Мы собираем статистику о вашем визите с помощью файлов cookies, чтобы сделать ваш опыт использования Ньютон Финанс лучше. Продолжая использовать наш сайт, вы даете согласие на сбор и обработку ваших файлов cookies.
Россия, г. Иркутск,
Иркутская обл.
ул. Байкальская, 105а. оф.303/1
ИНН: 3811437340
ОГРН: 1163850081966
© ООО Ньютон Финанс, 2017-2018

ПОЛИТИКА ООО «НЬЮТОН ФИНАНС» В ОТНОШЕНИИ ОБРАБОТКИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон). Понятия, связанные с обработкой персональных данных, используются в том значении, в котором они приведены в ст. 3 Закона, если иное прямо не вытекает из текста Политики.

1.2. Настоящая Политика является важнейшим условием реализации целей Компании, является обеспечение необходимого и достаточного уровня информационной безопасности, к которым в том числе относятся персональные данные и технологические процессы, в рамках которых они обрабатываются.
Обеспечение безопасности персональных данных является одной из приоритетных задач.

1.3. Компания получает и начинает обработку персональных данных Субъекта с момента получения его согласия. Согласие на обработку персональных данных может быть дано Субъектом персональных данных в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством, в том числе посредством совершения Субъектом персональных данных конклюдентных действий при использовании сервисов на онлайн — сервисе Компании https://newton.finance, использовании форм обратной связи и акцепте оферт, содержащих в себе положения об обработке персональных данных в соответствии с действующим законодательством и размещенных по ссылкам — https://newton.finance/personal-data, https://newton.finance/agreement, https://newton.finance/politics. В случае отсутствия согласия Субъекта персональных данных на обработку его персональных данных, такая обработка не осуществляется.

1.4. Настоящая Политика:

  1. устанавливает правила обработки Обществом с ограниченной ответственностью «Ньютон Финанс» (далее — Оператор) персональных данных, предоставляемых клиентами, которые используют онлайн — сервис https://newton.finance и его сервисы для получения или оказания услуг (далее — Пользователи и онлайн — сервис соответственно);
  2. определяет цели, правовые основания, порядок и объем обрабатываемых персональных данных;
  3. содержит сведения о реализуемых требованиях к защите обрабатываемых персональных данных;
  4. определяет порядок взаимодействия с субъектами персональных данных при поступлении от них обращений.

Текст Политики доступен Пользователям в сети Интернет по адресу https://newton.finance/politics

1.5. В случае несогласия с условиями Политики Пользователь должен немедленно прекратить любое использование онлайн — сервиса.
Настоящая Политика применима только к информации о Пользователе, получаемой в ходе использования Сервисов Компании. Компания не контролирует и не несет ответственности за обработку информации о Пользователе веб-сайтами третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на официальном онлайн — сервисе Компании.

2. ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В НАСТОЯЩЕЙ ПОЛИТИКЕ:

  • персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
  • оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
  • автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
  • распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • субъект персональных данных — физическое лицо, прямо или косвенно определенное, или определяемое на основании относящихся к нему Персональных данных.
  • блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • биометрические персональные данные — данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
  • информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • персональные данные Контрагента (партнера, контрагента, потенциального контрагента, потенциального партнера), а также персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося Контрагентом (партнера, контрагента, потенциального контрагента, потенциального партнера) Организации — информация, необходимая Организации для выполнения своих обязательств в рамках договорных отношений с Контрагентом и для выполнения требований законодательства Российской Федерации.
  • персональные данные работника — любая информация, относящаяся к конкретному работнику (субъекту персональных данных) и необходимая компании в связи с трудовыми отношениями.

3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1.

