Юридические услуги и взыскание дебиторской задолженности на любой стадии
Тел./факс (многоканальный)
Главная \ Политика безопасности

Политика безопасности

Одна из приоритетных задач в работе ООО КА Возврат - соблюдение действующего законодательства Российской Федерации в области информационной безопасности, а так же требований федерального закона от 27.06.2006 года №152-ФЗ «О персональных данных», основной целью которого является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
ПОЛИТИКА В ОБЛАСТИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ООО КА «ВОЗВРАТ»

I.                   ОБЩИЕ ПОЛОЖЕНИЯ

1.1.   Политика в области обработки и защиты персональных данных в ООО КА «Возврат»  (далее по тексту – Организация (-ии)) устанавливает политику, принципы, цели, правовое основание обработки персональных данных, а также категории персональных данных, обрабатываемых в  Организации.

1.2.   Настоящая Политика по обработке персональных данных в ООО КА «Возврат» (далее – Политика) разработана в соответствии с требованиями действующего законодательства Российской Федерации, а также документов, регламентирующих порядок обеспечения безопасности персональных данных:

-                     Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее по тексту – Федеральный закон №152-ФЗ);

-                     Федерального закона от 29.07.2004 №98-ФЗ «О коммерческой тайне»;

-                     Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

-                     Федерального закона от 22.10.2004 №125 – ФЗ «Об архивном деле в РФ»;

-                     Постановления Правительства Российской Федерации от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных;

-                     Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

-                     Приказа Роскомнадзора от 30.05.2017 №94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».

1.3.   Целью Политики являются определение особенностей обработки и обеспечения безопасности персональных данных, а также минимизация ущерба, который может возникнуть при воздействии угроз информационной безопасности.

1.4.   Настоящая Политика распространяется на все технологические процессы Организации, связанные с обработкой персональных данных субъектов, и обязательно для применения всеми работниками Организации.

1.5.   В Организации назначается ответственное лицо за организацию обработки персональных данных, разработку и реализацию мероприятий по обеспечению безопасности персональных данных субъектов. При необходимости, к работе по защите персональных данных могут привлекаться работники структурных подразделений Организации.

1.6.   Требования настоящего Политики могут детализироваться иными внутренними нормативными документами Организации.

1.7.   Персональные данные являются конфиденциальной, строго охраняемой информацией.

 

II.                ТЕРМИНЫ И СОКРАЩЕНИЯ

2.1.            Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.2.            Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). Блокирование осуществляется также при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя:

- в случае выявления неправомерной обработки персональных данных – с момента такого обращения или получения запроса на период проверки;

- в случае выявления неточных персональных данных, относящихся к этому субъекту персональных данных – с момента такого обращения или получения запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

2.3.            ВНД - внутренний нормативный документ.

2.4.            ИБ - информационная безопасность.

2.5.            Информационная система персональных данных (далее - ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.6.            Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.7.            Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.8.            Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.9.            Персональные данные (далее - ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных (также по тексту- клиент/ или должник)).

2.10.        Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.11.        Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.12.        Система обеспечения безопасности персональных данных – система правовых, организационных, технических и иных мер по обеспечению доступности, целостности и конфиденциальности персональных данных.

2.13.        Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.14.        Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

 

III.             ПРИНЦИПЫ ОБРАБОТКИ ПДн

3.1.   Основными принципами обработки ПДн в Организации являются:

-          законность и справедливость основы обработки ПДн;

-          обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей, не допускается обработка ПДн, несовместимая с целями сбора ПДн;

-          обработке подлежат только ПДн, которые отвечают целям их обработки;

-          соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки ПДн;

-          обеспечение точности, достаточности и актуальности ПДн по отношению к целям их обработки, недопустимости избыточности обрабатываемых ПДн по отношению к заявленным целям их обработки;

-          обеспечение принятия необходимых мер по удалению или уточнению неполных или неточных данных;

-          недопустимость объединения созданных для несовместимых между собой целей баз данных ИСПДн;

-          обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.2.   Указанные принципы применяются ко всем видам обработки ПДн – как к автоматизированной обработке, так и обработке без использования средств автоматизации.

 

 IV.             ЦЕЛИ ОБРАБОТКИ ПДн

4.1.       Организация осуществляет обработку ПДн для достижения следующих целей:

-          осуществление функций, полномочий и обязанностей, возложенных на Организацию действующим законодательством Российской Федерации;

-          заключение и исполнение договоров с клиентами;

-          рассмотрение возможности заключения трудового соглашения/договора с субъектом ПДн;

-          регулирование трудовых (гражданско-правовых) отношений субъекта с Организацией (обеспечение соблюдения требований действующего законодательства Российской Федерации, содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, предоставления социальных гарантий);

-          осуществление мероприятий по возврату просроченной задолженности;

-          передача Организации ПДн или поручение их обработки третьим лицам в соответствии с требованиями действующего законодательства Российской Федерации.

