Политика Общества с ограниченной ответственностью «РСХБ Факторинг» в отношении обработки персональных данных

1.    Общие положения

1.1. Политика обработки персональных данных в ООО «РСХБ Факторинг» (далее – «Политика») разработана в целях обеспечения защиты прав и свобод субъектов ПДн и предназначена для обеспечения надлежащей защиты ПДн, обрабатываемых в ООО «РСХБ Факторинг» (далее – «Общество»).

1.2. Политика определяет основные принципы, цели, условия и способы обработки ПДн, перечни субъектов и обрабатываемых в Обществе ПДн, функции Общества при обработке ПДн, права субъектов ПДн, а также реализуемые в Обществе требования к защите и обеспечению безопасности ПДн.

1.3. Политика разработана с учетом требований Конституции Российской Федерации, Трудового кодекса РФ, Гражданского кодекса РФ, Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона 27.07.2006 № 152-ФЗ «О ПДн» (далее – «Закон № 152-ФЗ»), а также внутренних нормативных документов Общества.

1.4. Персональные данные являются конфиденциальной информацией, охраняемой в соответствии с действующим законодательством Российской Федерации, и на их обработку распространяются все требования, установленные внутренними нормативными документами Общества, связанными с обеспечением защиты конфиденциальной информации.

1.5. Внутренние нормативные документы, регламентирующие обработку ПДн в Обществе, разрабатываются с учетом положений настоящей Политики.

1.6. Политика действует в отношении всех процессов в Обществе, связанных с обработкой ПДн, и распространяется на отношения по обработке и защите ПДн, полученных Обществом как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера настоящая Политика не может быть распространена на отношения по обработке и защите ПДн, полученных до ее утверждения.

1.7. Настоящая Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке ПДн в Обществе.

2. Термины и определения

2.1. В Политике нижеуказанные термины имеют следующее значение:

Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники.

Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

Запросы – направленное Обществу в письменной (в том числе электронной) форме обращение Роскомнадзора, содержащее одно или несколько требований, в том числе:

-         о предоставлении информации;

-         об уточнении, блокировании или уничтожении недостоверных или полученных незаконным путем ПДн;

-         о принятии мер по недопущению нарушений законодательства в области ПДн;

-         о совершении иных действий в соответствии с законодательством Российской Федерации.

Заявитель – Субъект, его представитель или Роскомнадзор, направившие в Общество Обращение или Запрос соответственно.

Информация – сведения (сообщения, данные) независимо от формы их предоставления.

Информационная система ПДн (ИСПДн) – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

Инцидент – факт неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав Субъектов.

Кандидаты – физические лица, претендующие на замещение вакантной должности в Компании и намеревающееся вступить с Обществом в трудовые отношения.

Контрагенты – физические лица, с которыми Общество вступает или намеревается вступить в договорные отношения, или физические лица-представители или бенефициары юридических лиц, с которыми Общество вступает или намеревается вступить в договорные отношения.

Обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Обращение – предложение, заявление, запрос или жалоба, поступившие в Общество в письменной (в том числе электронной) или устной форме.

Общество – ООО «РСХБ Факторинг».

Оператор – Общество, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Ответственный за организацию обработки – работник Общества, назначенный ответственным за организацию обработки ПДн приказом.

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определяемому кругу лиц.

Пользователь – физическое лицо, посетившее сайт Общества по веб-адресу: https://factoring.rshb.ru/.

Получатель ПДн – орган власти иностранного государства, иностранное физическое или юридическое лицо, в адрес которого планируется и /или осуществляется трансграничная передача ПДн.

Работник – физическое лицо, вступившее в трудовые отношения с Обществом.

Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц.

Роскомнадзор – Федеральная Служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (уполномоченный федеральный орган исполнительной власти по защите прав Субъектов ПДн).

Сайт – Интернет-ресурс, размещённый по адресу https://factoring.rshb.ru/, представляющий собой совокупность содержащихся в информационной системе информации и результатов интеллектуальной деятельности, в том числе, программ для ЭВМ, баз данных, графических оформлений интерфейсов (дизайн) и др., доступ к которому обеспечивается с различных пользовательских устройств, подключенных к сети Интернет, посредством специального программного обеспечения для просмотра вебстраниц (браузера), позволяющий Пользователю просматривать и искать информацию, размещённую на Сайте, а также совершать иные действия, предусмотренные функционалом Сайта.

