хранящихся на электронных носителях, в электронных базах и на бумажных носителях, от несанкционированного доступа и копирования.

9.1.2. Место хранения персональных данных и лица, ответственные за хранение персональных данных, определяются приказом Общества.

9.2. Хранение персональных данных на бумажных носителях.

9.2.1. На бумажных носителях осуществляется хранение персональных данных следующих категорий субъектов персональных данных:

- персональные данные контрагентов, потенциальных контрагентов: Документ, содержащий персональные данные: договор (соглашение) с контрагентом.

- персональные данные Заявителя – потенциального заемщика, потенциальных поручителей. Документами, содержащими персональные данные, являются документы, составляющие досье заявителя.

- персональные данные Заемщика, Поручителя. Документами, содержащими персональные данные, являются: документы, составляющие досье Заемщика, договоры о предоставлении поручительства, договоры поручительства, договоры залога и дополнительные соглашения к ним.

- персональные данные Работников. Документами, содержащими персональные данные, являются:  документы, оформляющие трудовые отношения при приеме на работу, переводе, увольнении, документы, применяемые при анкетировании, тестировании, подлинники и копии приказов по личному составу, личные дела и трудовые книжки работников, копия документа, удостоверяющего личность, материалы аттестации работников, материалы внутренних расследований, справочно-информационные данные по персоналу (картотеки, журналы), копии отчетов, направляемых в госорганы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения, сведения о заработной плате, справки.

- персональные данные родственников Работника. Документом, содержащим персональные данные, является: анкета работника.

- персональные данные Членов Совета директоров. Документом, содержащим персональные данные, является: личное дело Члена Совета директоров (содержит в том числе документы, оформляющие правоотношения, анкета Члена Совета директоров; справки и иное).

9.2.2. Личное дело работника оформляется после издания приказа о приеме на работу. Все документы, поступающие в личное дело, располагаются в хронологическом порядке. Листы документов, подшитых в личное дело, нумеруются.

Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.

Перечень документов, содержащихся в личном деле работника при приеме на работу:

 анкета претендента, резюме, характеристики, рекомендации, предъявляемые работником при принятии решения о заключении трудового договора претендента, представляют собой перечень вопросов о персональных данных работника;

 копия свидетельства о присвоении ИНН;

 копия страхового пенсионного свидетельства;

 копия военного билета (у военнообязанных);

 копия документов об образовании (в том числе и дополнительного образования, если работник представляет их при приеме на работу или это требуется при выполнении определенных трудовых функций);

 копия водительского удостоверения и документов на машину, если это требуется в связи с выполнением трудовой функции работника;

 медицинская справка о прохождении медицинского осмотра;

 личная карточка Т-2;

 трудовой договор;

 документы о прохождении обучения, испытательного срока;

 документы о составе семьи работника, необходимые для предоставления ему гарантий, связанных с выполнением семейных обязанностей, в случае если они были предоставлены им по собственному желанию;

 иные документы персонального учета, относящиеся к персональным данным работника.

Так же в течение трудовой деятельности, личное дело работника может быть дополнено следующими документами:

 дополнительные соглашения к трудовому договору;

 документы о повышении квалификации (письменные   аттестации, дипломы, свидетельства и т.д.);

 документы о состоянии здоровья детей и других близких родственников, когда с наличием таких документов связано предоставление работнику каких-либо гарантий и компенсаций;

 документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством;

 документы о беременности работницы и возрасте детей для предоставления матери (отцу, другим родственникам) установленных законом условий труда, гарантий и компенсаций;

 иные документы персонального учета, относящиеся к изменениям персональных данных работника.

Хранение личных дел работников, осуществляется в приспособленных для этого помещениях, в закрывающихся на ключ металлических шкафах.

Лица, ответственные за хранение личных дел работников, обязаны регулярно проверять наличие состоящих на хранении документов. При обнаружении недостачи личных дел работников или документов, входящих в них, лица, ответственные за их хранение, обязаны немедленно заявить об этом непосредственному руководителю и принять меры к розыску недостающих документов.

Испорченные при заполнении документы, входящие в состав документов из личного дела работников, а также резюме соискателей, подлежат уничтожению с составлением соответствующего акта.

9.3 Досье Заемщика формируется в соответствии с п. 9.2 Политики предоставления гарантий и поручительств акционерного общества «Пермский гарантийный фонд» и Регламенту формирования, перемещения и хранения досье Заемщика.

9.4. Хранение персональных данных на электронных носителях. 

9.4.1. Ввод персональных данных в автоматизированную систему Общества осуществляется работником, имеющим доступ к работе с персональными данными, и в соответствии с его должностными обязанностями.

