2. ОСНОВНЫЕ ПОЛОЖЕНИЯ
1. Правовые основания обработки персональных данных
Оператор обрабатывает ПДн, руководствуясь:
− Конституцией Российской Федерации;
− Гражданским кодексом Российской Федерации;
− Трудовым кодексом Российской Федерации;
− Налоговым кодексом Российской Федерации;
− Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных»;
− Федеральным законом от 15.12.2001 No 167-ФЗ «Об обязательном пенсионном страховании в Российской
Федерации»;
− Федеральным законом от 29.12.2006 No 255-ФЗ «Об обязательном социальном страховании на случай
временной нетрудоспособности и в связи с материнством»; − Федеральным законом от 29.11.2010 No 326-ФЗ «Об обязательном медицинском страховании в
Российской Федерации»;
− Федеральным законом от 01.04.1996 No 27-ФЗ «Об индивидуальном (персонифицированном) учете в
системе обязательного пенсионного страхования»; − Федеральным законом от 27.07.2006 No 149-ФЗ «Об информации, информационных технологиях и о
защите информации»;
− Федеральным законом от 06.04.2011 No 63-ФЗ «Об электронной подписи»;
− Постановлением Правительства РФ от 01.11.2012 No 1119 «Об утверждении требований к защите
персональных данных при их обработке в информационных системах персональных данных»;
− Постановлением Правительства Российской Федерации от 15.09.2008 No 687 «Об утверждении
Положения об особенностях обработки персональных данных, осуществляемой без использования средств
автоматизации»; − Положением о защите персональных данных работников при их обработке и хранении Оператора;
− Настоящей Политикой;
− Договорами, заключаемыми между Оператором и субъектами ПДн;
− Согласиями на обработку персональных данных субъектов ПДн.
2. Принципы обработки персональных данных
Обработка ПДн Оператором осуществляется на основании следующих принципов:
− законности и справедливости целей и способов обработки ПДн;
− соответствия целей обработки ПДн законным целям, заранее определенным и заявленным при
сборе ПДн; − соответствия объема и содержания обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;
− точности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по
отношению к целям, заявленным при сборе ПДн; − недопустимости объединения созданных для несовместимых между собой целей баз данных,
содержащих ПДн;
− хранения ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели
обработки ПДн, или ФЗ, договор, согласие, устанавливающие срок хранения ПДн; − уничтожения и обезличивания ПДн по достижении целей их обработки, в случае утраты необходимости в
достижении целей обработки или по окончании срока хранения ПДн; − обеспечения конфиденциальности и безопасности обрабатываемых ПДн.
3. Цели обработки, субъекты, объем и категории обрабатываемых персональных данных.
Оператор обрабатывает ПДн следующих субъектов:
3.1. Работников и бывших работников Оператора, а также их близких родственников, кандидатов на
замещение вакантных должностей у Оператора.
3.1.1. С целью: осуществления возложенных на Оператора законодательством РФ функциональных
обязанностей в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, Гражданским кодексом РФ а
также иными федеральными законами и подзаконными нормативными правовыми актами, а именно: начисления и
выплаты заработной платы, заключения трудовых и иных договоров, ведения личных карточек, регистрации и
обработки сведений о профессиональной служебной деятельности работников, предоставления сведений в
Управление Пенсионного фонда, ИФНС, иные органы и учреждения в соответствии с законодательством РФ,
регистрации обращений, принятия решения о трудоустройстве и формирования кадрового резерва, исчисления и
уплаты, предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное и
пенсионное страхование, представления установленной законодательством отчетности в отношении физических
лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ, сведений налоговых сведений в
ФНС России, сведений в ФСС РФ, предоставления сведений в военный комиссариат для осуществления
воинского учета, выдачи доступа к информационным системам Оператора, осуществления взаимодействия и
улучшения взаимоотношений между лицами, контроля количества и качества выполняемой работы работниками
Оператора, обеспечения безопасности субъектов ПДн, сохранности имущества Оператора и субъектов ПДн;
осуществления деятельности Оператора в соответствии с ЛНА Оператора, отражение информации во внутренних
базах данных Оператора, предоставления сведений третьим лицам для, соблюдения требований по охране труда;
предоставления налоговых вычетов; обеспечения безопасности; контроля количества и качества выполняемой
работы; обеспечения сохранности имущества Оператора.