  • законности целей и способов обработки персональных данных;
  • добросовестности компании, как оператора Персональных данных, что достигается путем выполнения требований законодательства Российской̆ Федерации в отношении Обработки Персональных данных;
  • соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Компании;
  • соответствия состава, объема и характера обрабатываемых персональных данных, а также способов обработки персональных данных целям заявленным целям обработки персональных данных;
  • достоверности персональных данных, их актуальности и достаточности для целей обработки, недопустимости обработки избыточных по отношению к целям сбора персональных данных;
  • легитимности организационных и технических мер по обеспечению безопасности персональных данных;
  • непрерывности повышения уровня знаний работников Компании в сфере обеспечения безопасности персональных данных при их обработке;
  • стремления к постоянному совершенствованию системы защиты персональных данных;
  • уничтожения Персональных данных по достижении целей̆ Обработки способом, исключающим возможность их восстановления;
  • недопустимости объединения баз данных, содержащих Персональные данные, Обработка которых осуществляется в целях, несовместимых между собой̆.
  • точности и достаточности, а в необходимых случаях и актуальности Персональных данных по отношению к заявленным целям их Обработки;

4. ОСНОВАНИЯ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Политика устанавливается с целью поддержания деловой репутации и обеспечения выполнения норм, требований федерального законодательства ООО «Ньютон Финанс» (далее — Компания), что является важнейшей задачей обеспечение легитимности обработки и безопасности персональных данных субъектов в бизнес-процессах Компании.

Цель Политики заключается в доведении до лиц, предоставляющих свои персональные данные, необходимой информации, позволяющей оценить, какие персональные данные и с какими целями обрабатываются Компанией, какие методы обеспечения их безопасности реализуются, а также установление основных принципов и подходов к обработке и обеспечению безопасности персональных данных в Компании.

Основная цель разработки Политики — определение порядка обработки и защиты персональных данных клиентов (пользователей), сотрудников и других субъектов обработки ПД Компании, данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

4.1. В соответствии с принципами обработки персональных данных, в Компании определены состав и цели обработки:

4.1.1. заключение, сопровождение, изменение, расторжение трудовых договоров, которые являются основанием для возникновения или прекращения трудовых отношений между Компанией и ее работниками;

  • информация, предоставляемая работником при поступлении на работу в компанию должна иметь документальную форму. При заключении трудового договора в соответствии с ТК РФ лицо, поступающее на работу предоставляет:
  • паспорт, иной документ удостоверяющий личность;
  • трудовую книжку, за исключением случаев, заключения договора впервые, или поступления на работу на условиях совместительства, или трудовая книжка у работника отсутствует в связи с ее утратой или по иным причинам;
  • страховое свидетельство государственного пенсионного страхования;
  • документы воинского учета — для лиц, подлежащих воинскому учету;
  • документ об образовании и (или) квалификации, наличии специальных званий — при поступлении на работу, требующую специальных знаний или специальной подготовки;
  • свидетельство о присвоении ИНН (при его наличии у работника);
  • иные необходимые документы.

4.1.2. предоставление услуг контрагентам;

4.1.3. исполнение обязательств, предусмотренных федеральным законодательством и иными нормативными правовыми актами;

4.1.4. представление услуг пользователям;

4.2. Компания обрабатывает персональные данные для осуществления своей деятельности, в том числе для оказания Клиентам услуг. Для этого Компания вправе:

  • осуществлять возложенные на Компанию законодательством Российской Федерации функции в соответствии с ФЗ «О Персональных данных» и иными законами и нормативными правовыми актами РФ, а также Уставом и нормативными актами Организации;
  • собирать и хранить персональные данные Клиента, необходимые для оказания услуг, исполнения соглашений и договоров, исполнения обязательств перед Клиентом;

4.3. Компания обрабатывает персональные данные при наличии хотя бы одного из следующих условий:

  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  • обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • обработка персональных данных необходима для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
    При этом компания, сотрудники компании и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

4.4. Компания может обрабатывать персональные данные субъектов персональных данных в следующих целях:

  • для идентификации субъекта персональных данных;
  • для связи с субъектом персональных данных в случае необходимости, в том числе направление предложений, уведомлений, информации и запросов, как связанных, так и не связанных с оказанием услуг, а также обработка заявлений, запросов и заявок Клиента;
  • улучшение качества услуг.

4.5. Обработка специальных категорий Персональных данных, касающихся расовой̆, национальной̆ принадлежности, политических взглядов, религиозных или философских убеждений, интимной̆ жизни, Компанией не осуществляется.

