Политика конфиденциальности
Политика
в отношении обработки и защиты персональных данных АО УК «РВМ Капитал»
г. Москва
2025 г.
- Общие положения
1.1. Настоящая Политика в отношении обработки и защиты персональных данных в Акционерном обществе Управляющая компания «РВМ Капитал» (далее – Политика) является внешним документом Акционерного общества Управляющая компания «РВМ Капитал» (далее – Общество), разработанным в соответствии с требованиями Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», иных Федеральных законов, а также нормативных правовых актов Российской Федерации в области обработки и обеспечения безопасности персональных данных физических лиц (далее – Федеральный закон о персональных данных, Законодательство Российской Федерации о персональных данных).
1.2. Политика разработана в целях исполнения Обществом, ее структурными подразделениями и работниками требований законодательства Российской Федерации о персональных данных, а также для обеспечения защиты прав и свобод человека и гражданина при обработке Обществом его персональных данных.
1.3. Персональные данные относятся к категории конфиденциальной информации, и Общество обязано обеспечивать защиту от несанкционированного, в том числе случайного, доступа к ним.
1.4. Требования Политики обязательны для исполнения всеми структурными подразделениями и работниками Общества, а также распространяются на средства автоматизации, средства телекоммуникаций, информационные ресурсы, информационные системы и материальные носители, используемые в Обществом при обработке персональных данных.
1.5. Политика подлежит периодическому пересмотру в случае внесения изменений в бизнес-процессы Общества, а также в случаях изменения законодательства Российской Федерации в области персональных данных. Политика подлежит публикации на официальном сайте Общества в сети Интернет.
1.6. В Политике используются следующие основные определения и понятия:
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
- субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
- персональные данные, разрешенные субъектом персональных данных для распространения, - это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном законодательством Российской Федерации о персональных данных;
- биометрические персональные данные - это информация, которая описывает уникальные физиологические и/или биологические характеристики человека, используемая для его идентификации или аутентификации;
- специальные категории персональных данных - информация, касающаяся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости;
- оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия, совершаемые с персональными данными (оператором персональных данных в соответствии с Политикой является Общество);
- обработка персональных данных - любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- неавтоматизированная обработка персональных данных - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека (то есть обработка персональных данных позволяющая осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях);
- использование персональных данных – действия с персональными данными, совершаемые оператором персональных данных в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных, либо иным образом затрагивающих права и свободы субъекта персональных данных;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
- конфиденциальность персональных данных – обязательное для соблюдения оператором персональных данных или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
- угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;
- уровень защищенности персональных данных – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- уполномоченный орган по защите прав субъектов персональных данных - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
1.7. Политика вступает в силу с момента ее утверждения управляющим директором Общества.
1.8. Политика раскрывается на сайте Общества https://rwminvest.ru в информационно-телекоммуникационной сети «Интернет и находится там в свободном доступе до момента раскрытия новой редакции Политики.
- Цели и принципы обработки персональных данных
2.1. Обработка персональных данных осуществляется Обществом, выступающим в качестве оператора персональных данных (далее – Оператор), в целях:
2.1.1. Обеспечения защиты прав и свобод субъектов персональных данных (физических лиц), соблюдения Конституции Российской Федерации, Федерального закона о персональных данных, Законодательства Российской Федерации о персональных данных;
2.1.2. Выполнения Обществом обязанностей, возложенных на нее законодательством Российской Федерации в сфере финансовых рынков, нормативными актами Банка России, в частности:
- Конституция Российской Федерации,
- Гражданский кодекс Российской Федерации,
- Трудовой кодекс Российской Федерации,
– Налоговый кодекс Российской Федерации,
– Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»,
- Федеральный закон от 29.11.2001 г. № 156-ФЗ «Об инвестиционных фондах»,
- Федеральный закон от 22.04.1996 г. № 39-ФЗ «О рынке ценных бумаг»,
- Федеральный закон от 26.12.1995 г. № 208-ФЗ «Об акционерных обществах»,
- Федеральный закон от 07.08.2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»,
- Федеральный закон от 27.07.2010 г. № 224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации»,
- иные Федеральные законы и нормативные акты в сфере финансовых рынков;
2.1.3. Осуществления своей деятельности на основании устава и лицензии на осуществление деятельности по управлению инвестиционными фондами, паевыми инвестиционными фондами:
- при приеме и передаче документов (сведений) для открытия лицевых счетов в системе ведения реестра владельцев инвестиционных паев паевых инвестиционных фондов,
- при проведении процедуры принятия решения о признании лица квалифицированным инвестором, и иных связанных с этим процедур,
- при приеме заявок на выдачу, обмен и погашение инвестиционных паев,
- при созыве и проведении общих собраний акционеров Общества, общих собраний владельцев инвестиционных паев, инвестиционных комитетов,
- при осуществлении иных процедур и мероприятий в рамках деятельности по управлению инвестиционными фондами, паевыми инвестиционными фондами и иных видов деятельности на основании вышеуказанной лицензии,
- для заключения, исполнения, изменения и расторжения договоров (сделок), заключаемых в рамках осуществления деятельности на основании вышеуказанной лицензии, а также в целях обеспечения административно-хозяйственного деятельности Общества;
- для оказания иных услуг субъектам персональных данных, а также осуществления расчетов с ними.
