ПОЛИТИКА В ОБЛАСТИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В АО «КОКК»

Термины и определения

Безопасность персональных данных — состояние защищенности персональных данных от неправомерных действий, характеризуемое способностью пользователей, технических средств и информационных систем обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке, независимо от формы их представления.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Процесс обработки персональных данных — бизнес-процесс Общества, в рамках которого осуществляется обработка персональных данных.

Субъект персональных данных — физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных. Субъектами персональных данных являются: работники Общества, кандидаты на трудоустройство, родственники работников Общества, представители клиентов Общества и прочие физические лица, чьи персональные данные обрабатываются в Обществе.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;

В настоящей Политике применены следующие обозначения и сокращения:

• ИСПДн – информационная система персональных данных;
• Общество – Акционерное общество «Компания объединённых кредитных карточек» (АО «КОКК»), ИНН: 7710060991, 117449, г. Москва, ул. Новочерёмушкинская, д. 10
• ПДн – персональные данные;
• Политика – Политика в области обработки и защиты персональных данных.

1. Общие положения

Настоящая Политика определяет порядок обработки и защиты персональных данных в Обществе. Документ с Политикой доступен для ознакомления в офисах Общества и на веб-сайте Общества https://ucscards.ru/.

Во исполнение требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»), Трудового кодекса РФ, приказов ФСТЭК и ФСБ, других законодательных актов Российской Федерации в области обработки и защиты персональных данных, а также внутренних документов Общество обеспечивает легитимность обработки и безопасность ПДн в своей деятельности.

Общество включено в Реестр операторов, осуществляющих обработку ПДн (далее – «Реестр»). Указанный Реестр опубликован на сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в сети «Интернет» по адресу: http://rkn.gov.ru/personal-data/register/.

2. Принципы обработки ПДн

Принципами обработки ПДн в Обществе являются:

• обработка ПДн осуществляется на законной и справедливой основе;
• обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
• при обработке ПДн обеспечивается их конфиденциальность и безопасность;
• не допускается обработка ПДн, несовместимая с целями сбора ПДн;
• не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только ПДн, которые отвечают целям их обработки;
• содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки;
• при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн, принимаются необходимые меры по удалению или уточнению неполных или неточных ПДн;
• хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, согласием на обработку ПДн, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
• обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
• обработка ПДн не используется в целях причинения имущественного и/или морального вреда субъектам ПДн, затруднения реализации их прав и свобод;
• деятельность в области обработки и защиты ПДн документируется.

3. Цели и правовые основания обработки ПДн

В соответствии с принципами обработки ПДн в Обществе определены состав обрабатываемых ПДн и цели их обработки. Состав и цели обработки ПДн соответствуют требованиям законодательства РФ в области обработки и защиты ПДн.

Общество при обработке ПДн преследует исключительно те цели, которые были определены перед началом сбора данных. Последующие изменения целей возможны только в ограниченной мере и подлежат обоснованию и информированию об этом субъекта ПДн.

В Обществе осуществляется обработка только тех персональных данных, которые представлены в утвержденном Перечне персональных данных, обрабатываемых в АО «КОКК».

Для каждой категории субъектов персональных данных установлены правовые основания, в связи с которыми Обществом осуществляется обработка их ПДн. Обработка персональных данных Обществом при отсутствии надлежащих правовых оснований не допускается.

В Обществе осуществляется обработка ПДн следующих категорий субъектов персональных данных для достижения целей обработки:

• в отношении Работников — исполнение заключенных трудовых договоров, в том числе содействие в обучении и продвижение по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, расчет и выплата заработной платы, иных вознаграждений, расчет и перечисление налогов и страховых взносов; предоставление Работникам дополнительных услуг за счет работодателя (перечисление доходов на платежные карты работников, страхование за счет работодателя, обеспечение командировок, предоставление парковочного места и пр.), выполнение требований нормативных правовых актов органов государственного статистического учета, раскрытие информации в соответствии и требованиями законодательства Российской Федерации;
• в отношении бывших работников - выполнение требований нормативных правовых актов органов государственного статистического учета, раскрытие информации в соответствии и требованиями законодательства Российской Федерации;
• в отношении Членов семей работников — предоставление Работникам льгот и гарантий, предусмотренных законодательством для лиц, имеющих (усыновивших) детей, лиц с семейными обязанностями; выполнение требований Трудового кодекса Российской Федерации об информировании родственников о несчастных случаях; страхование Членов семей работников частично или полностью за счет Общества; выполнение требований нормативных правовых актов органов государственного статистического учета;
• в отношении Соискателей (кандидатов) — принятие решения о возможности замещения вакантных должностей соискателями, наиболее полно соответствующими требованиям Общества, ведение кадрового резерва;
• в отношении Представителей клиентов — в том числе работники клиентов, акционеры, бенефициары, выполнение норм Гражданского кодекса РФ и требований законодательства Российской Федерации, регулирующих договорную работу, заключение и исполнение договоров с клиентами по выполнению работ и оказанию услуг по основным видам деятельности Общества;
• в отношении Представителей субъектов персональных данных — выполнение Обществом действий по поручению Представителей субъектов персональных данных;
• в отношении Посетителей сайта — информирование Посетителей сайта о деятельности Общества; осуществление обратной связи по продуктам Общества, анализа статистики посещаемости сайта;
• в отношении иных субъектов персональных данных - выполнение Обществом действий/обязательств по существу обращений субъектов персональных данных или их представителей.