3.1.2. Следующие категории персональных данных:
- фамилия, имя, отчество;
- пол, возраст;
- дата и место рождения;
- реквизиты документа, удостоверяющего личность;
- идентификационный номер налогоплательщика, дата постановки его на учет, реквизиты свидетельства
постановки на учет в налоговом органе;
- СНИЛС;
- адрес регистрации по месту жительства и адрес фактического проживания;
- данные документов об образовании, квалификации, профессиональной подготовке, сведения о
повышении квалификации;
- почтовый и электронный адреса;
- номера телефонов (домашний, мобильный);
- банковские реквизиты;
- семейное положение, сведения о составе семьи, которые могут понадобиться Оператору для
предоставления льгот, предусмотренных трудовым и налоговым законодательством (только для работников
Оператора);
- отношение к воинской обязанности (только для работников Оператора);
- сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;
- сведения об образовании, профессии, специальности и квалификации;
- сведения об имущественном положении, доходах, задолженности (только для работников Оператора);
- информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности у
Оператора, сведения об учете рабочего времени (только для работников Оператора);
- фотографии и видеоматериалы, полученные Оператором при организации съемок с участием субъекта
персональных данных;
- видеозаписи с камер видеонаблюдения;
- изображение, полученное при съемке, и опубликованное субъектом персональных данных лично;
- сведения, включенные в резюме (для кандидатов на замещение вакантных должностей у Оператора);
- фотография (изображение);
- сведения документов, подтверждающих право на льготы, в том числе сведения об инвалидности (являются
специальными категориями ПДн);
- сведения о временной нетрудоспособности (являются специальными категориями ПДн);
- сведения о состояние здоровья, сведения об инвалидности (являются специальными категориями ПДн.
3.2. Клиентов (физических лиц), в том числе потенциальных, представителей клиентов (юридических лиц), в
том числе потенциальных.
3.2.1. С целью осуществления возложенных на Оператора законодательством Российской Федерации функций
в соответствии с Гражданским кодексом РФ, Налоговым кодексом РФ, а также иными федеральными законами,
подзаконными нормативными правовыми актами; информирования о деятельности Оператора, предлагаемых
продуктах, направления уведомлений, информации и запросов, связанных с оказанием услуг; обработки запросов
и заявок клиентов; осуществления рассылки информационно-рекламного характера; улучшения качества
оказываемых услуг; продвижения услуг на рынке путем осуществления прямых контактов с клиентами;
проведения статистических и иных исследований на основе обезличенных персональных данных, обеспечения
безопасности субъектов ПДн, сохранности имущества Оператора и субъектов ПДн; осуществления деятельности
Оператора в соответствии с ЛНА Оператора.
3.2.2. Следующие категории персональных данных:
- фамилия, имя, отчество;
- пол, возраст;
- дата и место рождения;
- реквизиты документа, удостоверяющего личность;
- идентификационный номер налогоплательщика, дата постановки его на учет, реквизиты свидетельства
постановки на учет в налоговом органе;
- адрес регистрации по месту жительства и адрес фактического проживания;
- почтовый и электронный адреса;
- номера телефонов;
- изображение;
- фотографии и видеоматериалы, полученные Оператором при организации съемок с участием Субъекта персональных
данных;
- сведения об образовании, профессии, специальности и квалификации;
- сведения об имущественном положении, доходах,задолженности;
- сведения об основных характеристиках бизнеса: сфера деятельности, виды оказываемых услуг, выполняемых работ,
способы масштабирования бизнеса, финансовые результаты; сведения любого характера (операционные, технические,
экономические, организационные и другие), в том числе сведения о бизнес-процессах (формализованных и
неформализованных, то есть существующих фактически), результатах интеллектуальной деятельности, сведения о
способах осуществления предпринимательской деятельности;
- сведения о способах осуществления предпринимательской деятельности и суммах выручки и чистой прибыли.
3.3. Контрагентов (физических лиц), в том числе потенциальных, представителей контрагентов (юридических
лиц), в том числе потенциальных.
