Политика в отношении обработки персональных данных в АО «ОКБ»

1. Общие положения

Настоящая Политика определяет основные принципы, цели, условия и способы обработки персональных данных обрабатываемых в АО «ОКБ», функции АО «ОКБ» при обработке персональных данных, права субъектов персональных данных, а также реализуемые в АО «ОКБ» требования по защите персональных данных. Настоящая Политика разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области обработки и защиты персональных данных. Положения настоящей Политики служат основой для разработки локальных нормативных актов, регламентирующих в АО «ОКБ» вопросы обработки и защиты персональных данных субъектов персональных данных, персональные данные которых обрабатывает АО «ОКБ». Положения настоящей Политики детализируются во внутренних нормативных документах АО «ОКБ».

АО «ОКБ» обеспечивает полное соблюдение прав и свобод граждан — субъектов персональных данных при обработке их персональных данных, в том числе обеспечивает защиту их прав на неприкосновенность частной жизни, личной и семейной тайн. На основании приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций АО «ОКБ» включен в реестр операторов, осуществляющих Обработку персональных данных под регистрационным номером 08−3 001 (https://pd.rkn.gov.ru/operators-registry/operators-list/?id=08−3 001). Настоящая Политика является внутренним документом АО «ОКБ», является общедоступной и подлежит размещению (опубликованию) на официальных сайтах АО «ОКБ».

2. Основные понятия, используемые в Политике
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
Оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
  • сбор
  • запись
  • систематизацию
  • накопление
  • хранение
  • уточнение (обновление, изменение)
  • извлечение
  • использование
  • передачу (распространение, предоставление, доступ)
  • блокирование
  • удаление
  • уничтожение
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу".

3. Правовые основания обработки персональных данных
Правовым основанием обработки персональных данных является совокупность нормативноправовых актов, во исполнение которых и в соответствии с которыми Бюро осуществляет обработку персональных данных, в том числе:
  • Конституция Российской Федерации
  • Трудовой кодекс Российской Федерации
  • Гражданский кодекс Российской Федерации
  • Федеральный закон от 30.12.2004 № 218-ФЗ «О кредитных историях»
  • Федеральный закон от 26.12.1995 № 208-ФЗ «Об акционерных обществах»; − Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»
  • Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»
  • Федеральный закон от 17.12.2001 № 173-ФЗ «О трудовых пенсиях в Российской Федерации»
  • Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»
  • иных нормативно-правовых актов Российской Федерации

4. Цели и категории обработки персональных данных
Категории обрабатываемых персональных данных:
В Бюро обрабатываются следующие категории персональных данных:
  • персональные данные, разрешенные субъектом персональных данных для распространения
  • иные персональные данные (сведения, которые не относятся к биометрическим и специальным категориям).

В Бюро не обрабатываются следующие категории персональных данных:
  • персональные данные, относящиеся к специальной категории (сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни)
  • персональные данные, относящиеся к биометрическим персональным данным (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных)

Категории субъектов персональных данных и цели обработки персональных данных
Работники Бюро:
  • проведение обучения
  • оформление договора добровольного медицинского страхования (ДМС, страхование жизни, страхование от несчастных случаев)
  • выпуск зарплатой банковской карты
  • организация деловых поездок
  • организация и осуществления пропускного и внутриобъектового режимов
  • предоставление мобильной связи
  • оформление и подтверждение полномочий на основании доверенности
  • опубликование на общедоступных источниках
Члены органов управления и контроля (акционеров, членов Совета директоров, членов ревизионной комиссии, конечных бенефициаров (владельцев) и аффилированных лиц Бюро):
  • исполнение требований Федерального закона от 26.12.1995 № 208-ФЗ «Об акционерных обществах», Федерального закона от 26.07.2006 № 135-ФЗ «О защите конкуренции»
Физические лица — Контрагенты:
  • проверка благонадежности потенциальных контрагентов и действующих контрагентов, а также ретроспективный анализ результатов при дальнейшем взаимодействии с ними
  • заключение, исполнение и прекращение гражданскоправовых договоров с такими лицами
Клиенты:
  • оказание услуг клиентам, предусмотренных заключенными договорами
  • проведение идентификации посредством прохождения авторизации в единой системе идентификации и аутентификации (Портал Госуслуги)
  • представление на основании запроса, совершенного посредством Личного кабинета, кредитного отчета в соответствии с ФЗ № 218-ФЗ «О кредитных историях»
  • предоставление доступа в Личный кабинет и возможности использования его функционала
  • проведения опросов, в том числе о качестве оказываемых услуг, исследований и программ в Личном кабинете
  • ведение и актуализация клиентской базы
  • проведение идентификации и заполнения сведений о клиенте в Личном кабинете посредством сервиса Сбербанк ID
  • проведение идентификации и заполнения сведений о клиенте в Личном кабинете посредством сервиса Tinkoff ID
  • получение и исследование статистических данных об объемах продаж и качестве оказываемых услуг
  • проведение маркетинговых опросов, исследований и программ, изучения конъюнктуры рынка
  • информирование в Личном кабинете о товарах, работах, услугах и продуктах, проводимых мероприятиях, акциях и скидках Бюро и его партнеров
  • рекламирование и продвижение товаров, работ, услуг Бюро и ее партнеров на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи
  • подбор и предоставление на рассмотрение субъекту персональных данных персональных предложений товаров, работ, услуг и продуктов Бюро и его партнеров на основании заключенных между Бюро и партнерами договоров
  • предоставление в Личном кабинете, организованном АО «ОКБ» в сети Интернет по адресу: https://credistory.ru, сведений о сумме задолженности перед Партнером 1 и условиях её погашения, а также возможности запросить платежную ссылку для оплаты задолженности в пользу соответствующего Партнера на его платежной странице
  • предоставление ответов на запросы государственных органов
Субъекты кредитных историй:
  • исполнение Федерального закона «О кредитных историях» № 218-ФЗ
Субъекты ПДн, обрабатываемых по поручению:
  • обработка ПДн по поручению заказчиков (пользователей сервисов Бюро — юридических лиц)
Посетители сайтов Бюро:
  • улучшение работы сайта, совершенствование продуктов и услуг, определение предпочтений пользователя, предоставление целевой информации по продуктам и услугам