4. Правила обработки ПДн

Обработка ПДн осуществляется Обществом на законной основе. В случаях, предусмотренных действующим законодательством, Общество осуществляет получение согласия субъекта на обработку его ПДн по установленной действующим законодательством форме. Если Общество получает ПДн от третьего лица, то оно в обязательном порядке требует подтверждения от этого лица, что оно имеет все необходимые основания для передачи ПДн в Общество.

При обработке ПДн обеспечивается точность, достаточность и, в необходимых случаях, актуальность по отношению к целям обработки ПДн. Общество предполагает, что субъект ПДн представил ей точные, достаточные и актуальные данные. Если субъект ПДн обнаружил неточность в обрабатываемых ПДн и направил соответствующий запрос, или такая неточность была обнаружена самим Обществом, Общество предпримет все необходимые меры для обеспечения точности, достаточности и актуальности ПДн.

Общество не передает и не предоставляет ПДн субъектов ПДн третьим лицам, за исключением случаев, предусмотренных действующим законодательством РФ.

В Обществе запрещено принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.

В Обществе не допускается обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных действующим законодательством РФ. Общество незамедлительно прекращает обработку специальных категорий ПДн по достижению целей их обработки, если иное не установлено федеральным законом.

В Обществе не допускается обработка биометрических ПДн (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность), за исключением случаев, предусмотренных действующим законодательством РФ.

Общество не осуществляет трансграничную передачу ПДн, за исключением случаев, предусмотренных действующим законодательством РФ.

Общество НЕ распространяет ПДн субъектов ПДн без их письменного согласия.

Общество вправе обрабатывать персональные данные субъектов персональных данных по поручению третьих лиц только в случае заключения договора поручения обработки персональных данных, в котором третье лицо, как оператор персональных данных, устанавливает перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться Обществом, цели их обработки, а также установлена обязанность Общества соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных», соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных».

Общество организовывает процессы взаимодействия с субъектами ПДн таким образом, чтобы субъект мог обратиться в Общество по всем предусмотренным в законодательстве вопросам, связанным с обработкой его ПДн (ознакомление с ПДн, относящимся к этому субъекту ПДн, получение информации об обрабатываемых ПДн, получение информации о третьих лицах, осуществление запросов на уточнение, прекращение обработки, блокировку и уничтожение ПДн и т.д.). С целью своевременного и надлежащего выполнения запросов и обращений, поступающих от субъектов ПДн и уполномоченного органа по защите прав субъектов ПДн, в Обществе утвержден порядок обработки таких запросов и обращений.

Предоставление ПДн органам государственной власти и местного самоуправления, в суды, правоохранительные органы, а также иным надзорным органам осуществляется Обществом в случаях и в порядке, предусмотренных законодательством РФ.

5. Права субъектов персональных данных

Субъект персональных данных имеет право осуществлять действия в части уточнения, блокирования, уничтожения ПДн, возражения против автоматизированной обработки, а также ознакомления с характеристиками процесса обработки его ПДн (цели обработки, состав ПДн, источник получения ПДн, сроки обработки и хранения ПДн, характер обработки ПДн и др.).

Субъект персональных данных имеет право извещения всех лиц, которым ранее были сообщены неверные или неполные его ПДн, обо всех изменениях его ПДн.

Субъект персональных данных имеет право обжаловать в органе по защите прав субъектов ПДн или в судебном порядке неправомерные действия или бездействия Общества при обработке его ПДн.

Субъект персональных данных имеет право отозвать свое согласие на обработку ПДн в любой момент.

Субъект персональных данных имеет иные права, определенные главой 3 Федерального закона «О персональных данных».