4.6. Правовыми основаниями обработки персональных данных являются следующие правовые акты:

Политика применяется в отношении всех персональных данных, которые могут быть получены Компанией в процессе деятельности, в том числе клиентов Компании. Обработка персональных данных в Компании осуществляется в соответствии со следующими нормативно-правовыми актами:

  • Трудовой кодекс Российской̆ Федерации;
  • Федеральный закон от 27 июля 2006 г. No 152-ФЗ «О персональных данных» (далее — Федеральный закон «О персональных данных»);
  • Постановление Правительства Российской Федерации от 15 сентября 2008 г. No 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой̆ без использования средств автоматизации»;
  • Постановление Правительства Российской Федерации от 1 ноября 2012 г. No 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Приказ ФСТЭК России от 18 февраля 2013 г. No 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Приказ Роскомнадзора от 05 сентября 2013 г. No 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
  • Федеральный закон «О связи» от 07.07.2003 N 126-ФЗ;
  • Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ;
  • Уставные документы Организации;
  • Договоры, заключаемые между Компанией и Клиентами (договор об оказании услуг; договор об оказании телематических услуг);
  • Официальные акты Координационного центра национального домена сети Интернет, обязательные для регистраторов, а именно: Правила регистрации доменных имен в доменах .RU и .РФ; Положение «О процедурах, подлежащих применению при возникновении споров о доменных именах»;
  • Иные нормативные правовые акты Российской̆ Федерации и нормативные документы исполнительных органов государственной̆ власти.

5. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. В целях настоящей Политики под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных).

5.2. В зависимости от субъекта персональных данных, компания для осуществления своей деятельности и для выполнения своих обязательств может обрабатывать персональные данные следующих категорий субъектов:

  • персональные данные работника Компании, кандидата на работу — информация, необходимая Компании в связи с трудовыми отношениями и касающиеся конкретного работника;
  • данные Клиента — информация, необходимая Компании для выполнения своих обязательств в рамках договорных отношений с Клиентом и для выполнения требований законодательства Российской Федерации. Сюда также относятся данные, предоставленные потенциальными клиентами, представителями клиентов, уполномоченными представлять клиентов; руководителями и главным бухгалтерами юридических лиц, являющихся клиентами Компании, лицами, заключившими с Компанией гражданско-правовые договоры на оказание услуг Компании; работниками партнеров Компании и других юридических лиц, имеющих договорные отношения с Компанией, с которым взаимодействуют работники Компании в рамках своей̆ деятельности;
  • персональные данные аффилированного лица или персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося аффилированным лицом по отношению к компании;
  • персональные данные Клиента, предоставленные при регистрации онлайн — сервисе https://newton.finance, в том числе при осуществлении Клиентом Заказов, а также при использовании сервисов, форм связи, размещенных на онлайн — сервисе https://newton.finance/;
  • персональные данные иных физических лиц, выразивших согласие на обработку Компанией их персональных данных или физические лица, обработка персональных данных которых необходима Компанией для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации;
  • персональные данные физических лиц, которые сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным Законодательством о персональных данных. Субъект персональных данных, клиент компании дает согласие на обработку следующих персональных данных: фамилии, имени, отчества; даты рождения; почтовых адресов (по месту регистрации и для контактов); сведений о гражданстве; номере основного документа, удостоверяющего личность Заказчика, сведений о дате выдачи указанного документа и выдавшем его органе; номерах телефонов; номерах факсов; адресах электронной почты (E-mail), семейном положении стаже, документе об образовании, ИНН, СНИЛС.

6. ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. В Компании осуществляется обработка только тех персональных данных, которые представлены в утвержденном Перечне персональных данных, обрабатываемых в ООО «Ньютон Финанс»

В компании осуществляется смешанная форма обработки персональных данных.

6.2. В Компании не допускается обработка следующих категорий персональных данных:

  • расовая принадлежность;
  • политические взгляды;
  • философские убеждения;
  • о состоянии здоровья;
  • состояние интимной жизни;
  • национальная принадлежность;
  • религиозные убеждения.

6.3. В Компании не обрабатываются биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).

6.4. В Компании не осуществляется трансграничная передача персональных данных (передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу), кроме тех случаев, когда пользователь онлайн — сервиса предоставляет письменное согласие Компании на трансграничную передачу персональных данных.

6.5. В Компании запрещено принятие решений относительно субъектов персональных данных на основании исключительно автоматизированной обработки их персональных данных.

6.6. В Компании не осуществляется обработка данных о судимости субъектов.