Субъект – Работники, Кандидаты и Контрагенты Компании, а также иные физические лица, обработка ПДн которых осуществляется Обществом в соответствии с настоящей Политикой.

Трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.

3. Правовые основания обработки ПДн

3.1. Правовыми основаниями обработки ПДн являются следующие нормативные правовые акты:

-              Конституция Российской Федерации;

-              Налоговый кодекс Российской Федерации;

-              Гражданский кодекс Российской Федерации;

-              Кодекс Российской Федерации об административных правонарушениях;

-              Трудовой кодекс Российской Федерации;

-              Основы законодательства Российской Федерации о нотариате;

-              Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;

-              Федеральный закон от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

-              Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;

-              Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

-              Федеральный закон от 26.10.2002 № 127-ФЗ «О несостоятельности (банкротстве)»;

-              Федеральный закон от 10.12.2003 № 173-ФЗ «О валютном регулировании и валютном контроле»;

-              Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;

-              Федеральный закон от 02.10.2007 № 229-ФЗ «Об исполнительном производстве»;

-              Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;

-              Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;

-              иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Общества.

3.2. Правовыми основаниями обработки ПДн Обществом также являются:

-              Устав Общества;

-              договоры, заключаемые между Обществом и Субъектом;

-              договоры, заключаемые с компаниями-контрагентами;

-              Публичная оферта, размещенная на сайтах по поиску работы;

-             согласие Субъекта на обработку ПДн.

4. Цели и иные параметры обработки ПДн

4.1. Обработка ПДн в Обществе ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

4.2. Цели обработки ПДн определены в приложении № 1.

4.3. В приложении 1 к Политике в отношении каждой цели определены категории и перечень обрабатываемых ПДн, категории Субъектов, а также способы, сроки обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований.

4.4. Содержание и объем обрабатываемых ПДн в Обществе соответствует заявленным в приложении № 1 к Политике целям обработки. Обрабатываемые Обществом персональные данные не являются избыточными по отношению к заявленным целям их обработки.

4.5. Общество не осуществляет обработку следующих ПДн:

4.5.1. специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни;

4.5.2. данных, касающихся реализации лицом права на объединение, ведение коллективных переговоров или другой профсоюзной деятельности, принадлежности к той или иной общественной организации;

4.5.3. данных, касающихся участия лица в собраниях, митингах, демонстрациях, шествиях, пикетированиях либо осуществления других политических прав.

4.6. Общество осуществляет обработку специальных категорий ПДн, касающихся состояния здоровья и судимости физических лиц, в случаях, предусмотренных законодательством Российской Федерации и при наличии правовых оснований, предусмотренных Законом № 152-ФЗ.

4.7. Обработка биометрических ПДн Обществом не осуществляется.

5. Принципы и условия обработки ПДн

5.1. Обработка ПДн Банком осуществляется на основе следующих принципов:

5.1.1. определение целей – сбор и обработка ПДн должны ограничиваться достижением конкретных, справедливых и законных целей. Не допускается дальнейшее использование ПДн в целях, которые не были напрямую заявлены при сборе ПДн. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

5.1.2. ограничение на сбор ПДн – сбор ПДн должен осуществляться в объеме, необходимом для достижения целей, на основании закона и в надлежащем порядке; не допускается сбор излишних ПДн. Не допускается сбор ПДн в целях, не соответствующих целям, заранее определенным и заявленным при сборе ПДн. Факт сбора и цели обработки ПДн должны быть известны субъекту ПДн;

5.1.3. достоверность и актуальность – персональные данные должны быть точными, актуальными и достоверными. Необходимо своевременно и надлежащим образом исправлять неточности в сведениях, составляющих персональные данные. Общество принимает необходимые меры либо обеспечивает их принятие по уничтожению (удалению) или уточнению неполных или неточных данных;

5.1.4. ограниченный доступ – доступ к персональным данным и их использование должны ограничиваться тем кругом лиц в Обществе, которым требуется доступ в соответствии со служебной необходимостью;

5.1.5. хранение не дольше необходимого срока – персональные данные подлежат уничтожению (удалению) в случае утраты необходимости в них, их недостоверности или неточности. Персональные данные хранятся в течение необходимого срока в соответствии с требованиями законодательства Российской Федерации либо не дольше, чем этого требуют соответствующие законные цели;

5.1.6. надежная защита при хранении – персональные данные всегда должны быть надежно защищены при хранении как с использованием автоматизированных средств, так и без таковых. В ИСПДн должны быть предусмотрены соответствующие технические и организационные меры для защиты ПДн от случайного или незаконного уничтожения, а также случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, в тех случаях, когда обработка требует передачи ПДн по сети, равно как и от любых других незаконных форм обработки;

5.1.7. соблюдение применимого законодательства – любая обработка должна осуществляться в соответствии с применимым законодательством о защите данных и неприкосновенности личной жизни.