9.4.2. Работники, осуществляющие ввод и обработку данных с использованием автоматизированной информационной системы, несут ответственность за достоверность и полноту введенной информации.

9.4.3. При работе с программными средствами автоматизированной информационной системы Общества, реализующими функции просмотра и редактирования персональных данных, запрещается демонстрация экранных форм, содержащих такие данные, лицам, не имеющим соответствующих должностных обязанностей.

9.4.4. Хранение персональных данных в автоматизированной информационной системе Общества осуществляется на серверах Общества с использованием специализированного программного обеспечения, отвечающего требованиям безопасности.

9.4.5. Хранение резервных и технологических копий баз данных автоматизированной информационной системы, содержащих информацию персонального характера, осуществляется на серверах Общества и сменных носителях, доступ к которым ограничен.


10. Уничтожение персональных данных.

10.1. Уничтожение персональных данных осуществляется:

- по истечению установленных сроков хранения информации;

- по достижении цели обработки персональных данных;

            - в случае утраты необходимости в достижении целей обработки персональных данных;

                         - в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных;

             - по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов в случае выявления фактов совершения Обществом неправомерных действий с персональными данными, когда устранить соответствующие нарушения не представляется возможным.

10.2. Документы, содержащие персональные данные, подлежат уничтожению в порядке, предусмотренном действующим законодательством и внутренними нормативными документами Общества.

10.3. Способы уничтожения персональных данных, используемые в АО «ПГФ»:

           - в отношении персональных данных, хранящихся на бумажных носителях: измельчения (шредирования) бумажных носителей персональных данных либо сжигание (выбор способа уничтожения осуществляет Генеральный директор Общества);

           - уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации (выбор способа уничтожения осуществляет председателем комиссии по уничтожению персональных данных).

10.4. В целях проведения процедуры уничтожение документов, приказом Общества создается комиссия в количестве не менее 3-х человек. 

10.5. Перечень документов, планируемых к уничтожению, утверждается решением комиссии, указанной в п. 10.4.

10.6. По факту уничтожения документов, составляется акт (Приложение) об уничтожении, подписанный членами комиссии и утвержденным Генеральным директором Общества.

10.7. В случаях, предусмотренных законодательством Российской Федерации Общество, направляет уведомление об уничтожении персональных данных субъекту персональных данных.

10.8. Персональные данные заявителей, заёмщиков, поручителей, обрабатываемые в автоматизированных информационных системах по достижении целей обработки и истечению сроков хранения подлежат обезличиванию.



11. Права и обязанности субъекта персональных данных

11.1. Субъект персональных данных вправе в любой момент получить информацию, касающуюся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Клиент вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

11.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных оператором;

- правовые основания и цели обработки персональных данных;

- цели и применяемые оператором способы обработки персональных данных;

            - наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании норм законодательства Российской Федерации;

           - обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством Российской Федерации;

- сроки обработки персональных данных, в том числе сроки их хранения;

            - порядок осуществления субъектом персональных данных прав, предусмотренных нормами законодательства Российской Федерации;

            - информацию об осуществленной или о предполагаемой трансграничной передаче данных;

            - наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные федеральными законами.

11.3. Указанные сведения предоставляются субъекту персональных данных или его представителю Обществом при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

11.4. Общество рассматривает запросы и направляет ответы на них в течение 12 (двенадцати) рабочих дней с момента поступления обращения. Запросы об изменении неполных, неточных или неактуальных персональных данных, а также запросы об удалении данных, которые были незаконно получены Обществом или не соответствуют заявленным целям обработки, подлежат рассмотрению в течение 7 (семи) рабочих дней.

11.5. Ответ Общества на запрос субъекта персональных данных выдается на руки заявителю или его представителю по доверенности в форме, подписанной уполномоченным лицом Общества копии, заверенной подписью генерального директора Общества, при условии предъявления документа, удостоверяющего личность (для представителя также доверенности).

11.6. В случае если обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения указанных сведений, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом,

принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных.

11.7. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос, в целях получения сведений, указанных в п. 11.2. настоящей Политики, а также в целях ознакомления с обрабатываемыми персональными данными, до истечения срока, указанного п. 11.6. настоящей Политики, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме, по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями должен содержать обоснование направления повторного запроса. Общество вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего указанным условиям. Такой отказ должен быть мотивированным.

11.8. Обработка персональных данных, в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, допускается только при условии предварительного согласия субъекта персональных данных.

11.9. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

- доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

- в иных случаях, установленных законодательством Российской Федерации.

12. Уведомление об обработке персональных данных

12.1. Общество до начала обработки персональных данных осуществило уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Общество добросовестно и в соответствующий срок осуществляет актуализацию сведений, указанных в уведомлении.