3.3.1. С целью осуществления возложенных на Оператора законодательством Российской Федерации функций
в соответствии с Гражданским кодексом РФ, Налоговым кодексом РФ, а также иными федеральными законами,
подзаконными нормативными правовыми актами; проявления должной осмотрительности при заключении сделок;
заключения и исполнения обязательств по договорам, формировании базы контрагентов, заключения и выполнения
обязательств по договорам гражданско-правового характера; осуществления деятельности Оператора в
соответствии с ЛНА Оператора.
3.3.2. Следующие категории персональных данных:
- фамилия, имя, отчество;
- пол, возраст;
- дата и место рождения;
- реквизиты документа, удостоверяющего личность;
- адрес места жительства (адрес проживания);
- СНИЛС;
- ИНН;
- электронная почта;
- номер телефона;
- банковские реквизиты.
3.4. Посетителей и пользователей Сайтов Оператора.
3.4.1. С Целью направления уведомлений, информации и запросов, связанных с оказанием услуг, обработки
запросов и заявок клиентов; осуществления рассылки информационно-рекламного характера; улучшения качества
оказываемых услуг; продвижения услуг на рынке путем осуществления прямых контактов с клиентами;
проведения статистических и иных исследований на основе обезличенных персональных данных; осуществления
деятельности Оператора в соответствии с Уставом Оператора; обеспечения функционирования и улучшения
качества сайтов Оператора, смягчения рисков предотвращения возможного мошенничества, обеспечения
безопасности при использовании сайтов Оператора, хранения персональных предпочтений и настроек
пользователей, ведения аналитики.
3.4.2. Следующие категории персональных данных: − фамилия, имя, отчество (в случае заполнения формы обратной связи);
− электронная почта (в случае заполнения формы обратной связи);
− номер телефона (в случае заполнения формы обратной связи);
− cookie-файлы.
4. Порядок и условия обработки персональных данных
4.1. Обработка ПДн Оператором осуществляется путем сбора, записи, систематизации, накопления,
хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения,
предоставления, доступа), обезличивания, блокирования, удаления, уничтожения.
4.2. Оператор осуществляет смешанную обработку ПДн (производится как при помощи средств
вычислительной техники, так и без них).
4.3. Автоматизированная обработка ПДн осуществляется согласно требованиям и положениям настоящей
Политики в части обработки ПДн в информационных системах ПДн Оператора, а также требованиям
законодательства РФ.
4.4. Обработка ПДн без использования средств автоматизации осуществляется согласно ЛНА Оператора.
4.5. Трансграничная передача ПДн не осуществляется. В случае необходимости осуществления трансграничной
передачи ПДн Оператор, перед совершением такой передачи, обязан убедиться в том, что иностранным государством, на
территорию которого осуществляется передача ПДн, обеспечивается адекватная защита прав субъектов ПДн, а также
отсутствии установленных законодательством запретов или ограничений на передачу ПДн на территорию данного
иностранного государства.
4.6. Трансграничная передача ПДн на территорию иностранных государств, не обеспечивающих адекватной
защиты прав субъектов ПДн, может осуществляться Оператором в случаях:
− наличия согласия в письменной форме субъекта ПДн;
− исполнения договора, стороной которого является субъект ПДн;
− в иных случаях, установленных законодательством РФ.
4.7. Оператор вправе поручить обработку ПДн Субъектов третьим лицам, в том числе следующим лицам:
Наименование | Инн | Адрес | Цель | Субъекты |
АО «АМОЦРМ» | 7709477879 | 121205, г. Москва, территория инновационного центра «Сколково», Большой бульвар, д. 42, стр. 1, этаж 4, пом.1448, рм. 6 | Для организации единого информационного пространства, для совместной работы, для автоматизации CRM-системы с использованием программы для ЭВМ «амоЦРМ 2.0» | Клиенты, контрагенты, работники |
АО «Тинькофф Банк» | 7710140679 | 127287, г. Москва, ул. Хуторская 2-я, д. 38А, стр. 26 | Для реализации получения субъектами персональных данных услуг/продуктов Банка, в том числе включающих: расчетно-кассовое обслуживание, торговый эквайринг, выдачу банковских гарантий. | Работники и бывшие работники Оператора, Клиенты; контрагенты |
4.8. Лицо, осуществляющее обработку персональных данных по поручению Оператора, соблюдает принципы
и правила обработки персональных данных, предусмотренные настоящей Политикой. В поручении Оператора
определены перечень действий (операций) с персональными данными, которые будут совершаться лицом,
осуществляющим обработку персональных данных, способы и цели обработки, установлена обязанность такого
лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных
при их обработке, а также указаны требования к защите обрабатываемых персональных данных.
