ПОЛИТИКА
ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
ООО «ЗЕНИТ ФИНАНС»

СОДЕРЖАНИЕ

1. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ
2. ОБЩИЕ ПОЛОЖЕНИЯ
3. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ОБЩЕСТВЕ
4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5. ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7. ПРАВА СУБЬЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
8. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

1. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ

Безопасность персональных данных

Состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных

Блокирование персональных данных

временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)

Информационная система персональных данных (далее – ИСПДн)

Информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств

Использование персональных данных

Действия (операции) с персональными данными, совершаемые должностным лицом Общества в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных, либо иным образом затрагивающие его права и свободы или права и свободы других лиц

Конфиденциальность персональных данных

Обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания

Клиент

Юридическое лицо или индивидуальный предприниматель, осуществляющий поставки товаров, оказание услуг или выполнение работ в рамках Контракта с его Покупателем, которому Фактор оказывает Факторинговые услуги в рамках подписанного Генерального договора

Контрагент

Физическое лицо, руководитель юридического лица или индивидуального предпринимателя, с которым Общество планирует заключить договор

Обезличивание персональных данных

действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных

Обработка персональных данных

любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

Оператор персональных данных

государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

Персональные данные

любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Пользователь информационной системы персональных данных

Лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования

Распространение персональных данных

действия, направленные на раскрытие персональных данных неопределенному кругу лиц

Субъект персональных данных

Физическое лицо, которое прямо или косвенно определяется с помощью его персональных данных

Уничтожение персональных данных

действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных

Генеральный договор

Договор между Обществом и Клиентом или Обществом, Клиентом и Покупателем, в соответствии с которым Клиент уступает Фактору Денежные требования к Покупателям, а Фактор оказывает Клиенту Факторинговые услуги, связанные с уступленными Денежными требованиями

2. ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящая «Политика обработки и защиты персональных данных ООО «ЗЕНИТ ФИНАНС» (далее – Политика) определяет основные принципы обработки и обеспечения защиты персональных данных в ООО «ЗЕНИТ ФИНАНС» (далее – Общество).
2. Персональные данные являются конфиденциальной, защищаемой информацией и на них распространяются все требования, установленные внутренними документами Общества к защите конфиденциальной информации.
3. Настоящая Политика направлена на обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Политика также устанавливает ответственность должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
4. Настоящая Политика действует в отношении любой информации, содержащей персональные данные сотрудника и/или клиента Общества, информации о персональных данных, которую Общество может получить при организации и/или осуществлении факторингового обслуживания, а также при заключении иных договоров, в том числе договоров, связанных с трудовыми отношениями.
5. Поскольку к настоящей Политике в соответствии с ч. 2 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных» необходимо обеспечить неограниченный доступ, в ней не публикуется детальная информация о принятых мерах по защите персональных данных, а также иная информация, использование которой неограниченным кругом лиц может нанести ущерб Обществу или субъектам персональных данных.

3. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ОБЩЕСТВЕ

1. Перечень персональных данных, подлежащих обработке и защите в Обществе, формируется в соответствии с ФЗ «О персональных данных» от 27 июля 2006 г. № 152-ФЗ. Персональные данные относятся к конфиденциальной информации, то есть документированной информации, доступ к которой ограничен.
2. Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
3. Общество не осуществляет обработку специальных категорий персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, судимости физических лиц, если иное не установлено законодательством Российской Федерации.
4. В зависимости от субъекта персональных данных, Общество обрабатывает персональные данные следующих категорий субъектов персональных данных:
   1. персональные данные работника Общества - информация, необходимая в связи с трудовыми отношениями и касающиеся конкретного работника;
   2. персональные данные руководителя, сотрудника юридического лица, являющегося аффилированным лицом по отношению к Обществу - информация, необходимая для отражения в отчетных документах о деятельности Общества в соответствии с требованиями федеральных законов, нормативных документов Общества или иных нормативных правовых актов;
   3. персональные данные физических лиц, осуществляющих выполнение работ по оказанию услуг и заключившие с Обществом договор гражданско-правового характера;
   4. персональные данные клиента/контрагента, а также персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося клиентом /контрагентом Общества - информация, необходимая Обществу для выполнения своих обязательств в рамках договорных отношений с клиентом/контрагентом и для выполнения требований законодательства Российской Федерации.