5.2. Общество осуществляет обработку ПДн исключительно на законных основаниях, предусмотренных ч. 1 ст. 6 Закона № 152-ФЗ. Во всех предусмотренных законодательством Российской Федерации случаях в Обществе организуется получение согласия Субъекта на обработку его ПДн в письменной форме или иной форме, позволяющей подтвердить факт его получения.

5.3. Общество осуществляет обработку ПДн как с использованием средств автоматизации (автоматизированная обработка), так и без использования таких средств (неавтоматизированная обработка) следующими способами: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение ПДн.

5.4. В Обществе запрещается принятие решений на основании исключительно автоматизированной обработки ПДн, которые порождают юридические последствия в отношении Субъекта или иным образом затрагивают его права и законные интересы, кроме случаев и условий, предусмотренных законодательством Российской Федерации.

5.5. В Обществе может осуществляться обработка ПДн в целях продвижения товаров и услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи только при условии получения предварительного согласия Субъекта.

5.6. Общество не раскрывает и не предоставляет третьим лицам персональные данные без согласия Субъекта, полученного в требуемой законодательством Российской Федерации форме, или в отсутствие иного законного основания.

5.7. Общество вправе поручить обработку ПДн другому лицу с согласия Субъекта на основании заключаемого с этим лицом договора. Договор должен содержать перечень ПДн, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку ПДн, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона № 152-ФЗ, обязанность по запросу Оператора в течение срока действия поручения Оператора, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со ст. 19 Закона № 152-ФЗ.

5.8. В ходе осуществления своей деятельности Общество может осуществлять трансграничную передачу ПДн в порядке и в соответствии с требованиями Закона № 152-ФЗ.

5.9. Общество осуществляет распространение ПДн при получении от Субъекта согласия на обработку ПДн, разрешенных субъектом для распространения, если такое согласие требуется в соответствии с Законом № 152-ФЗ.

5.10. При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети «Интернет», Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством Российской Федерации.

5.11. Сроки обработки ПДн определяются с учетом заявленной при сборе цели обработки на основании:

5.11.1. законодательства Российской Федерации;

5.11.2. договора, стороной, выгодоприобретателем или поручителем по которому является Субъект ПДн;

5.11.3. согласия Субъекта ПДн.

5.12. Общество осуществляет уничтожение (удаление) ПДн в установленном в Обществе порядке в следующих случаях:

5.12.1. при достижении цели обработки ПДн;

5.12.2. в случае утраты необходимости в достижении цели, для которых персональные данные были собраны;

5.12.3. по окончании срока хранения ПДн;

5.12.4. при утрате законного основания для обработки ПДн;

5.12.5. при отзыве субъектом согласия на обработку ПДн, если Общество не имеет иных правовых оснований для обработки ПДн Субъекта.

5.13. Порядок уничтожения ПДн и ответственное лицо за уничтожение ПДн в Обществе устанавливается внутренним нормативным документом Общества.

6. Права субъектов ПДн

6.1. Субъекты принимают решение о предоставлении своих ПДн Обществу и при необходимости дают согласия на их обработку своей волей и в своих интересах.

6.2. Субъект, персональные данные которого обрабатываются Обществом, имеет право на доступ к своим персональным данным.