12.2. В случае изменения сведений, указанных в Уведомлении, направленном в уполномоченный орган, а также в случае прекращения обработки персональных данных Общество обязано уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в сроки, установленные законодательством Российской Федерации.


13. Процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений

13.1. В целях обеспечения защиты персональных данных Оператор самостоятельно определяет необходимые и достаточные процедуры для обеспечения защиты персональных данных, предусмотренных Федеральным законодательством.

13.2. Для защиты персональных данных субъектов персональных данных Общество обязано:

- назначить ответственного за организацию обработки персональных данных;

- ознакомить работников (сотрудников) с настоящей Политикой, его правами в области защиты персональных данных под расписку;

- применить правовые, организационные и технические меры по обеспечению безопасности персональных данных;

- обеспечить, за свой счет, защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством Российской Федерации;

- осуществлять передачу персональных данных субъекта персональных данных только в соответствии с настоящей Политикой и законодательством Российской Федерации;

- предоставлять персональные данные субъекта персональных данных только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящей Политикой и законодательством Российской Федерации;

- обеспечить субъекту персональных данных свободный доступ к своим персональным данным, включая право на получение копий тобой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством;

- предоставить ему полную информацию о его персональных данных и обработке этих данных по требованию субъекта персональных данных или его законного представителя;

- по запросу ознакомить Субъекта или его законных представителей с настоящей Политикой, а также с другими документами Общества, устанавливающими порядок обработки персональных данных, правами Субъекта в области защиты персональных данных;

13.3. Проверка исполнения настоящей Политики и норм законодательства Российской Федерации о защите персональных данных осуществляются лицом, ответственным за организацию обработки персональных данных. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, лицо, ответственное за организацию обработки персональных данных докладывает генеральному директору Общества;

13.4. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных:

- в случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки.

- в случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

- в случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

- в случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

- в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.

- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.

- в случае отсутствия возможности уничтожения персональных данных в течение указанного срока, Общество осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.

13.5. Общество обязано в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

13.6. Общество при обработке персональных данных обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных:

- установлением правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных;

- учетом электронных носителей персональных данных.

14. Срок обработки персональных данных

Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных. Истечение срока обработки персональных данных и отзыв субъектом персональных данных не лишает Общество права обрабатывать персональные данные субъекта в целях, определенных в п. п. 6.1.2.-6.1.10. настоящей Политики.


15. Меры, направленные на обеспечение выполнения обязанности по защите персональных данных

15.1. Меры, необходимые и достаточные для обеспечения выполнения Обществом обязанностей оператора, предусмотренных законодательством Российской Федерации в области персональных данных, включают:

15.1.1. Назначение лица, ответственного за организацию обработки персональных данных в Обществе;

Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от генерального директора Общества и подотчетно ему.

Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

- осуществление контроля за соблюдением работниками Общества законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

- доведение до сведения работников оператора положений законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

- организация приема и обработки обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

15.1.2. обеспечение режима безопасности помещений, в которых размещена информационная система обработки персональных данных, который препятствует возможности неконтролируемого проникновения третьих лиц в помещения;

15.1.3. принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;

15.1.4. получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;

15.1.5. обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных, хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;

15.1.6. осуществление внутреннего контроля соответствия обработки персональных данных ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным нормативным актам Общества;

15.1.7. оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных»;

15.1.8. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

15.1.9. обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;

15.1.10. учет машинных носителей персональных данных;

15.1.11. применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

15.1.12. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

15.1.13. установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;

15.1.14. осуществление контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;

15.1.15. применение антивирусной защиты информационной системы обработки персональных данных;

15.1.16. применение правовых, организационных, технических, и иных мер по обеспечению безопасности персональных данных, предусмотренных законодательством Российской Федерации в области персональных данных;

15.1.17. проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных.

16. Ответственность

16.1. Контроль исполнения требований настоящей Политики осуществляется ответственным лицом за организацию обработки и обеспечение безопасности персональных данных, назначаемым приказом Генерального директора Общества.

16.2. Лица, виновные в нарушении норм, регулирующих получение, обработку, хранение и защиту обрабатываемых в Обществе персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации.


17. Заключительные положения

17.1. Настоящая Политика подлежит опубликованию на официальном сайте Общества.

17.2. При изменении Федеральных законов и иных нормативных правовых актов отдельные требования настоящей Политики могут вступить в противоречие с указанными законами и нормативными правовым актами, соответствующие требования Политики не будут подлежать применению.

Ссылка на оригинал документа