 

 V.                ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПДн

Основаниями обработки ПДн в Организации являются:

-          Конституция Российской Федерации;

-          Гражданский кодекс Российской Федерации;

-          Налоговый кодекс Российской Федерации;

-          Трудовой кодекс Российской Федерации;

-          Федеральный закон "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях" иные нормативные акты Российской Федерации,

а также:

-          Устав Организации;

-          договоры, заключаемые между Организацией и клиентами;

-          согласия субъектов на обработку ПДн.

 

 VI.             ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПДн, КАТЕГОРИИ СУБЪЕКТОВ ПДн

6.1.            При определении состава обрабатываемых ПДн субъектов Организации руководствуется минимально необходимым составом ПДн для достижения целей обработки ПДн.

6.2.            К категориям субъектов ПДн относятся:

-          физические лица - участники Организации, физические лица – приобретатели долей в уставном капитале Организации, физические лица, устанавливающие (осуществляющие) контроль в отношении участников Организации, и лица, осуществляющие функции единоличного исполнительного органа юридических лиц – приобретателей (владельцев) долей в уставном капитале Организации или устанавливающих (осуществляющих) контроль в отношении участников Организации;

-          физические лица, аффилированные с Организацией;

-          физические лица и индивидуальные предприниматели, их уполномоченные представители, намеревающиеся вступить или состоящие в договорных и иных гражданско-правовых отношениях с Организацией, в том числе через партнеров Организации.

-          лица, заключившие с Организацией трудовые договоры;

-          физические лица, претендующие на замещение вакантных должностей в  Организации.

-          физические лица, являющиеся должниками Организации или должниками клиентов заключивших договор с Организацией.

6.3.   Обработка специальных категорий ПДн, касающихся расовой принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Организации не осуществляется.

6.4.   Обработка сведений о состоянии здоровья осуществляется в соответствии с требованиями действующего законодательства Российской Федерации.

6.5.   При обработке Организацией ПДн не допускается избыточность ПДн по отношению к заявленным целям обработки. В состав обрабатываемых ПДн могут входить:

-          фамилия, имя, отчество (при наличии);

-          пол;

-          число, месяц, год рождения, место рождения, страна рождения;

-          гражданство; статус (резидент/нерезидент);

-          семейное положение;

-          социальное положение (в т.ч. сведения о социальных льготах);

-          имущественное положение, в т.ч. сведения о доходах;

-          сведения об опеке и попечительстве;

-          образование;

-          должность; место работы; сведения о трудовой деятельности;

-           данные документов, удостоверяющих личность, и иных документов, выданных на имя субъекта ПДн (трудовые книжки, водительские удостоверения, миграционные карты, разрешение на временное проживание и др.);

-          дата и адрес (проживания, регистрации, постановки на учет);

-          сведения о членах семьи;

-          сведения об ИНН, СНИЛС;

-          сведения о воинском учете;

-          сведения об участии в юридических лицах, в наблюдательных и исполнительных органах юридических лиц;

-          контактные данные (телефон, электронный адрес, почтовый адрес);

-          сведения, содержащиеся в документах, подтверждающих право на льготы;

-          фото и видеоизображения внешности;

-          сведения, указанные в свидетельстве о браке;

-          сведения, указанные в свидетельстве о рождении детей;

-          сведения из трудового договора работника.

 

 VII.     ПРАВА И ОБЯЗАННОСТИ ОРГАНИЗАЦИИ ПО ОБРАБОТКЕ ПДн

7.1.       Организация вправе:

-          использовать ПДн субъекта ПДн без его согласия, в случаях, предусмотренных законодательством Российской Федерации;

-          поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее - поручение Организации);

-          предоставлять ПДн третьим лицам, если это предусмотрено требованиями действующего законодательства Российской Федерации (налоговые, правоохранительные органы и др.);

-          отказывать в предоставлении ПДн в случаях, предусмотренных законодательством;

-          защищать свои права и законные интересы в судебном порядке.