Обработка ПДн осуществляется с использованием средств автоматизации, а также без использования таких средств (на бумажных носителях информации).
Сроки обработки и хранения ПДн определяются в соответствии с:
  • целями обработки ПДн субъектов ПДн
  • договором, стороной которого является субъект ПДн
  • согласием субъекта ПДн на обработку его ПДн
  • требованиями законодательства Российской Федерации

Прекращение обработки и уничтожение ПДн осуществляется:
  • по требованию Роскомнадзора об уничтожении недостоверных или полученных незаконным путем ПДн
  • при выявлении неправомерной обработки ПДн
  • при отзыве согласия субъекта ПДн на обработку его ПДн, за исключением случаев, предусмотренных Законодательством о ПДн
  • по требованию субъекта ПДн прекратить обработку его ПДн, за исключением случаев, предусмотренных Законодательством о ПДн
  • при утрате необходимости в достижении целей обработки ПДн
  • по достижении целей обработки
  • по истечении установленных сроков хранения ПДн

5. Порядок и условия обработки персональных данных. Сбор ПДн
Сбор ПДн осуществляется непосредственно у самого субъекта ПДн и (или) через других лиц, привлекаемых для сбора данных, с последующей их передачей в Бюро.

При сборе ПДн на страницах сайта Бюро предоставляет субъекту ПДн возможность ознакомления с настоящей Политикой и дать согласие на обработку ПДн свободно, своей волей и в своем интересе, находящейся в Приложении 1 к настоящей Политике.

Сбор и обработка ПДн субъекта в целях продвижения товаров, работ, услуг Бюро и иных третьих лиц с помощью средств связи осуществляется только при условии получения предварительного согласия на это субъекта.

Если в соответствии с законодательством Российской Федерации предоставление ПДн и (или) получение Бюро согласия на обработку ПДн являются обязательными, Бюро разъясняет субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.

Если ПДн получены не от субъекта ПДн, за исключением случаев сбора данных в рамках исполнения Федерального закона «О кредитных историях» № 218-ФЗ" или поручения на обработку ПДн, то Бюро до начала обработки таких ПДн предоставляет субъекту ПДн следующую информацию:
  • наименование и адрес Бюро
  • цель обработки ПДн и ее правовое основание
  • перечень ПДн
  • предполагаемые пользователи ПДн
  • установленные Законодательством о ПДн права субъекта ПДн
  • источник получения ПДн

Бюро освобождается от обязанности предоставлять субъекту перечисленные сведения, в случаях, если субъект уведомлен об осуществлении обработки его ПДн, либо если ПДн получены Бюро на основании федерального закона или в связи с исполнением договора, стороной которого является субъект.

Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПДн только при наличии согласия в письменной форме субъекта ПДн или в случаях, предусмотренных законодательством Российской Федерации, устанавливающими меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.

Условия передачи ПДн третьим лицам
Предоставление ПДн органам государственной власти, органам местного самоуправления, а также иным уполномоченным органам допускается в случаях и на основаниях, предусмотренных законодательством Российской Федерации.