2.1.4. Исполнения норм трудового законодательства Российской Федерации в рамках трудовых и иных непосредственно связанных с ним правоотношений с работниками Общества, в том числе:
- привлечения и отбора кандидатов на работу в Обществе (получение резюме, анкет соискателей),
- проверки соответствия соискателей и работников Общества установленным квалификационным требованиям и требованиям к деловой репутации,
- трудоустройства работников в Общество, заключения и расторжения трудовых договоров, выполнение иных обязанностей, возложенных действующим законодательством Российской Федерации на Общество, как работодателя в рамках трудовых правоотношений,
- профессиональной подготовки, переподготовки и повышения квалификации работников Общества и их карьерного роста,
- организации труда и управления трудом работников Общества,
- контроля количества и качества работы, выполняемой работниками Общества,
- ведения кадрового делопроизводства, бухгалтерского учета, учета плательщиков страховых взносов, ведения иных форм обязательного учета, заполнения первичной статистической документации;
2.1.5. Исполнение требований налогового законодательства Российской Федерации в связи с исчислением и уплатой налога на доходы физических лиц, единого социального налога, а также при начислении страховых взносов на обязательное пенсионное страхование и обязательное социальное страхование;
2.1.6. Заполнения и передачи в уполномоченные государственные органы требуемых форм отчетности, сведений и уведомлений, организации постановки на индивидуальный (персонифицированный) учет работников Общества в системах обязательного пенсионного страхования, обязательного социального страхования, добровольного медицинского страхования;
2.1.7. Сбора и передачи в Банк России требуемых форм отчетности, сведений и уведомлений, в том числе в целях проверки акционеров Общества на их соответствие требованиям к финансовому положению и деловой репутации, а работников и должностных лиц Общества на их соответствие квалификационным требованиям и требованиям к деловой репутации;
2.1.8. Предоставления сведений третьим лицам, в том числе для обеспечения пропускного режима, оформления документов, подтверждающих полномочия, а также доверенностей для взаимодействия с внешними организациями;
2.1.9. Обеспечения личной безопасности работников Общества, обеспечения сохранности их имущества и имущества Общества;
2.1.10. Иных целях, определяемых Обществом.
2.2. Обработка персональных данных осуществляется Оператором персональных данных с соблюдением следующих принципов:
2.2.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2.2.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.2.4. Обработке подлежат только те персональные данные, которые отвечают целям их обработки.
2.2.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
2.2.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор персональных данных должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных персональных данных.
2.2.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен соответствующим применимым законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
2.2.8. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено соответствующим применимым законодательством Российской Федерации.
- Категории субъектов персональных данных.
Категории обрабатываемых персональных данных
3.1. Оператор персональных данных осуществляет обработку персональных данных следующих категорий субъектов персональных данных:
- физических лиц — работников и соискателей, состоящих или желающих вступить в трудовые отношения с Обществом, бывших работников Общества, а также их родственников в случае, когда необходимость обработки соответствующих данных предусмотрена действующим законодательством Российской Федерации о персональных данных;
- физических лиц, состоящих или желающих вступить в договорные или иные гражданско-правовые отношения с Обществом (владельцев инвестиционных паев паевых инвестиционных фондов, продавцов, покупателей, заемщиков, кредиторов, агентов, поручителей, поверенных и прочих лиц);
- физических лиц, являющихся представителями, выгодоприобретателями, бенефициарными владельцами физических или юридических лиц, а также сотрудников юридических лиц, состоящих или желающих вступить в договорные или иные гражданско-правовые отношения с Обществом (владельцев инвестиционных паев паевых инвестиционных фондов, аудиторов, оценщиков, продавцов, покупателей, заемщиков, кредиторов, агентов, поручителей, поверенных и прочих лиц в целях осуществления деятельности Общества);
- физических лиц – акционеров (участников) и бенефициарных владельцев Общества, должностных лиц акционеров (участников) Общества, должностных лиц основных, преобладающих, дочерних, зависимых обществ АО Управляющая компания «РВМ Капитал», физических лиц, являющихся аффилированными/связанными лицами Общества и/или входящих в группу лиц Общества;
- физических лиц, обратившихся к Обществу с жалобами, заявлениями и обращениями (в том числе для целей их признания квалифицированными инвесторами);
- иных физических лиц, обработка персональных данных которых необходима в целях соблюдения требований действующего законодательства Российской Федерации, а также в целях осуществления деятельности Общества.
3.2. Состав обрабатываемых персональных данных определяется на основе требований применимого законодательства Российской Федерации, а также внутренних документов Общества. Оператор персональных данных может обрабатывать следующие категории персональных данных:
3.2.1. Общие персональные данные:
- фамилия, имя, отчество (если имеется), сведения о смене фамилии, имени;
- пол, возраст;
- год, месяц, дата и место рождения;
- паспортные данные либо данные иного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе, срок действия такого документа;
- гражданство (резидентство, в том числе для целей налогообложения);
- адрес регистрации и адрес фактического проживания, адрес регистрации по месту пребывания, иные контактные данные (номер телефона, факс, адрес электронной почты или почтовый адрес);
- идентификационный номер налогоплательщика;
- страховой номер страхового свидетельства государственного пенсионного страхования (СНИЛС);
- миграционные данные (цель визита, номер визы, номер приглашения, срок пребывания);
- данные подтверждающие право иностранного гражданина или лица без гражданства на пребывание (проживание) в Российской Федерации;
3.2.2. Дополнительные персональные данные:
- семейное положение (данные о регистрации брака, о прекращении брака), наличие детей, родственные связи;
- сведения об образовании (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому), сведения о профессиональной подготовке и повышении квалификации;
- факты биографии и предыдущей трудовой деятельности (место работы, наименование должности и подразделения в организации, период нахождения в должности, адреса и телефоны организаций, размер заработка, наличие (отсутствие) судимости, наличие поощрений, награждений, наличие (отсутствие) дисциплинарных взысканий и (или) фактов дисквалификации, наличие (отсутствие) иных фактов, которые являются основанием для признания лица, не соответствующим требованиям к деловой репутации, сведения о воинском учете, сведения о службе в вооруженных силах РФ (иного государства), сведения о деловой репутации, сведения об участии в органах управления юридических лиц, в том числе в качестве единоличного исполнительного органа, в коллегиальном исполнительном органе, совете директоров, работа на выборных должностях, на государственной службе);
- финансовое (имущественное) положение (доходы, уплаченные налоги, наличие задолженностей по уплате налогов, сборов, штрафов, наличие кредитных (заемных) обязательств, сведения об удержании алиментов, сведения, содержащиеся в исполнительных листах, сведения о доходе с предыдущего места работы, владение недвижимым и движимым имуществом, наличие (отсутствие) денежных вкладов, номер расчетного счета, сведения о банкротстве, кредитная история);
- данные о страховании, в том числе о добровольном медицинском страховании, о страховании ответственности, сведения об инвалидности;
- иная информация, необходимая Управляющей компании для соблюдения требований действующего законодательства Российской Федерации, а также для осуществления ее деятельности.