6.3. Субъектам ПДн, если иное не предусмотрено законодательством Российской Федерации, предоставлено право на получение следующей информации о собственных ПДн по письменному запросу:

6.3.1. подтверждение факта обработки ПДн Обществом;

6.3.2. правовые основания и цели обработки ПДн;

6.3.3. цели и применяемые Обществом способы обработки ПДн;

6.3.4. наименование и местонахождение Общества, информация о лицах (кроме работников Общества), которые имеют доступ к персональным данным или которым персональные данные могут быть переданы на основании договора с Обществом или на основании федерального закона;

6.3.5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту ПДн, источник этих данных, если иной порядок представления таких данных не предусмотрен действующим законодательством;

6.3.6. срок обработки ПДн, включая срок хранения данных

6.3.7. порядок осуществления субъектом ПДн своих прав, предусмотренных Законом № 152-ФЗ;

6.3.8. информация о совершенной или предполагаемой трансграничной передаче ПДн;

6.3.9. наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если такому лицу была или будет поручена такая обработка данных;

6.3.10. информацию о способах исполнения Обществом обязанностей, установленных статьей 18.1 Закона № 152-ФЗ;

6.3.11. другая информация, предусмотренная Законом о ПДн или другими федеральными законами.

6.4. Сведения, указанные в п. 6.3. настоящей Политики, предоставляются Субъекту или его представителю Обществом при личном обращении либо при получении письменного запроса субъекта ПДн или его представителя. Обращение должно содержать номер основного документа, удостоверяющего личность Субъекта и/или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта ПДн в отношениях с Обществом либо сведения, иным образом подтверждающие факт обработки ПДн Обществом, подпись субъекта ПДн или его представителя.

6.5. При получении Обращения Субъекта ПДн Общество обязано направлять Субъекту ПДн письменный ответ в порядке и сроки, установленные законодательством Российской Федерации и внутренними нормативными документами Общества.

6.6. В случае выявления неточных ПДн при обращении Субъекта ПДн или его представителя либо по их запросу или по запросу Роскомнадзора Общество обязано осуществить блокирование ПДн, относящихся к этому Субъекту с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы Субъекта или третьих лиц.

6.7. Если Субъект считает, что Общество осуществляет обработку его ПДн с нарушением требований законодательства Российской Федерации или иным образом нарушает его права и свободы, Субъект вправе обжаловать действия или бездействие Общества в Роскомнадзор или в судебном порядке.

7. Порядок действий при выявлении неправомерной обработки ПДн

7.1. В случае поступления информации о риске Инцидента Ответственный за организацию обработки осуществляет предварительный анализ известных обстоятельств и в случае подтверждения факта Инцидента незамедлительно осуществляет следующие действия:

7.1.1. инициирует проведение внутреннего расследование Инцидента;

7.1.2. организует принятие мер по устранению последствий Инцидента;

7.1.3. выявляет предполагаемые причины Инцидента, повлекшие нарушение прав Субъектов;

7.1.4. проводит оценку предполагаемого вреда, который может быть причинен Субъекта;

7.1.5. в срок не позднее 24 часов с момента с момента выявления Инцидента уведомляет Роскомнадзор о произошедшем Инциденте, о предполагаемых причинах, повлекших нарушение прав Субъектов, и предполагаемом вреде, нанесенном правам Субъектов, о принятых мерах по устранению последствий Инцидента, а также предоставляет сведения о лице, уполномоченном Обществом на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным Инцидентом;

7.1.6. не позднее 72 часов с момента выявления Инцидента уведомляет Роскомнадзор о результатах внутреннего расследования Инцидента, а также предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

7.2. При выявлении неправомерной обработки ПДн Ответственный за организацию обработки обеспечивает осуществление уполномоченными работниками Общества следующих действий:

7.2.1. незамедлительное блокирование ПДн, относящихся к Субъекту, на период проведения проверки правомерности обработки ПДн;

7.2.2. осуществление возможных действий, направленных на обеспечение правомерности обработки ПДн – в течение 3 (трех) рабочих дней со дня выявления;

7.2.3. уничтожение ПДн при невозможности обеспечить правомерности обработки ПДн – не позднее 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПДн;

7.2.4. снятие блокирования ПДн в течение 1 рабочего дня с момента обеспечения правомерности обработки ПДн.

7.3. Если неправомерную обработку ПДн осуществляет лицо, действующее по поручению Общества, Общество обеспечивает соответственно их блокирование, прекращение обработки и/или уничтожение.

7.4. Если факт неправомерной обработки ПДн установлен по результатам рассмотрения Обращения и/или Запроса, Ответственный за организацию обработки уведомляет Заявителя об устранении допущенных нарушений или об уничтожении ПДн.