Передача ПДн между подразделениями Бюро осуществляется только между работниками, доступ к ПДн субъектов которым необходим в связи с исполнением ими своих должностных обязанностей.

Представителю субъекта ПДн субъекта предоставляются в порядке, установленном действующим законодательством Российской Федерации, при наличии документов, подтверждающих полномочия представителя, и документов, удостоверяющих личность представителя.

Передача ПДн субъекта третьему лицу осуществляется только с согласия субъекта ПДн. В согласии субъекта ПДн указывается сведения о третьем лице (третьих лицах), которому (которым) передаются ПДн, а также цель передачи ПДн, за исключением случаев, предусмотренных Федеральным законом «О кредитных историях» 218-ФЗ и иными нормативно-правовыми актами Российской Федерации.

Передача ПДн или поручение обработки ПДн третьему лицу осуществляется на основании договора, существенными условиями которого являются соблюдение третьим лицом конфиденциальности и обеспечение безопасности ПДн в соответствии с требованиями Законодательства о ПДн, за исключением случаев, предусмотренных Федеральным законом «О кредитных историях» 218- ФЗ.

При передаче ПДн третьим лицам, которые на основании договоров получают доступ или осуществляют обработку ПДн, Бюро ограничивает эту информацию только теми ПДн, которые необходимы для выполнения указанными лицами их функций (услуг, работ).

Трансграничная передача ПДн
Трансграничная передача ПДн не осуществляется.

Хранение ПДн
Хранение ПДн осуществляется в информационных системах Бюро и на бумажных носителях. Документы на бумажных носителях, резервные копии баз данных информационных систем хранятся в специально выделенных помещениях Бюро, доступ к которым предоставляется работникам в соответствии с должностными обязанностями.

Прекращение обработки и уничтожение ПДн
В случае обращения субъекта с требованием прекратить обработку его ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи, Бюро незамедлительно прекращает их обработку с целью продвижения товаров, работ, услуг на рынке.

В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо Роскомнадзора, Бюро в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, прекращает неправомерную обработку ПДн и в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПДн, уничтожает такие ПДн.

В случае отзыва субъектом согласия на обработку его ПДн Бюро прекращает такую обработку и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожает ПДн в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством Российской Федерации, нормами архивного хранения документов, содержащих ПДн, а также договором стороной которого является субъект.

В случае обращения субъекта ПДн с требованием о прекращении обработки ПДн Бюро в срок, не превышающий 10 (десяти) рабочих дней с даты получения соответствующего требования, прекращает их обработку, за исключением случаев, предусмотренных законодательством Российской Федерации.

В случае утраты необходимости в достижении целей Бюро уничтожает обрабатываемые ПДн в срок, не превышающий 30 (тридцати) дней, если иное не предусмотрено законодательством Российской Федерации.

В случае достижения целей обработки ПДн, а также по истечении установленных сроков хранения ПДн Бюро уничтожает обрабатываемые ПДн в срок, не превышающий 30 (тридцати) дней, если иное не предусмотрено законодательством Российской Федерации.

При обработке ПДн Бюро руководствуется Положением об обработке персональных данных, устанавливающим порядок, условия и требования к обработке ПДн в Бюро, а также особенности осуществляемой обработки.

6. Безопасность персональных данных
В Бюро соответствующими распорядительными документами назначены лица, ответственные за организацию обработки и обеспечение безопасности ПДн.

Безопасность ПДн Бюро в соответствии с Положением об обработке персональных данных и обеспечивается с помощью системы защиты ПДн, включающей организационные и технические меры.

В целях обеспечения безопасности ПДн в Бюро выполняются следующие мероприятия:
  • систематическая оценка угроз безопасности ПДн при их обработке в информационных системах ПДн
  • оценка причинения вреда и (или) нанесения ущерба субъектам ПДн в случае нарушения Законодательства о ПДн
  • определение необходимого уровня защищенности ПДн, обрабатываемых в информационных системах Бюро, в соответствии с Постановлением Правительства Р Ф от 01.11.2012 г. № 1119 «Об утверждении требований к защите ПДн при их обработке в информационных системах персональных данных»
  • разграничение доступа к информационным системам ПДн, материальным носителям (документам), съемным (машинным) носителям ПДн
  • регистрация и учет действий пользователей и администраторов информационных систем с ПДн, программными средствами информационных систем, съемными (машинными) носителями и средствами защиты информации
  • предотвращение внедрения в информационные системы Бюро вредоносных программ
  • использование защищенных каналов связи
  • резервирование и восстановление работоспособности технических средств и программного обеспечения, баз данных и средств защиты информационных систем
  • исключение возможности бесконтрольного прохода в офисы Бюро, а также в помещения, где размещены технические средства, позволяющие осуществлять обработку ПДн, а также хранятся носители ПДн
  • выявление инцидентов, связанных с нарушением требований по обработке и обеспечению безопасности ПДн, и реагирование на них
  • повышение уровня знаний работников Бюро в сфере обработки и обеспечения безопасности ПДн
  • проведение внутренних и внешних проверок (аудитов) соответствия безопасности ПДн требованиям настоящей Политики, внутренних документов Бюро, требованиям Законодательства о ПДн
  • оценка эффективности принимаемых мер по обеспечению безопасности ПДн и совершенствование системы защиты ПДн