4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общество осуществляет обработку персональных данных в следующих целях:
   1. оказания факторинговых услуг в соответствии с Уставом и целями Общества, а также иных сделок в рамках которых Общество вступает в договорные отношения;
   2. заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством (включая сбор и накопление необходимой информации о клиентах, ведение клиентской базы для оказания факторинговых услуг согласно законодательству РФ);
   3. организации кадрового учета работников Общества для обеспечения соблюдения законов и иных нормативно-правовых актов, содействия работнику в трудоустройстве, обучении, продвижении по службе, пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» (№ 27-ФЗ от 01.04.1996 г), «О персональных данных» (№ 152-ФЗ от 27.07.2006 г.), а также иными нормативными документами Общества;
   4. формирования статистической отчетности, в том числе для предоставления в формирования статистической отчетности, в том числе для предоставления в ПАО Банк ЗЕНИТ.

5. ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. При обработке персональных данных субъектов персональных данных, допущенные к ним работники Общества обязаны соблюдать установленные настоящей Политикой требования.
2. Запрещается получать, обрабатывать и хранить персональные данные субъекта персональных данных о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.
3. В случаях обработки персональных данных в статистических или иных исследовательских целях Обществом в обязательном порядке производится их обезличивание.
4. Обработка персональных данных Обществом осуществляется на основе следующих принципов:
   1. законности заранее определенных конкретных целей и способов обработки персональных данных;
   2. обеспечения надлежащей защиты персональных данных;
   3. соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
   4. соответствия объема, характера и способов обработки персональных данных целям обработки персональных данных;
   5. достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
   6. недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
   7. хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
   8. уничтожения или обезличивания персональных данных в случае утраты необходимости их обработки или достижении поставленных целей, если иное не предусмотрено законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
5. В случае выявления неточных персональных данных, при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных, уполномоченные работники Общества осуществляют блокирование персональных данных, относящихся к этому субъекту.
6. В случае подтверждения факта неточности персональных данных, Общество, на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов, производит уточнение персональных данных в течение семи рабочих дней со дня представления таких сведений, после чего блокирование персональных данных снимается.
7. В случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с момента такого выявления, работники Общества обязаны устранить допущенные нарушения. В случае, если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Общество обязано уведомить субъекта персональных данных, или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
8. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором с субъектом персональным данных и нормативными документами Общества. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
9. Режим конфиденциальности персональных данных снимается в случаях их обезличивания, по истечении срока их хранения и последующем удалении, или продлевается на основании заключения уполномоченной комиссии, назначаемой Обществом, если иное не определено законом.
10. По запросу уполномоченного органа по защите прав субъектов персональных данных Общество обязано предоставить необходимую информацию в соответствии с требованиями ФЗ о персональных данных.

6. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Порядок получения персональных данных
   1. Все персональные данные работников Общества следует получать у них самих. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено на это письменное согласие. Порядок получения персональных данных у работников регламентируется внутренними нормативными документами Общества.
   2. Персональные данные клиентов/контрагентов Общества обрабатываются исключительно в целях, указанных в разделе 4 настоящей Политики.
   3. Персональные данные клиентов/контрагентов Общества запрашиваются при заключении договоров с Обществом, с уведомлением об этом клиента/ контрагента.
   4. Персональные данные могут быть получены от лица, не являющегося субъектом персональных данных, при условии предоставления Обществу подтверждения наличия оснований, позволяющих в соответствии с законодательством, осуществлять обработку персональных данных Обществом без согласия субъекта персональных данных.
   5. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность - биометрические персональные данные, могут обрабатываться Обществом только при наличии согласия в письменной форме субъекта персональных данных за исключением случаев, предусмотренных законодательством Российской Федерации.
   6. Согласие на обработку персональных данных клиентов/контрагентов включаются в тексты соответствующих типовых форм документов, определяющих юридические отношения клиентов и Общества.
2. Порядок предоставления согласия на обработку персональных данных персональных данных
   1. Получение и обработка персональных данных субъекта персональных данных осуществляется с его согласия на обработку персональных данных, а также без такового, в случаях, если обработка персональных данных необходима для:
      1. исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, в том числе в случае реализации Обществом своего права на уступку прав (требований) по такому договору;
      2. заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем;
      3. осуществления прав и законных интересов Общества или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
      4. иных случаев, предусмотренных Законодательством о персональных данных.
   2. Субъект персональных данных принимает решение о предоставлении его персональных данных и даёт согласие на их обработку свободно, своей волей и в своём интересе.
   3. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным
   4. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем либо в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
   5. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных Обществом проверяются полномочия данного представителя на дачу согласия от имени субъекта персональных данных.
   6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
   7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
   8. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, позволяющих в соответствии с законодательством осуществлять обработку персональных данных Обществом без согласия субъекта персональных данных, возлагается на Общество.
   9. Согласие субъекта персональных данных в письменной форме на обработку его персональных данных должно включать в себя, в частности:
      1. фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
      2. фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
      3. цель обработки персональных данных;
      4. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
      5. перечень действий с персональными данными, на совершение которых дается согласие;
      6. срок, в течение которого действует согласие субъекта персональных данных;
      7. подпись субъекта персональных данных или его уполномоченного представителя.
3. Порядок передачи персональных данных третьим лицам
   1. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
   2. Общество осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.
   3. Передача персональных данных субъекта третьим лицам осуществляется только при наличии письменного согласия субъекта персональных данных за исключением случаев, обозначенных в ФЗ «О персональных данных» (№ 152-ФЗ от 27.07.2006 г.):
      1. в целях защиты жизни и здоровья субъекта персональных данных;
      2. в случае поступления официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскной деятельности» (№ 144-ФЗ от 12.08.1995 г);
      3. в целях исполнения Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (№ 115-ФЗ от 07.08.2001 г.);
      4. в иных случаях, предусмотренных федеральным законодательством.
   4. Лица, получившие доступ к персональным данным субъекта, должны быть предупреждены о том, что эти данные могут быть использованы лишь в целях, для которых они переданы. Лица, получившие персональные данные, обязаны соблюдать режим конфиденциальности персональных данных предусмотренный ФЗ «О персональных данных» (№ 152-ФЗ от 27.07.2006 г.).
   5. При заключении договора Общества с третьим лицом, предусматривающего обработку персональных данных, полученных Обществом, в договоре определяются:
      1. цель обработки персональных данных;
      2. перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки;
      3. обязанность лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке;
      4. требования к защите обрабатываемых персональных данных в соответствии со статьей 19 ФЗ «О персональных данных» (№ 152-ФЗ от 27.07.2006 г.).
   6. В случае получении требований субъекта персональных данных об уточнении или уничтожении персональных данных, Общество принимает меры для уведомления третьих лиц, которым были переданы персональные данные субъекта.
   7. Общество несет ответственность перед субъектом персональных данных за действия третьего лица. В свою очередь, лицо, осуществляющее обработку персональных данных по поручению Общества, несет ответственность за их обработку и защиту перед Обществом.
4. Хранение персональных данных
   1. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.
   2. Персональные данные субъектов персональных данных хранятся в подразделениях Общества, которые отвечают за взаимодействие с субъектом, а также в электронном виде в информационных системах персональных данных и иных специализированных информационных системах, целью создания и использования которых не является обработка персональных данных.
   3. Персональные данные, содержащиеся на бумажных носителях, должны храниться в папках в сейфах или в шкафах, обеспечивающих защиту от несанкционированного доступа. Ключи от соответствующих шкафов или сейфов хранятся у руководителя соответствующего подразделения Общества под его личной ответственностью.
   4. Доступ к электронным базам данных, содержащим персональные данные, обеспечивается с использованием средств защиты от несанкционированного доступа и копирования.
   5. Работник Общества, имеющий доступ к персональным данным в связи с исполнением трудовых обязанностей:
      1. обеспечивает хранение информации, содержащей персональные данные, исключающее доступ к ним третьих лиц;
      2. при уходе в отпуск, в служебную командировку и иных случаях длительного отсутствия работника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные, лицу, на которое приказом или распоряжением будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, документы и иные носители, содержащие персональные данные, передаются другому работнику, имеющему доступ к персональным данным, по указанию руководителя соответствующего структурного подразделения Общества.
   6. При увольнении работника Общества, имеющего доступ к персональным данным, документы и иные носители, содержащие персональные данные, передаются другому работнику, имеющему доступ к персональным данным субъектов по указанию руководителя соответствующего структурного подразделения Общества.