3.3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни Оператором персональных данных не осуществляется, кроме случаев, предусмотренных федеральными законами и законодательством Российской Федерации о персональных данных. Оператор персональных данных осуществляет обработку сведений о наличии или отсутствии судимости в случаях и в порядке, которые определяются в соответствии с Федеральными законами.
3.4. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Оператором персональных данных для установления личности субъекта персональных данных, Оператором персональных данных не обрабатываются, кроме случаев, предусмотренных федеральными законами и законодательством Российской Федерации о персональных данных.
- Права и обязанности оператора и субъекта персональных данных
4.1. Оператор персональных данных имеет право:
4.1.1. самостоятельно определять цели обработки персональных данных и состав персональных данных, подлежащих обработке, организовывать и осуществлять обработку персональных данных, выполнять действия (операции), совершаемые с персональными данными;
4.1.2. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации о персональных данных, в том числе по обеспечению безопасности персональных данных;
4.1.3. поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации о персональных данных, на основании заключаемого с этим лицом договора и (или) поручения. Лицо, осуществляющее обработку персональных данных по поручению Оператора персональных данных, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации о персональных данных, соблюдать конфиденциальность персональных данных, обеспечивать безопасность персональных данных, а также принимать необходимые меры, направленные на обеспечение выполнения иных обязанностей, предусмотренных законодательством о персональных данных;
4.1.4. в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор персональных данных (лицо, осуществляющее обработку персональных данных по поручению Оператора персональных данных) вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в законодательстве Российской Федерации о персональных данных и настоящей Политике;
4.1.5. в соответствии с требованиями законодательства Российской Федерации передавать персональные данные органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации;
4.1.6. осуществлять иные действия и полномочия, установленные законодательством Российской Федерации о персональных данных, настоящей Политикой, внутренними документами и локальными актами Общества.
4.2. Обязанности Оператора персональных данных:
4.2.1. при сборе персональных данных Оператор персональных данных обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную пунктом 4.3.1 настоящей Политики.
4.2.2. если в соответствии с законодательством Российской Федерации о персональных данных предоставление персональных данных и (или) получение согласия на обработку персональных данных являются обязательными, Оператор персональных данных обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.
4.2.3. если персональные данные получены не от субъекта персональных данных, Оператор персональных данных до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
4.2.3.1. наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
4.2.3.2. цель обработки персональных данных и ее правовое основание;
4.2.3.3. перечень персональных данных;
4.2.3.4. предполагаемые пользователи персональных данных;
4.2.3.5. установленные Федеральным законом о персональных данных права субъекта персональных данных;
4.2.3.6. источник получения персональных данных.
4.2.4. Оператор персональных данных освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные настоящим пунктом Политики, в случаях, если:
4.2.4.1. субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
4.2.4.2. персональные данные получены Оператором персональных данных на основании законодательства Российской Федерации о персональных данных или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
4.2.4.3. обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона о персональных данных;
4.2.4.4. оператор персональных данных осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
4.2.4.5. предоставление субъекту персональных данных сведений, предусмотренных настоящим пунктом Политики, нарушает права и законные интересы третьих лиц.
4.2.5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор персональных данных обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона о персональных данных.