7. Порядок и сроки реагирования на обращения субъектов персональных данных
Предоставление информации и / или принятие иных мер в связи с поступлением обращений и / или запросов от субъектов ПДн производится Бюро в объеме и сроки, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее- Федеральный Закон «О персональных данных»). Установленный Федеральным Законом «О персональных данных» срок ответа субъекту на запрос о предоставлении информации, касающейся обработки его ПДн, может быть продлен не более чем на 5 (пять) рабочих дней в случае направления Бюро в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

Запрос, направляемый субъектом ПДн, должен содержать информацию, предусмотренную Федеральным Законом «О персональных данных»).

Бюро, получив обращение / запрос субъекта ПДн и убедившись в его законности предоставляет сведения, указанные в запросе, субъекту ПДн и / или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе, и / или принимает иные меры в зависимости от специфики обращения/запроса. Предоставляемые Бюро сведения не должны содержать ПДн, принадлежащие другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких ПДн.

Бюро вправе отказать субъекту ПДн в удовлетворении требований, указанных в обращении, путем направления субъекту ПДн или его представителю мотивированного отказа, если у Бюро в соответствии с законодательством Российской Федерации имеются законные основания отказать в выполнении / удовлетворении поступивших требований.

В Бюро осуществляется контроль за приемом и обработкой обращений субъектов ПДн в целях обеспечения соблюдения прав и законных интересов субъектов ПДн, требований к срокам обработки обращений, обеспечения качества и полноты принятия мер в отношении законного требования субъекта ПДн и предоставления необходимой информации по его обращению в соответствии.

8. Уведомление уполномоченного органа по защите прав субъектов персональных данных
В случаях, установленных Федеральным Законом «О персональных данных», Бюро направляет в Роскомнадзор уведомление об обработке ПДн.

В случае изменений сведений об обработке ПДн Бюро уведомляет об этом Роскомнадзор в порядке и сроки, установленные Федеральным Законом «О персональных данных».

В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, Бюро с момента выявления такого инцидента, уведомляет Роскомнадзор:
  • в течение 24 (двадцати четырех) часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также о лице, уполномоченном Бюро на взаимодействие с Роскомнадзором, по вопросам, связанным с выявленным инцидентом
  • в течение 72 (семидесяти двух) часов о результатах внутреннего расследования выявленного инцидента, а также о лицах, действия которых стали причиной выявленного инцидента (при наличии)

Бюро сообщает по запросу Роскомнадзора необходимую информацию в течение 10 (десяти) рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Бюро в адрес Роскомнадзора мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

9. Права и обязанности
Субъект персональных данных имеет право:
— на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
  • подтверждение факта обработки персональных данных
  • правовые основания и цели обработки персональных данных
  • цели и применяемые способы обработки персональных данных
  • полное наименование и местонахождение АО «ОКБ», сведения о лицах (за исключением работников АО «ОКБ»), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с АО «ОКБ» или на основании законодательства Российской Федерации
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством Российской Федерации
  • сроки обработки персональных данных, в том числе сроки их хранения
  • порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации
  • информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению АО «ОКБ», если обработка поручена или будет поручена такому лицу
  • информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона 152-ФЗ «О персональных данных»
  • иные сведения, предусмотренные законодательством Российской Федерации
— требовать исправления неверных, неточных, устаревших персональных данных, исключения из обработки персональных данных в случае неправомерной обработки его персональных данных
— отозвать согласие на обработку персональных данных
— обжаловать в суде любые неправомерные действия или бездействие АО «ОКБ» при обработке и защите его персональных данных.

Субъекты персональных данных несут ответственность за предоставление достоверных сведений, а также за своевременное обновление предоставленных данных в случае каких-либо изменений.

1Ознакомиться с перечнем партнеров Бюро можно на сайте Бюро по ссылке: https://bkiokb.ru/sites/default/files/service_documents/ucb_partners.pdf
Вернуться на главную