6.7. Компания не размещает персональные данные субъекта в общедоступных источниках без его предварительного согласия.

6.8. Перечень действий с персональными данными включают в себя: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

7. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Сроки обработки персональных данных определяются исходя из целей обработки в информационных системах Компании, в соответствии со сроком действия соглашения с субъектом персональных данных.

7.2. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных согласно условиям заключенных между Компанией и субъектом персональных данных договором, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

8. КРУГ ЛИЦ ДОПУЩАЕННЫХ К ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Для достижения целей настоящей Политики к обработке персональных данных допущены только те сотрудники Компании, на которых возложена такая обязанность в соответствии с их служебными (трудовыми) обязанностями. Доступ других сотрудников может быть предоставлен только в предусмотренных законом случаях. Компания требует от своих сотрудников соблюдения конфиденциальности и обеспечения безопасности персональных данных, при их обработке.

8.2. Компания вправе передать персональные данные третьим лицам в следующих случаях: — Субъект персональных данных явно выразил свое согласие на такие действия; — Передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры. При этом к приобретателю переходят все обязательства по соблюдению условий настоящей Политики применительно к полученным им данным.

8.3. По мотивированному запросу уполномоченного органа и согласно действующему законодательству персональные данные субъекта без его согласия могут быть переданы:

  • в связи с осуществлением правосудия в судебные органы;
  • в органы полиции, федеральной службы безопасности, прокуратуры, следственного комитета;
  • в иные уполномоченные действующим законодательством и применимыми нормами права органы и организации в случаях, установленных в нормативно-правовых актах, обязательных для исполнения оператором.

9. ПОРЯДОК И МЕТОДЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Компания до начала обработки персональных данных осуществляет уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Компания добросовестно и в соответствующий срок осуществляет актуализацию сведений, указанных в уведомлении.

9.1. В процессе предоставления услуг, при осуществлении внутрихозяйственной деятельности Компания использует автоматизированную и неавтоматизированную обработку персональных данных.

9.2. Компания вправе поручить Обработку Персональных данных другому лицу с согласия Субъекта Персональных данных, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора, обязательным условием которого является соблюдение этим лицом принципов и правил Обработки Персональных данных, предусмотренных Федеральным законом «О персональных данных».

9.3. Персональные данные не раскрываются третьим лицам и не распространяются иным образом без согласия Субъекта Персональных данных, если иное не предусмотрено законодательством Российской Федерации.

9.4. Представители органов государственной̆ власти (в том числе, контролирующих, надзорных, правоохранительных и иных органов) получают доступ к Персональным данным, обрабатываемым в Компании, в объеме и порядке, установленном законодательством Российской Федерации.

9.5. В рамках обработки персональных данных для Субъекта персональных данных и Компании определены следующие права.

9.5.1. Субъект персональных данных имеет право:

  • получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные Законодательством о персональных данных;
  • требовать уточнения своих персональных данных, их Блокирования или Уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении Субъектом персональных данных согласия на обработку персональных данных;
  • принимать предусмотренные законом меры по защите своих прав;
  • отозвать свое согласие на обработку персональных данных.

9.5.2. Компания имеет право:

  • обрабатывать персональные данные Субъекта персональных данных в соответствии с заявленной̆ целью;
  • требовать от Субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации Субъекта персональных данных, а также в иных случаях, предусмотренных Законодательством о персональных данных;
  • ограничить доступ Субъекта персональных данных к его персональным данным в случае, если Обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Российской Федерации;
  • обрабатывать общедоступные персональные данные физических лиц;
  • осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации;
  • поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных.

9.6. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена.

9.7. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
  • Компания не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
  • иное не предусмотрено иным соглашением между Организацией и субъектом персональных данных.

9.8. Компания обязана сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.

9.9. Компания также обладает иными правами и несет иные обязанности, установленные Федеральным законом «О персональных данных».

10. РЕАЛИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Для решения данной задачи в Компании введена, функционирует и проходит периодический пересмотр (контроль) система защиты персональных данных.

Деятельность Компании по обработке персональных данных в информационных системах неразрывно связана с защитой Компании конфиденциальности полученной информации. Все работники Компании обязаны обеспечивать конфиденциальность персональных данных, а также об иных сведениях, установленных Компании, если это не противоречит действующему законодательству РФ.