4.2.6. Оператор персональных данных обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона о персональных данных, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
4.2.6.1. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Оператор персональных данных обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона о персональных данных или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором персональных данных в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
4.2.6.2. Оператор персональных данных обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор персональных данных обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор персональных данных обязан уничтожить такие персональные данные. Оператор персональных данных обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
4.2.7. Оператор персональных данных обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации о персональных данных, в частности:
4.2.7.1. назначить лицо, ответственное за организацию обработки персональных данных, а также осуществлять внутренний контроль соответствия обработки персональных данных законодательству Российской Федерации о персональных данных, требованиям к защите персональных данных, настоящей Политике, иным внутренним документам и локальным актам Общества;
4.2.7.2. принимать меры правового, организационного и технического характера для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации о персональных данных и настоящей Политикой, в том числе по обеспечению безопасности персональных данных;
4.2.7.3. проводить оценку операционного и регуляторного риска, возникающего вследствие причинения вреда субъектам персональных данных в случае нарушения правил обработки персональных данных, а также законодательства Российской Федерации о персональных данных и настоящей Политики, принимать меры по исключению операционного и регуляторного риска и (или) минимизации негативных последствий в случае реализации указанных рисков;
4.2.7.4. проводить оценку эффективности принимаемых мер по защите и обеспечению безопасности персональных данных;
4.2.7.5. соблюдать конфиденциальность полученных персональных данных, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации о персональных данных;
4.2.7.6. проводить ознакомление работников Оператора персональных данных, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, настоящей Политикой, внутренними документами и локальными актами Общества, в том числе с требованиями к защите и обеспечению безопасности персональных данных, а также проводить необходимое обучение и повышение квалификации работников Оператора персональных данных;
4.2.7.7. разъяснить работникам Оператора персональных данных, имеющим доступ к персональным данным, что в случае нарушения положений Законодательства Российской Федерации о персональных данных при обработке персональных данных субъекта персональных данных они будут нести дисциплинарную и материальную ответственность в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а так же гражданско-правовую, административную и уголовную ответственность в порядке, установленном законодательством Российской Федерации;
4.2.7.8. получить от работников Оператора персональных данных, имеющих доступ к персональным данным, письменное обязательства о неразглашении соответствующей информации;
4.2.7.9. отвечать на обращения и запросы субъектов персональных данных и их представителей в соответствии с требованиями Законодательства Российской Федерации о персональных данных и настоящей Политики;
4.2.7.10. сообщать в Роскомназдор по его запросу необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором персональных данных в адрес Роскомназдора мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
4.2.7.11. в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных;
4.2.7.12. нести иные обязанности, установленные законодательством Российской Федерации о персональных данных, настоящей Политикой, внутренними документами и локальными актами Общества.
4.3. Права субъекта персональных данных:
4.3.1. Субъект персональных данных имеет право получать сведения, касающиеся обработки его персональных данных, в том числе содержащие:
- подтверждение факта обработки персональных данных Оператором персональных данных;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором персональных данных способы обработки персональных данных;
- наименование и место нахождения Оператора персональных данных, сведения о лицах (за исключением работников Оператора персональных данных), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором персональных данных или на основании законодательства Российской Федерации о персональных данных;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Законодательством Российской Федерации о персональных данных;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом о персональных данных;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора персональных данных, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона о персональных данных;
- иные сведения, предусмотренные настоящим законодательством Российской Федерации о персональных данных.
4.3.1.1. Указанные сведения должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, кроме случаев законного раскрытия таких персональных данных.
4.3.1.2. Cведения предоставляются субъекту персональных данных или его представителю Оператором персональных данных в течение десяти рабочих дней с момента личного обращения либо получения Оператором персональных данных запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором персональных данных в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором персональных данных (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором персональных данных, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор персональных данных предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
4.3.1.3. В случае, если вышеуказанные сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору персональных данных или направить ему повторный запрос в целях получения таких сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Законодательством Российской Федерации о персональных данных или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
4.3.1.4. Субъект персональных данных вправе обратиться повторно к Оператору персональных данных или направить ему повторный запрос в целях получения вышеуказанных сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 4.3.1.3 настоящей Политики, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 4.3.1.2 настоящей Политики, должен содержать обоснование направления повторного запроса.
4.3.1.5. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктам 4.3.1.3, 4.3.1.4 настоящей Политики. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе персональных данных.
4.3.1.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с Федеральными законами, в том числе если:
- обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
- обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
- обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
- обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
4.3.2. Субъект персональных данных имеет право требовать от Оператора персональных данных уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством Российской Федерации о персональных данных меры по защите своих прав;
4.3.3. Субъект персональных данных имеет право направить Оператору персональных данных требование о прекращении передачи (распространения, предоставления, доступа) своих персональных данных, разрешенных для распространения. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Только Оператор персональных может обрабатывать персональные данные, указанные в данном требовании.
4.3.4. Субъект персональных данных вправе давать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;
4.3.5. Субъект персональных данных имеет право обжаловать в Роскомнадзор или в судебном порядке неправомерные действия или бездействие Оператора персональных данных при обработке его персональных данных, если субъект персональных данных считает, что Оператор персональных данных осуществляет обработку его персональных данных с нарушением законодательства Российской Федерации о персональных данных или иным образом нарушает его права и свободы.
4.3.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
4.3.7. Субъект персональных данных вправе осуществлять иные права, установленные законодательством Российской Федерации о персональных данных и настоящей Политикой.
4.4. Субъект персональных данных обязан:
4.4.1. предоставлять только достоверные персональные данные о себе;
4.4.2. предоставлять документы, содержащие персональные данные в объеме, достаточном для их обработки;
4.4.3. незамедлительно уведомлять Оператора персональных данных об обновлении или изменении своих персональных данных.
- Правила и условия обработки персональных данных
5.1. Оператор персональных данных имеет право осуществлять обработку персональных данных, если она осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
5.2. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Оператор персональных данных не докажет, что такое согласие было получено.
5.3. Оператор персональных данных имеет право осуществлять обработку персональных данных без получения согласия субъекта персональных данных на обработку его персональных данных в случаях, если:
5.3.1. обработка персональных данных необходима для достижения Оператором персональных данных целей, предусмотренных международным договором Российской Федерации или законодательством Российской Федерации о персональных данных, а также для осуществления и выполнения возложенных законодательство Российской Федерации о персональных данных, законодательством Российской Федерации в сфере финансовых рынков на Оператора персональных данных функций, полномочий и обязанностей;
5.3.2. обработка персональных данных осуществляется в связи с участием Оператора персональных данных и субъекта персональных данных в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
5.3.3. обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
5.3.4. обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
5.3.5. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации о персональных данных, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
5.3.6. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5.3.7. обработка персональных данных необходима для осуществления прав и законных интересов Оператора персональных данных или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
5.3.8. обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
5.3.9. обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в пункте 5.2 настоящей Политики, при условии обязательного обезличивания персональных данных;
5.3.10. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации о персональных данных, законодательством Российской Федерации в сфере финансовых рынков.