6. Установление правил и порядка обработки ПДн

В Обществе во внутренних документах, обязательных для исполнения всеми работниками Общества, а также партнерами, контрагентами и прочими третьими лицами в части, их касающейся, определяются:

• процедуры предоставления доступа к ПДн;
• процедуры внесения изменений в ПДн с целью обеспечения их точности, достоверности и актуальности, в том числе по отношению к целям обработки ПДн;
• процедуры уничтожения, обезличивания либо блокирования ПДн в случае необходимости выполнения таких процедур;
• процедуры обработки обращений субъектов ПДн (их законных представителей) для случаев, предусмотренных законодательством, в частности порядок подготовки информации о наличии ПДн, относящихся к конкретному субъекту ПДн, информации, необходимой для предоставления возможности ознакомления субъектом ПДн (его законными представителями) с его ПДн, а также процедуры обработки обращений об уточнении ПДн, их блокировании или уничтожении, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для установленной цели обработки;
• процедуры получения согласия субъекта ПДн на обработку его ПДн и на передачу обработки его ПДн третьим лицам;
• процедуры передачи ПДн между пользователями ресурса ПДн, предусматривающего передачу ПДн только между работниками Обществе, имеющими доступ к ПДн;
• процедуры передачи ПДн третьим лицам в случаях, определенных законодательством РФ;
• процедуры работы с материальными носителями ПДн.

7. Требования к конфиденциальности и обеспечению безопасности ПДн

С целью обеспечения безопасности ПДн при их обработке в Обществе реализуются требования действующего законодательства в области обработки и обеспечения безопасности ПДн. Для этих целей в Обществе введена, функционирует и проходит периодический пересмотр (контроль) система защиты ПДн.

Общество применяет необходимые и достаточные организационные и технические меры, включающие в себя, в том числе:

• разработку внутренних документов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений;
• защиту ПДн от несанкционированного доступа, неправомерной обработки или передачи, а также от утери, искажения или уничтожения (вне зависимости от того, автоматизированная или неавтоматизированная обработка ПДн осуществляется);
• определение и внедрение перед введением новых процессов обработки ПДн и новых ИСПДн, технических и организационных мер, обеспечивающих защиту ПДн, ориентированных на современный уровень техники и необходимую степень защиты данных;
• определение угроз безопасности ПДн при их обработке в ИСПДн;
• использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
• установление правил доступа к ПДн, обрабатываемых в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
• контроль и оценку эффективности применяемых мер (в том числе с привлечением аудиторских проверок);
• обнаружение фактов несанкционированного доступа к ПДн (и других инцидентов с ПДн) и принятие мер;
• восстановление ПДн.

В части обеспечения конфиденциальности обработки Общество предпринимает меры, направленные на предотвращение несанкционированного сбора, обработки или использования ПДн, в том числе:

• предоставление доступа к ПДн только в случаях и в порядке, предусмотренном законодательством;
• ознакомление работников Общества, непосредственно осуществляющих обработку ПДн, с положениями законодательства о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Общества в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников.

В случае инцидентов, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, Общество передает соответствующую информацию (за исключением информации, составляющей государственную тайну) федеральным органам исполнительной власти, уполномоченным в области обеспечения безопасности, уполномоченному органу по защите прав субъектов персональных данных в соответствии с установленным ими порядком

В случае инцидентов, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, Общество передает соответствующую информацию (за исключением информации, составляющей государственную тайну) федеральным органам исполнительной власти, уполномоченным в области обеспечения безопасности, уполномоченному органу по защите прав субъектов персональных данных в соответствии с установленным ими порядком

8. Сбор ПДн с использованием сайта

На сайте Общества (https://ucscards.ru/) могут собираться персональные данные для анализа статистики посещаемости сайта, обработки обращений субъектов персональных данных, оптимизации web-ресурсов Банка, информирования посетителей сайта о деятельности Общества.

Используя сайт и/или предоставляя Обществу свои персональные данные, субъект персональных данных - посетитель сайта выражает согласие на обработку своих персональных данных на условиях, предусмотренных настоящей Политикой.

Общество вправе использовать технологию «cookies». «Cookies» не содержат конфиденциальную информацию и не передаются третьим лицам.

Общество может получать информацию об ip-адресе посетителя сайта и сведения о том, по ссылке с какого интернет-сайта он пришел. Данная информация не используется для установления личности посетителя.

9. Заключительные положения

Общество может вносить изменения в настоящую Политику без предварительного уведомления. Любые изменения вступают в силу с момента их опубликования.

Контроль исполнения требований настоящей Политики, а также ее своевременная актуализация осуществляется лицом, ответственным за организацию обработки персональных данных. Ответственность работников Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Общества.

10. Контактная информация

Любые обращения, касающиеся обработки персональных данных, направляются при личном посещении офисов Обществе, а также с помощью письма по юридическому адресу Обществе: 117449, г. Москва, ул. Новочерёмушкинская, д. 10.