Соглашение на обработку персональных данных
1. Общие положения.
1.1. Политика компании EFT GROUP (далее по тексту – Компания) в отношении обработки персональных данных» (далее – Политика) определяет позицию и намерения Компании в области обработки и защиты персональных данных.
1.2. Политика разработана в целях реализации требований законодательства в области обработки и обеспечения безопасности персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Компании.
1.3. Положения настоящей Политики являются обязательными для исполнения всеми Работниками Компании, имеющими доступ к персональным данным.
1.4. Политика является общедоступной и подлежит размещению на сайте Компании.
1.5. Основные понятия, используемые в настоящей Политике:
1.5.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных);
1.5.2. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данным, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) можно отнести: сбор, получение, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.5.3. Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.5.4. Работник Компании – физическое лицо, заключившее с Компанией трудовой договор.
1.5.5. Субъект персональных данных – физическое лицо, которое прямо или косвенно определено с помощью персональных данных.
2. Цели обработки персональных данных.
2.1. Компания осуществляет обработку персональных данных в целях:
· заключения с Субъектом персональных данных любых договоров и их дальнейшего исполнения;
· проведения Компанией акций, опросов, исследований;
· информирования Субъектов персональных данных о предложениях по продукции и услугам Компании;
· ведения кадровой работы и организации учета Работников Компании;
· привлечения и отбора кандидатов на замещение вакантных должностей в Компанию;
· формирования статистической отчетности;
· осуществления Компанией административно-хозяйственной деятельности.
3. Субъекты персональных данных.
3.1. Компания обрабатывает персональные данные следующих лиц:
· работников и бывших работников Компании;
· кандидатов на замещение вакантных должностей Компании;
· субъектов, с которыми заключены договоры гражданско-правового характера;
· клиентов и контрагентов Компании (физические лица);
· представителей/работников клиентов и контрагентов Компании (юридических лиц);
· зарегистрированных пользователей сайтов Компании
4. Принципы и условия обработки персональных данных.
4.1. Обработка персональных данных осуществляется на основе следующих принципов:
· обработка персональных данных осуществляется на законной и справедливой основе;
· обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
· не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой;
· обработке подлежат только те персональные данные, которые отвечают целям их обработки;
· содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;
· при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;
· хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом № 152-ФЗ «О персональных данных», договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом № 152-ФЗ «О персональных данных».
4.2. Компания в своей деятельности исходит из того, что субъект персональных данных предоставляет точную и достоверную информацию во время взаимодействия с Компанией и извещает представителей Компании об изменении своих персональных данных.
4.3. Компания обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:
· обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
· обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
· обработка персональных данных необходима для исполнения договора, стороной которого, либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
· обработка персональных данных необходима для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
· осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
· осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ.
4.4. Компания уничтожает либо обезличивает персональные данные по достижении целей обработки или в случае утраты необходимости достижения цели обработки.
5. Права Субъекта персональных данных и Общества.
5.1. Субъект персональных данных имеет право:
· получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные Законодательством о персональных данных;
· требовать уточнения своих персональных данных, их Блокирования или Уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении Субъектом персональных данных согласия на обработку персональных данных;
· принимать предусмотренные законом меры по защите своих прав;
· отозвать свое согласие на обработку персональных данных.
5.2. Компания имеет право:
· обрабатывать персональные данные Субъекта персональных данных в соответствии с заявленной целью;
· требовать от Субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации Субъекта персональных данных, а также в иных случаях, предусмотренных Законодательством о персональных данных;
· ограничить доступ Субъекта персональных данных к его персональным данным в случае, если Обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Российской Федерации;
· обрабатывать общедоступные персональные данные физических лиц;
· осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации;
· поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных.
6. Меры по обеспечению безопасности персональных данных при их обработке.
6.1. Под безопасностью персональных данных Компания понимает защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных и принимает необходимые правовые, организационные и технические меры для защиты персональных данных.
6.2. Обработка и обеспечение безопасности персональных данных в Компании осуществляется в соответствии с требованиями Конституции Российской Федерации, Федерального закона № 152-ФЗ «О персональных данных», подзаконных актов, других определяющих случаи и особенности обработки персональных данных федеральных законов Российской Федерации, руководящих и методических документов ФСТЭК России и ФСБ России.
6.3. Компания при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. К таким мерам в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» относятся:
· определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
· применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
· применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
· оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
· обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
· восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
· установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
· контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
· размещение технических средств обработки персональных данных в пределах охраняемой территории;
· поддержание технических средств охраны, сигнализации в постоянной готовности;
· проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных.
· назначение лиц, ответственных за обеспечение безопасности персональных данных.
7. Ответственность.
7.1. Компания, а также его должностные лица и Работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки персональных данных физических лиц, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Российской Федерации.