5.4. Оператор персональных данных обязан предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных в соответствии с пунктами 5.1, 5.2 настоящей Политики, а в случае отсутствия такого согласия, предоставить доказательства наличия оснований, указанных в пункте 5.3 настоящей Политики, для обработки персональных данных.
5.5. Обработка персональных данных объектов государственной охраны и членов их семей осуществляется с учетом особенностей, предусмотренных Федеральным законом от 27.05.1996 г. № 57-ФЗ «О государственной охране».
5.6. Оператор персональных данных вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации о персональных данных, на основании заключаемого с этим лицом договора (далее – поручение Оператора персональных данных).
5.6.1. Лицом, осуществляющим обработку персональных данных по поручению Оператора персональных данных, может являться, в том числе:
- лицо, привлеченное Обществом для сбора сведений и документов в целях проведения идентификации (упрощенной идентификации) субъекта персональных данных, являющегося клиентом или представителем клиента и (или) выгодоприобретателем и (или) бенефициарным владельцем (в целях осуществления внутреннего контроля по противодействию легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения),
- агент по выдаче, погашению и обмену инвестиционных паев паевых инвестиционных фондов, находящихся под управлением Общества (в отношении субъекта персональных данных, намеревающегося подать заявку на приобретение, обмен или погашение инвестиционных паев),
- лица, выступающие от имени и в интересах Оператора персональных данных на основании гражданского законодательства Российской Федерации при заключении договоров (соглашений) с субъектами персональных данных (агенты, комиссионеры, кадровые агентства, аудиторские организации, оценщики), а также иные лица, получающие доступ к персональным данным физических лиц и осуществляющие обработку таких персональных данных.
5.6.2. Лицо, осуществляющее обработку персональных данных по поручению Оператора персональных данных, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации о персональных данных.
5.6.3. В поручении Оператора персональных данных должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных по поручению Оператора персональных данных, цели обработки персональных данных, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, должны быть определены требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона о персональных данных, обязанность по запросу Оператора персональных данных в течение срока действия поручения Оператора персональных данных, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора персональных данных требований, установленных в соответствии с настоящим пунктом Политики, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона о персональных данных, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона о персональных данных.
5.6.4. Лицо, осуществляющее обработку персональных данных по поручению Оператора персональных данных, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
5.6.5. Оператор персональных данных несет ответственность перед субъектом персональных данных за действия лица, осуществляющего обработку персональных данных по поручению Оператора персональных данных.
Лицо, осуществляющее обработку персональных данных по поручению Оператора персональных данных, несет ответственность перед Оператором персональных данных.
В случае, если Оператор персональных данных поручает обработку персональных данных иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет Оператор персональных данных и лицо, осуществляющее обработку персональных данных по поручению Оператора персональных данных.
5.7. Согласие субъекта персональных данных на обработку его персональных данных (далее – Согласие на обработку персональных данных):
5.7.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.
5.7.2. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено действующим Законодательством Российской Федерации о персональных данных.
5.7.3. Субъект персональных данных (его представитель) представляет Оператору персональных данных Согласие на обработку персональных данных лично по адресу Общества.
5.7.4. В случае получения Согласия на обработку персональных данных от представителя субъекта персональных данных, полномочия данного представителя на дачу такого согласия от имени субъекта персональных данных должны быть письменно подтверждены.
5.7.5. В случае недееспособности субъекта персональных данных Согласия на обработку персональных данных дает законный представитель субъекта персональных данных. 5.7.6. В случае смерти субъекта персональных данных Согласие на обработку персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
5.7.7. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных.
5.7.8. Согласие на обработку персональных данных включает в себя следующую информацию (рекомендуемая форма Согласия на обработку персональных данных указана в Приложении № 1):
- фамилия, имя, отчество (при наличии), адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилия, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении Согласия на обработку персональных данных от представителя субъекта персональных данных);
- наименование и адрес Оператора персональных данных, получающего Согласие на обработку персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора персональных данных, если обработка персональных данных будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором персональных данных способов обработки персональных данных;
- срок, в течение которого действует такое согласие, а также способ его отзыва, если иное не установлено законодательством Российской Федерации о персональных данных;
- подпись физического лица – субъекта персональных данных или его представителя.
5.7.9. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных путем направления Оператору персональных данных заявления об отзыве согласия на обработку персональных данных в соответствии с требованиями законодательства Российской Федерации о персональных данных.
В случае получения отзыва согласия на обработку персональных данных Оператор персональных данных вправе продолжить дальнейшую обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в действующем законодательстве Российской Федерации о персональных данных и пункте 5.3 настоящей Политики, в том числе, если на момент отзыва Согласия на обработку персональных данных не истекли установленные законодательством Российской Федерации сроки хранения информации (документов), содержащих персональные данные субъекта персональных данных.
5.8. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения (действий, направленных на раскрытие персональных данных неопределенному кругу лиц).
5.8.1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения оформляется отдельно от Согласия на обработку его персональных данных. Оператор персональных данных обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в Согласии на распространение персональных данных.
5.8.2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления Оператору персональных данных Согласия на распространение персональных данных, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.
5.8.3. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.
5.8.4. В случае, если из предоставленного субъектом персональных данных Согласия на распространение персональных данных не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются Оператором персональных данных без права распространения.