7. ПРАВА СУБЬЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Субъект персональных данных имеет право:
   1. давать согласие на обработку своих персональных данных в порядке, описанном в разделе 6.2. настоящей Политики;
   2. требовать представить перечень своих персональных данных, обрабатываемых Обществом и источник их получения;
   3. получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
   4. требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
   5. требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
   6. обжаловать в уполномоченный орган по защите прав субъектов персональных данных или судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
   7. на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
2. Информация по запросу предоставляется субъекту персональных данных или его представителю Обществом при личном обращении либо при получении письменного запроса субъекта персональных данных или его представителя.
3. Информация (отказ в предоставлении информации) предоставляется субъекту персональных данных бесплатно в течение 30 дней с момента получения запроса.
4. Информация предоставляется в доступной форме и не содержит персональные данные, относящиеся к другим субъектам персональных данных.
5. Повторное обращение в Общество или направление повторного запроса возможно не ранее, чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных. До истечения указанного срока повторное обращение возможно в случае, если такая информация и (или) обрабатываемые персональные данные не были предоставлены субъекту персональных данных для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование его направления. Общество вправе мотивированно отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего указанным условиям.
6. В случае отказа в предоставлении информации Общество выдает мотивированный ответ в письменной форме с указанием основания для такого отказа.

8. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общество предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий в том числе:
   1. обеспечивается учет машинных носителей персональных данных;
   2. осуществляется оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
   3. проводится периодический контроль работоспособности, защиты информации, регистрация и модификация ресурсов, в которых обрабатываются персональные данные, в том числе информационные системы персональных данных;
   4. осуществляется обнаружение фактов несанкционированного доступа к персональным данным и своевременное принятие мер по блокировке такого доступа;
   5. обеспечивается размещение технических средств обработки персональных данных в пределах охраняемой территории;
   6. организовывается пропускной режим на территорию Общества, внедряются технические средства наблюдения и охраны;
   7. в случае обработки персональных данных на бумажных носителях, не допускается нахождение документов и/или иных материальных носителей, содержащих персональные данные в открытом виде на рабочих столах сотрудников Общества в нерабочее время, а также их вынос за территорию Общества и несанкционированное копирование.
2. В целях координации действий по обеспечению безопасности персональных данных в Обществе назначается ответственный сотрудник или подразделение за соблюдение режима безопасности персональных данных.
3. Доступ к персональным данным имеют только те работники Общества, которым эти данные необходимы в связи с исполнением ими трудовых обязанностей.
4. Работники Общества, имеющие доступ к персональным данным субъектов, имеют право получать только те персональные данные субъекта, которые необходимы им для выполнения их трудовых функций.
5. Работники, доступ которых к персональным данным необходим для выполнения работы, допускаются к персональным данным после ознакомления с правилами работы с персональными данными, а также с организационно-распорядительной документацией по защите персональных данных в Обществе.
6. При передаче персональных данных субъекта, работники Общества, осуществляющие передачу, предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.
7. В информационных системах Общества, обрабатывающих персональные данные, обеспечивается регистрация и учет всех действий, совершаемых с персональными данными.
8. Система информационной безопасности Общества непрерывно развивается и совершенствуется на базе требований международных и национальных стандартов информационной безопасности, а также лучших мировых практик.

9. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Права и обязанности Общества, как оператора персональных данных, определяются законодательством Российской Федерации в области персональных данных.
2. Общество несет ответственность за обеспечение конфиденциальности персональных данных, а также соблюдение прав и свобод субъектов персональных данных в соответствии с Кодексом об административных правонарушениях Российской Федерации.
3. В случаях нарушения установленного порядка обработки и обеспечения безопасности персональных данных, несанкционированного доступа к ним и нанесения Обществу, клиентам и контрагентам материального или иного ущерба виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную действующим законодательством Российской Федерации ответственность.

10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

1. Настоящая Политика вступает в силу с момента ее утверждения и введения в действие соответствующим органом управления Общества и является общедоступным документом.
2. К настоящей Политике обеспечивается неограниченный доступ путем ее размещения на официальном сайте Общества.
3. Работники Общества, участвующие в обработке персональных данных, должны быть ознакомлены с настоящей Политикой и иными документами Общества, устанавливающими порядок обработки персональных данных субъектов персональных данных, а также об их правах и обязанностях в этой области.