7.2.       В соответствии с требованиями действующего законодательства Российской Федерации на Организацию возлагается ряд обязанностей при обработке ПДн, в частности:

-          производить обработку ПДн при наличии правовых оснований;

-           принимать меры по обеспечению конфиденциальности и безопасности ПДн;

-          обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн;

-          предоставлять ответы на запросы субъектов ПДн;

-          принятие необходимых правовых, организационных и технических мер для защиты и обеспечения безопасности ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении ПДн;

-          информирование субъектов ПДн или их представителей по их запросу о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставление возможности ознакомления с этими ПДн;

-          осуществление уточнения, блокирования, прекращения обработки, уничтожения ПДн по запросу субъекта ПДн или по запросу уполномоченного органа по защите прав субъектов ПДн, а также в случаях, предусмотренных законодательством Российской Федерации;

-          принимать меры по устранению нарушений законодательства, допущенных при обработке ПДн;

-          иные обязанности, установленные действующим законодательством Российской Федерации.

 

 VIII.       ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПДн

8.1.       Субъект ПДн вправе требовать от Организации его ПДн, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.2.       Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

-     подтверждение факта обработки ПДн данных Организацией;

-     правовые основания и цели обработки ПДн;

-     цели и применяемые Организацией способы обработки ПДн;

-     наименование и место нахождения Организации;

-     обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

-     сроки обработки ПДн, в том числе сроки их хранения;

-     порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом №152-ФЗ;

-     иные сведения, предусмотренные Федеральным законом №152-ФЗ или другими федеральными законами.

8.3.       Субъект ПДн вправе:

- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;

- защищать свои права и законные интересы, в том числе требовать возмещения убытков и (или) компенсации морального вреда в судебном порядке.

8.4.       Предоставление ПДн не должно нарушать конституционные права и свободы других лиц, в том числе работников Организации.

8.5.       При обращении субъекта ПДн в Организацию с запросом о предоставлении информации, касающейся обработки его персональных данных, субъект ПДн обязан, указывать в запросе номер основного документа, удостоверяющего его личность или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Организацией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Организации. Запрос должен содержать подпись субъекта ПДн или его представителя. К запросу, подписанному представителем, должна прилагаться заверенная надлежащим образом копия доверенности, содержащей полномочия на представление интересов субъекта ПДн в сфере обработки ПДн.

 

 IX.             ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПДн

9.1.       Обработка ПДн осуществляется с использованием средств автоматизации и без использования таких средств путем следующих действий: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение ПДн.

9.2.       Сроки обработки ПДн определяются в соответствии с целями их обработки и с требованиями действующего законодательства Российской Федерации, в т.ч. устанавливаются в договорах, заключенных с субъектами ПДн.

9.3.       Обработка ПДн осуществляется Организацией для осуществления прав и законных интересов Организацией с соблюдением принципов и правил, предусмотренных Федеральным законом № 152-ФЗ, в соответствии с целями, заранее определенными и заявленными при сборе ПДн, а также полномочиями Организации, определенными действующим законодательством Российской Федерации, договорными отношениями с клиентами и контрагентами Организации.

9.4.       Передача ПДн субъектов ПДн третьим лицам осуществляется Организацией в соответствии с требованиями действующего законодательства Российской Федерации.

9.5.       Организация вправе поручить обработку ПДн третьей стороне с согласия субъекта ПДн и в иных случаях, предусмотренных действующим законодательством Российской Федерации. В случае необходимости взаимодействия с третьими лицами условия передачи ПДн указываются в договоре поручения Организации. В поручении Организации должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Федерального закона №152-ФЗ.

9.6.       В случае достижения цели обработки ПДн, если иное не предусмотрено требованиями действующего законодательства Российской Федерации, Организация прекращает обработку и производит их уничтожение, или обеспечивает прекращение обработки ПДн, которые обрабатывались третьими лицами на основании договора с Организацией, в порядке, установленном требованиями действующего законодательства Российской Федерации о защите персональных данных.

9.7.       При осуществлении хранения ПДн Организация использует базу данных, находящуюся на территории Российской Федерации. 

 

X.         ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПДн

10.1.        Обеспечение безопасности ПДн является неотъемлемой частью работ по созданию и использованию информационных систем Организации.

10.2.        При обработке ПДн Организация обеспечивает их безопасность и принимает необходимые организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн.

10.3.        Обмен ПДн при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.

10.4.        Определяется следующий порядок работы с документами на бумажных носителях, содержащих ПДн:

10.4.1.  Обработка, в т.ч. хранение и использование документов на бумажных носителях, содержащих ПДн, осуществляется исключительно в помещениях Организации, доступ в которые ограничивается и осуществляется только лицами ответственными за обработку персональных данных.