5.8.5. В случае, если из предоставленного субъектом персональных Согласия на распространение персональных данных не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 статьи 10.1 Федерального закона о персональных данных, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 статьи 10.1 Федерального закона о персональных данных, такие персональные данные обрабатываются Оператором персональных данных без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.
5.8.6. Субъект персональных данных (его представитель) представляет Оператору персональных данных Согласие на распространение персональных данных лично по адресу Управляющей компании или с использованием информационной системы Роскомнадзора в соответствии с правилами использования такой информационной системы.
5.8.7. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
5.8.8. В Согласии на распространение персональных данных, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Оператором персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ Оператора персональных данных в установлении субъектом персональных данных запретов и условий не допускается.
5.8.9. Оператор персональных данных обязан в срок не позднее трех рабочих дней с момента получения Согласия на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.
5.8.10. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.
5.8.11. Передача (распространение, предоставление, доступ) Оператором персональных данных персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только Оператором персональных данных, которому оно направлено. Действие Согласия на распространение персональных данных прекращается с момента поступления Управляющей компании такого требования.
5.8.12. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей Политики или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.
Требования настоящего пункта не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей. 5.9. Оператор персональных данных вправе осуществлять как автоматизированную обработку персональных, так и обработку персональных данных без использования средств автоматизации.
Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека (работника Оператора персональных данных).
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
5.10. Правила обработки персональных данных без использования средств автоматизации:
5.10.1. Обработка персональных данных без использования средств автоматизации ведется как на материальных носителях информации (бумажных, электронных), так и с использованием информационных систем персональных данных.
5.10.2. Информационные системы персональных данных, которые использует Оператор персональных данных, представляют из себя совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
5.10.3. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях (бумажных, электронных).
5.10.4. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
5.10.5. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе работники Оператора персональных данных или лица, осуществляющие такую обработку по договору с Оператором персональных данных), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Оператором персональных данных без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.
5.10.6. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
5.10.7. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, Оператор персональных данных принимает меры по обеспечению раздельной обработки персональных данных, в частности:
а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
5.10.8. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
5.10.9. Правила, предусмотренные пунктами 5.10.7, 5.10.8 настоящей Политики, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
5.10.10. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
5.10.11. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
5.10.12. Оператор персональных данных обеспечивает раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
5.10.13. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Оператором персональных данных.
5.11. Оператор персональных данных не вправе распространять и (или) передавать третьим лицам персональную информацию субъекта персональных данных без письменного согласия субъекта персональных данных, за исключением случаев, установленных пунктом 5.3 настоящей Политики и Законом.
5.11.1. При передаче персональных данных Оператор персональных данных должен соблюдать следующие требования:
- не передавать персональные данные субъекта персональных данных третьей стороне без согласия на обработку персональных данных, полученного от субъекта персональных данных, за исключением случаев, когда такая передача необходима в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, предусмотренных действующим законодательством Российской Федерации, в том числе законодательством Российской Федерации о персональных данных, законодательством Российской Федерации в сфере финансовых рынков;
- предупредить лиц, получающих персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они предоставлены субъектом персональных данных, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, которым предоставлены персональные данные субъекта персональных данных, обязаны соблюдать режим секретности (конфиденциальности) в отношении полученных ими таких персональных данных;
- разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получить только те персональные данные субъекта персональных данных, которые необходимы для выполнения конкретных функций (задач);
5.12. Оператор персональных данных вправе в случаях, установленных законодательством Российской Федерации, в том числе Законодательством Российской Федерации о персональных данных, осуществлять передачу персональных данных через границу Российской Федерации.
- Организация системы обработки персональных данных
6.1. Общая организация системы обработки персональных данных и ее соответствие требованиям законодательства Российской Федерации о персональных данных, требованиям к защите персональных данных, требованиям настоящей Политики возлагается на Управляющего директора Общества.
6.2. Управляющий директор назначает лицо, ответственное за осуществление обработки персональных данных в Обществе, организацию защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (далее – Ответственный сотрудник).
6.2.1. Ответственный сотрудник:
1) осуществляет текущий контроль соответствия порядка обработки персональных данных в Управляющей компании требованиям законодательства Российской Федерации о персональных данных, требованиям к защите персональных данных, требованиям настоящей Политики и иных внутренних документов и локальных актов Общества в отношении обработки персональных данных;
2) проводит проверки соблюдения работниками Общества порядка обработки персональных данных и требований к защите персональных данных в ходе которых устанавливает:
- соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора персональных данных;
- соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достаточность (избыточность) персональных данных для целей обработки персональных данных, заявленных при сборе персональных данных;
- отсутствие (наличие) объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;
- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
- порядок и условия применения средств защиты информации;
- соблюдение правил доступа к персональным данным;
- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
3) выявляет факты возможного нарушения порядка обработки персональных данных и требований к их защите, доводит до сведения контролера Общества информацию о выявленных нарушениях;
4) доводит до сведения работников Общества положения законодательства Российской Федерации о персональных данных, внутренних документов и локальных актов Управляющей компании по вопросам обработки персональных данных, требований к защите персональных данных;
5) разрабатывает внутренние документы Общества, касающиеся обработки персональных данных, вносит предложения по внесению в них изменений, проводит ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящей Политикой и иными внутренними документами и локальными актами Общества в отношении обработки персональных данных;
6) осуществляет иные действия и полномочия, установленные законодательством Российской Федерации о персональных данных, настоящей Политикой, внутренними документами и локальными актами Общества.