4.9. При поручении обработки персональных данных другому лицу ответственность перед субъектом
персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку
персональных данных по поручению Оператора, несет ответственность перед Оператором.
4.10. Распространение ПДн может осуществляться только после получения согласия на распространение ПДн,
оформленного отдельно от иных согласий субъекта ПДн на обработку его ПДн, в котором должен быть определен
перечень ПДн, разрешенных субъектом ПДн для распространения.
4.11. Уточнение ПДн осуществляется по запросам субъектов ПДн, их законных представителей или в случае
обращения уполномоченных органов.
4.12. Основанием для уничтожения ПДн, обрабатываемых Оператором, является:
− достижение цели обработки ПДн;
− прекращение необходимости в достижении цели обработки ПДн;
− отзыв субъектом ПДн согласия на обработку ПДн, за исключением случаев, когда обработка указанных
ПДн является обязательной в соответствии с законодательством РФ или договором, либо обработка может
осуществляться без согласия субъекта ПДн;
− выявление неправомерных действий с ПДн и невозможность устранения допущенных нарушений в срок,
не превышающий трех рабочих дней с даты такого выявления; − истечение срока хранения ПДн, установленного законодательством РФ, ЛНА Оператора, договором,
заключенным с субъектом ПДн, согласием субъекта ПДн;
− предписание Роскомнадзора или иного уполномоченного органа.
4.13. Уничтожение ПДн, собранных и обрабатываемых Оператором для целей, указанных в п.2.3., пп.2.4.7.
настоящей Политики, производится путем измельчения с использованием шредера (для уничтожения бумажных
документов) и путем стирания или форматирования носителя (при уничтожении ПДн, содержащихся на
электронных носителях). Документальная фиксация уничтожения ПДн осуществляется путем оформления
соответствующего акта о прекращении обработки и уничтожении ПДн.
4.14. Обрабатываемые ПДн подлежат обезличиванию или уничтожению по достижении целей обработки или в
случае прекращения необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.
4.15. Обезличивание ПДн должно осуществляться следующими методами:
− введения идентификаторов, путем замена части сведений на идентификаторы, с созданием таблицы
соответствия идентификаторов исходным данным;
− изменения состава или семантики ПДн путем их замены результатами статистической обработки,
преобразования, обобщения или удаления части сведений; − декомпозиции, путем разделения множества (массива) данных на несколько подмножеств с
последующим раздельным хранением подмножеств;
− перемешивания, путем перестановки отдельных значений или групп значений атрибутов данных в массиве
данных.
4.16. При обработке ПДн в информационных системах ПДн с целью обеспечения безопасности ПДн, при
наличии технической возможности, Оператор стремится:
− исключать фиксацию на одном материальном носителе ПДн и иных видов информации, а также ПДн,
цели обработки которых заведомо несовместимы;
4.17. Хранение ПДн на материальных носителях осуществляется в специально отведенных в Оператором и
обособленных подразделения Оператора местах хранения ПДн в специальных помещениях (специальных сейфах/
шкафах).
4.18. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность ПДн и
исключающие несанкционированный доступ к ним.
4.19. Сроки обработки и хранения ПДн для всех целей, предусмотренных п.2.3., пп.2.4.7. настоящей Политики,
определяются в соответствии с настоящей Политикой, сроками, указанными в согласиях на обработку ПДн,
договорами, заключенными с субъектами ПДн, а также требованиями законодательства РФ.
4.20. Оператор осуществляет хранение ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем
этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором,
согласием субъекта ПДн.