10.4.2.  Работа с документами на бумажных носителях, содержащими ПДн, сотрудниками Организации осуществляется только в целях исполнения их должностных обязанностей, установленных должностной инструкцией.

10.4.3.  Уничтожение документов, содержащих ПДн, производится путем составления акта об уничтожении, уничтожение путем их измельчения в подразделении Организации.

10.5.        Определяется следующий порядок работы со стационарными носителями, обеспечивающими хранение ПДн в электронном виде (в том числе, резервными копиями):

10.5.1.  Размещение стационарных носителей осуществляется в служебных помещениях Организации, доступ в которым ограничен и осуществляется в присутствии ответственного лица.

10.5.2.  В случае вывода из обращения стационарных носителей, уничтожение информации осуществляется методом разрушения этих устройств.

10.6.        Определяется следующий порядок работы со съемными носителями, обеспечивающими хранение ПДн в электронном виде:

10.6.1.  Не допустимо копирование ПДн на съемных носители.

10.7.        При обработке ПДн в ИСПДн их безопасность обеспечивается:

-                   проведением мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;

-                   своевременным обнаружением фактов несанкционированного доступа к ПДн;

-                   недопущением воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;

 

 XI.             АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПДн, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПДн

11.1.   В случае подтверждения факта неточности ПДн или неправомерной их обработки, ПДн подлежат актуализации либо их обработка прекращается путем блокирования, удаления, уничтожения.

11.2.        Организация в обязательном порядке рассматривает все обращения субъектов ПДн, в том числе, если субъект ПДн считает, что Организация осуществляет обработку его ПДн с нарушением требований действующего законодательства Российской Федерации или иным образом нарушает его права и свободы.

11.3.        Порядок обработки обращений и запросов субъектов ПДн (или их законных представителей) по вопросам обработки ПДн предусматривает:

- регистрацию обращений/запросов;

- рассмотрение обращения/запроса;

- формирование мотивированного ответа субъекту ПДн в срок, не превышающий тридцати дней со дня обращения субъекта ПДн или его представителя в Организации либо с даты получения Организацией письменного запроса субъекта ПДн или его представителя;

- мероприятия по результатам рассмотрения обращения/ запроса (актуализация, исправление, удаление, уничтожение ПДн);

- примерные формы обращения/ запроса.

Организация не устанавливает обязательную форму обращения/запроса субъекта ПДн и рассматривает обращения/запросы, составленные в свободной форме.

 

XII.          ОБЯЗАННОСТИ И ОТВЕТСТВЕННОСТЬ РАБОТНИКОВ, ДОПУЩЕННЫХ К ОБРАБОТКЕ ПДн

12.1.        Работники, допущенные к обработке ПДн, обязаны:

-          знать и неукоснительно выполнять требования настоящего Политики;

-          обрабатывать ПДн только в рамках выполнения своих должностных обязанностей;

-          не разглашать ПДн, полученные в результате выполнения своих должностных обязанностей, а также ставшие ему известными по роду деятельности;

-          пресекать действия других лиц, которые могут привести к разглашению (уничтожению, искажению) ПДн;

-          выявлять факты разглашения (уничтожения, искажения) ПДн и информировать об этом своих руководителей и Ответственное лицо Организации.

12.2.        Работники Организации, участвующие в рамках своих функциональных обязанностей в процессах обработки ПДн, несут персональную ответственность за свои действия.

12.3.        В случае причинения ущерба Ораганизации работник, имеющий доступ к ПДн и совершивший указанный дисциплинарный поступок, несет полную материальную ответственность в соответствии с п. 7 ч. 1 ст. 243 Трудового кодекса Российской Федерации.

 

XIII. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

13.1.        Настоящее Положение является внутренним документом Организации, общедоступным и подлежит размещению на официальном сайте www.kavozvrat.ru.

13.2.        Настоящее Положение подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите ПДн.

13.3.        Ответственность работников Организации за несоблюдение требований настоящей Политики, повлекшее разглашение, утрату или нарушение целостности ПДн, определяется действующим законодательством Российской Федерации.

Заинтересовались? Появились вопросы?

Оставьте заявку

Более подробную информацию Вы можете получить заполнив форму, либо по телефонам:
Адрес:
Свердловская область, г. Екатеринбург, ул. Фурманова, д.126, офис 917
Телефон:
График работы:
Пн-Пт с 9:00 до 17:00
Сб-Вс Выходной
Политика в области обработки и защиты персональных данных