6.2.2. Ответственный сотрудник имеет право:
- запрашивать у работников Общества, осуществляющих обработку персональных данных, информацию, необходимую для реализации своих полномочий;
- требовать от работников Общества, осуществляющих обработку персональных данных, уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации о персональных данных;
- вносить предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
- вносить предложения о привлечении к дисциплинарной ответственности работников Общества, виновных в нарушении законодательства Российской Федерации о персональных данных;
- осуществлять иные действия и полномочия, установленные законодательством Российской Федерации о персональных данных, настоящей Политикой, внутренними документами и локальными актами Общества.
6.3. Контролер Общества:
1) осуществляет внутренний контроль за соблюдением Общества и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных в порядке, предусмотренном Правилами внутреннего контроля Управляющей компании;
2) рассматривает факты возможного нарушения порядка обработки персональных данных и требований к их защите;
3) в порядке, предусмотренном Правилами внутреннего контроля Общества, проводит проверки выявленных нарушений порядка обработки персональных данных и требований к их защите, принимает меры по устранению выявленных нарушений.
6.4. Работники Общества:
1) проводят обработку полученных персональных данных;
2) соблюдают правила и условия обработки персональных данных, в том числе получают согласие субъектов персональных данных на обработку их персональных данных;
3) соблюдают положения законодательства Российской Федерации о персональных данных, в том числе требования к защите персональных данных, настоящую Политику и иные внутренние документы и локальные акты Общества в отношении обработки персональных данных;
4) реализуют меры по хранению и защите персональных данных;
5) осуществляют иные действия и функции, установленные законодательством Российской Федерации о персональных данных, настоящей Политикой, внутренними документами и локальными актами Общества.
6.4.1. Каждый работник Общества, участвующий в рамках своих служебных обязанностей в процессах обработки персональных данных в информационных системах персональных данных и имеющий доступ к ним, несет персональную ответственность за свои действия и обязан:
- строго соблюдать установленные соответствующими инструкциями правила обеспечения безопасности информации в информационных системах персональных данных;
- знать и строго выполнять правила работы со средствами защиты информации, установленными на его автоматизированным рабочем месте;
- хранить в тайне свой пароль (пароли), следовать требованиям инструкций по организации информационной защиты в Обществе;
- хранить индивидуальное устройство идентификации (ключ) и другие реквизиты в сейфе (металлическом шкафу);
- немедленно известить Ответственного сотрудника в случае утери электронного идентификатора или при подозрении компрометации личных ключей и паролей, а также при обнаружении: несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации его автоматизированного рабочего места, отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию его автоматизированного рабочего места, выхода из строя или неустойчивого функционирования компонентов автоматизированного рабочего места, а также перебоев в системе электроснабжения, некорректного функционирования установленных на автоматизированном рабочем месте технических средств защиты, обнаружении непредусмотренных отводов кабелей и подключенных устройств.
6.4.2. Работнику Общества категорически запрещается:
- использовать компоненты программного и аппаратного обеспечения автоматизированного рабочего места в личных целях;
- самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств или устанавливать дополнительно какие-либо программные и аппаратные средства на свое автоматизированное рабочее место; - записывать и хранить конфиденциальную информацию (содержащую персональные данные) на неучтенных машинных носителях информации (гибких магнитных дисках, флэш-накопителях и т.п.);
- оставлять включенным без присмотра свое автоматизированное рабочее место, не активизировав средства защиты от несанкционированного доступа (временную блокировку экрана и клавиатуры);
- оставлять без личного присмотра на рабочем месте или в ином месте свой электронный идентификатор, машинные носители и распечатки, содержащие персональные данные;
- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты.
6.5. Сбор (получение) персональных данных субъекта персональных данных проводится Оператором персональных данных как непосредственно от субъекта персональных данных или его представителя, так и от лица, осуществляющего обработку персональных данных по поручению Оператора персональных данных, а также из общедоступных официальных источников информации.
6.6. Если в соответствии с Федеральным законом о персональных данных сбор (получение) персональных данных и их обработка Оператором персональных данных допускается с согласия субъекта персональных данных, то Оператор персональных данных разъясняет субъекту персональных данных или его представителю юридические последствия отказа в предоставлении его персональных данных, а также отказа в предоставлении согласия на обработку его персональных данных.
6.7. Если персональные данные получены не от субъекта персональных данных или его представителя, Оператор персональных данных до начала обработки таких персональных данных уведомляет субъекта персональных данных о начале их обработки в порядке, предусмотренном пунктом 3.2.3 настоящей Политики.
6.8. Сбор (получение) персональных данных осуществляется посредством предоставления субъектом персональных данных материальных носителей (бумажных, электронных), содержащих персональные данные. Полученные персональные данные подлежат дальнейшей обработке посредством их записи (внесения) в информационные системы, содержащие персональные данные.
6.9. Персональные данные, предоставляемые субъектом персональных данных или его представителем, должны быть актуальными (полными, точными и достоверными) на момент их предоставления. Оператор персональных данных или лицо, осуществляющее обработку персональных данных по поручению Оператора персональных данных, вправе проводить проверку актуальности предоставляемых персональных данных.
6.10. При изменении персональных данных субъект персональных данных или его представитель уведомляет Оператора персональных данных или лицо, осуществляющее обработку персональных данных по поручению Оператора персональных данных, о таких изменениях в разумный срок, не превышающий четырнадцать календарных дней с момента возникновения таких изменений.
6.11. Оператор персональных данных вносит изменения в информационные системы, содержащие персональные данные, в срок, не превышающий трех рабочих дней с даты представления субъектом персональных данных или его представителем, или получения Оператором персональных данных от лица, осуществляющего обработку персональных данных по поручению Оператора персональных данных, и (или) из общедоступных официальных источников информации новых актуальных персональных данных субъекта персональных данных. При этом неактуальные персональные данные подлежат блокировке, их дальнейшая обработка не производится, за исключением их удаления из информационных систем Оператора персональных данных.