10.1. Безопасность персональных данных при их обработке в информационных системах Компании обеспечивается с помощью системы защиты информации.

Обеспечение безопасности обрабатываемых персональных данных осуществляется Компанией в рамках единой комплексной системы организационно-технических и правовых мероприятий по защите информации, составляющей коммерческую тайну, с учетом требований Законодательства о персональных данных, принятых в соответствии с ним нормативных правовых актов.

10.2. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защищенным техническими средства защиты информации.

10.3. При обработке персональных данных в информационных системах Компании обеспечиваются:

  • проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передача их лицам, не имеющим права доступа к такой информации;
  • своевременное обнаружение фактов несанкционированного доступа к персональным данным;
  • недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
  • возможность незамедлительного восстановления персональных данных, модифицированных и уничтоженных вследствие несанкционированного доступа к ним;
  • постоянный контроль уровня защищенности персональных данных.
  • назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
  • ограничение состава лиц, имеющих доступ к персональным данным;
  • ознакомление субъектов с требованиями федерального законодательства и нормативных документов Компании по обработке и защите персональных данных;
  • производится ознакомление сотрудников Компании, осуществляющих обработку персональных данных, c требованиями законодательства РФ о персональных данных, локальными актами по вопросам обработки персональных данных.

10.4. С целью обеспечения безопасности персональных данных при их обработке в Компании реализуются требования следующих нормативных документов РФ в области обработки и обеспечения безопасности персональных данных:

10.4. С целью обеспечения безопасности персональных данных при их обработке в Компании реализуются требования следующих нормативных документов РФ в области обработки и обеспечения безопасности персональных данных:

  • Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
  • Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена заместителем директора ФСТЭК России 15.02.2008 г.);
  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена заместителем директора ФСТЭК России 14.02.2008 г.).
  • Локально-нормативных актов Компании в рамках защиты ПД.

10.5. Компания проводит оценку вреда, который может быть причинен субъектам персональных данных и определяет угрозы безопасности персональных данных. В соответствии с выявленными актуальными угрозами Компания применяет необходимые и достаточные организационные и технические меры, включающие в себя использование средств защиты информации, обнаружение фактов несанкционированного доступа, восстановление персональных данных, установление правил доступа к персональным данным, а также контроль и оценку эффективности применяемых мер.

10.6. В Компании назначено лицо, ответственное за организацию обработки и обеспечения безопасности персональных данных.

10.7. Руководитель Компании осознает необходимость и заинтересовано в обеспечении должного как с точки зрения требований нормативных документов РФ, так и обоснованного с точки зрения оценки рисков для бизнеса уровня безопасности персональных данных, обрабатываемых в рамках выполнения основной деятельности Компании.

11. СВЕДЕНИЯ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Оператор назначает ответственного за организацию обработки персональных данных для выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

11.2. Оператор применяет комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных для обеспечения конфиденциальности персональных данных и их защиты от неправомерных действий:

  • обеспечивает неограниченный доступ к Политике, копия которой размещена по адресу нахождения Оператора, а также размещена на онлайн — сервисе Оператора;
  • во исполнение Политики Оператор утверждает и приводит в действие иные локальные акты;
  • производит ознакомление работников с положениями законодательства о персональных данных, а также с Политикой и иными локальными актами в части обработки персональных данных;
  • осуществляет допуск работников к персональным данным, обрабатываемым в информационной системе Оператора, а также к их материальным носителям только для выполнения трудовых обязанностей;
  • устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе Оператора, а также обеспечивает регистрацию и учёт всех действий с ними;
  • производит определение угроз безопасности персональных данных при их обработке в информационной системе Оператора;
  • применяет организационные и технические меры и использует средства защиты информации, необходимые для достижения установленного уровня защищенности персональных данных;
  • осуществляет обнаружение фактов несанкционированного доступа к персональным данным и принимает меры по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • производит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы Оператора;
  • осуществляет внутренний контроль соответствия обработки персональных данных ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике, иным локальным актам, включающий контроль за принимаемыми мерами по обеспечению безопасности персональных данных и их уровня защищенности при обработке в информационной системе Оператора.