6.12. Оператор персональных данных в срок не позднее одного рабочего дня с даты начала обработки актуальных персональных данных уведомляет субъекта персональных данных или его представителя о внесенных изменениях в информационные системы, содержащие персональные данные субъекта персональных данных, а также уведомляет третьих лиц, которым персональные данные этого субъекта персональных данных были переданы, о произошедших изменениях персональных данных с одновременной передачей актуальных персональных данных субъекта персональных данных для их обработки.
6.13. Персональные данные обрабатываются посредством их записи (внесения), систематизации, накопления, хранения в информационных системах Оператора персональных данных, а также их блокировки, извлечения (в том числе перемещения), удаления из информационных систем Оператора персональных данных (или) их полного уничтожения.
6.14. В случаях, предусмотренных законодательством Российской Федерации о персональных данных и настоящей Политикой, при обращении субъекта персональных данных или его представителя, или получении запроса от указанных лиц или Роскомнадзора:
- о выявлении факта неправомерной обработки персональных данных, относящихся к этому субъекту персональных данных, Оператором персональных данных или лицом, действующим по поручению Оператора персональных данных;
- о выявлении факта обработки неточных (неактуальных) персональных данных субъекта персональных данных;
- о выявлении факта неправомерной или случайной передачи персональных данных (распространения, предоставления, доступа), повлекшей нарушение прав субъекта персональных данных;
- о выявлении иных нарушений прав субъекта персональных данных, а также при осуществлении процедур внутреннего контроля в отношении порядка обработки и обеспечения безопасности персональных данных, Оператор персональных данных обязан в срок не позднее одного рабочего дня с даты получения такого обращения (запроса) или сведений в рамках осуществлении процедур внутреннего контроля начать проверку указанных фактов.
6.14.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо Роскомнадзора Оператор персональных данных обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора персональных данных) с момента такого обращения или получения указанного запроса на период проверки.
6.14.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор персональных данных обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора персональных данных) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
6.14.3. В случае подтверждения факта неточности персональных данных Оператор персональных данных на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора персональных данных) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
6.14.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором персональных данных или лицом, действующим по поручению Оператора персональных данных, по результатам проверки Оператор персональных данных в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор персональных данных в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора персональных данных).
Об устранении допущенных нарушений или об уничтожении персональных данных Оператор персональных данных обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя было получено от Роскомнадзора, либо был получен запрос Роскомнадзора, то также указанный орган.
6.14.5. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор персональных данных обязан с момента выявления такого инцидента Оператором персональных данных, Роскомнадзором или иным заинтересованным лицом уведомить Роскомнадзор:
6.14.5.1. в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором персональных данных на взаимодействие с Роскомнадзором, по вопросам, связанным с выявленным инцидентом;
6.14.5.2. в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента (проведения проверки), а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
6.15. В случае достижения цели обработки персональных данных Оператор персональных данных обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора персональных данных) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора персональных данных) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором персональных данных и субъектом персональных данных либо если Оператор персональных данных не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации о персональных данных или другими федеральными законами.
6.16. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор персональных данных обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора персональных данных) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором персональных данных и субъектом персональных данных либо если Оператор персональных данных не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации о персональных данных или другими федеральными законами.
6.17. В случае обращения субъекта персональных данных к Оператору персональных данных с требованием о прекращении обработки персональных данных Оператором персональных данных обязан в срок, не превышающий десяти рабочих дней с даты получения соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором персональных данных в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6.18. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного пунктах 6.14.4, 6.15, 6.16 настоящей Политики, Оператор персональных данных осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора персональных данных) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
6.19. Управляющая компания осуществляет хранение персональных данных в соответствии с требованиями законодательства Российской Федерации в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен федеральным законом, договором, стороной которого или выгодоприобретателем, по которому является субъект персональных данных.
6.20. Управляющая компания обязана уничтожить персональные данные в случаях и в сроки, установленные законодательством Российской Федерации о персональных данных, настоящей Политикой, и при соблюдении следующего порядка:
- носители информации, утратившие практическую ценность или срок хранения которых истекли, подлежат уничтожению или стиранию;
- бумажные носители информации уничтожаются путём механического измельчения, сжигания химическим или термальным способом;
- уничтожение электронных носителей информации производится с помощью специальных аппаратных средств, либо другого способа надёжного и гарантированного уничтожения; - перед уничтожением электронного носителя информации с него должна быть удалена информация, составляющая персональные данные, с помощью специальных программных или аппаратных средств.
6.21. Уничтожение персональных данных из информационных систем осуществляется методом удаления из информационных систем информации о персональных данных. В случае уничтожения, блокирования или прекращения обработки персональных данных, в том числе уничтожения материальных носителей, содержащих персональные данные, или удаления персональных данных из информационных систем персональных данных составляется соответствующий Акт об уничтожении, прекращении, блокировании персональных данных.
6.22. Об уничтожении персональных данных Общество уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
6.23. Общество принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.24. Обеспечение безопасности персональных данных достигается, в частности:
6.24.1. определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
6.24.2. применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
6.24.3. применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
6.24.4. оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
6.24.5. учетом машинных носителей персональных данных;
6.24.6. обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
6.24.7. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
6.24.8. установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
6.24.9. контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
- +7 (495) 660 7030
- info@rwmcapital.ru
- Офис: 107078, г. Москва, ул. Маши Порываевой, д. 34, помещение 1/1