7.5. В случае выявления работником Общества неточных ПДн Субъекта он осуществляет следующие действия:

7.5.1. незамедлительно обеспечивает блокирование ПДн на период проведения проверки факта неточности ПДн;

7.5.2. проверяет факт неточности ПДн;

7.5.3. в случае подтверждения факта неточности ПДн осуществляет уточнение ПДн на основании сведений, представленных Субъектом, его представителем, Роскомнадзором, или иных документов;

7.5.4. в течение 7 (семи) рабочих дней осуществляет уточнение ПДн на основании сведений, представленных Субъектом, его представителем, Роскомнадзором, или иных имеющихся в распоряжении Общества документов. Уточнение ПДн в ИС и ИСПДн осуществляется с использованием стандартных средств редактирования данных, предусмотренных ИС и ИСПДн.;

7.5.5. после уточнения ПДн снимает блокирование.

7.6. В случае поступления Обращения, содержащего требование о прекращении обработки ПДн или отзыв согласия на обработку ПДн, Общество оценивает возможность продолжения обработки ПДн Субъекта посредством определения наличия законных оснований для продолжения обработки ПДн без согласия Субъекта. Если имеются соответствующие основания для продолжения обработки ПДн без согласия Субъекта Общество вправе продолжить обработку ПДн, о чем информирует Заявителя в порядке, предусмотренном разделом 6 Политики.

8. Меры по обеспечению безопасности ПДн при их обработке

8.1. При обработке ПДн Общество принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления ПДн, а также от иных неправомерных действий в отношении ПДн.

8.2. Обеспечение безопасности ПДн достигается Обществом самостоятельно, посредством применения следующих мер:

8.2.1. назначение Обществом Ответственного за обработку ПДн, который осуществляет управление и методологическое сопровождение обработки ПДн, включая внутренний контроль за соблюдением законодательства Российской Федерации о ПДн, доводит до сведения работников Общества положения законодательства Российской Федерации о ПДн и внутренних нормативных документов Общества по вопросам обработки ПДн, осуществляет контроль за приемом и обработкой обращений и запросов субъектов ПДн или их представителей.

8.2.2. осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям законодательства Российской Федерации;

8.2.3. осуществление обработки ПДн без использования средств автоматизации таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ;

8.2.4. реализация раздельного хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях;

8.2.5. определение угроз безопасности ПДн при их обработке в ИСПДН (при наличии информационных систем);

8.2.6. оценка вреда, который может быть причинен субъектам ПДн в случае нарушения законодательства Российской Федерации, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации;

8.2.7. допуск    к обработке ПДн только тех работников Общества, должностные обязанности которых обуславливают обработку ПДн. Указанные работники имеют право обрабатывать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.

8.2.8. ознакомление работников Общества, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, документами, определяющими политику Общества в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, а также обучение указанных работников;

8.2.9. применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн (при наличии таких информационных систем), необходимых для выполнения требований к защите ПДн,;

8.2.10. оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн (при наличии таких информационных систем);

8.2.11. учет средств защиты информации, включая машинные носители ПДн;

8.2.12. обнаружение фактов несанкционированного доступа к персональным данным и принятие необходимых мер:

-        восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

-        установление правил доступа к персональным данным, обрабатываемым в информационной системе ПДн, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе ПДн (при наличии таких информационных систем);

-        проведение инструктажа по информационной безопасности;

-        контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн (при наличии таких информационных систем).

9. Ответственность

9.1. Контроль за соблюдением настоящей Политики осуществляет Ответственный за организацию обработки.

9.2. Ответственность Общества за нарушение требований законодательства Российской Федерации и внутренних нормативных документов Общества в сфере обработки и защиты ПДн определяется в соответствии с законодательством Российской Федерации.

9.3. Ответственность работников Общества, имеющих доступ к персональным данным, за невыполнение требований и норм, регулирующих обработку и защиту ПДн, включая разглашение или утрату ПДн, определяется в соответствии с законодательством Российской Федерации и внутренними нормативными документами Общества персонально для каждого Работника, имеющего доступ к персональным данным и допустившего такое нарушение. Лица, виновные в нарушении норм, регулирующих обработку и защиту ПДн, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.

10. Заключительные положения

10.1. Настоящая Политика является общедоступной и подлежит размещению на официальном сайте Общества в информационно-телекоммуникационной сети «Интернет» по адресу: https://factoring.rshb.ru.

10.2. Настоящая Политика подлежит пересмотру в случае изменения законодательства в случае внесения изменений в законодательство Российской Федерации в сфере ПДн, если положения настоящей Политики вступают в противоречие с законодательством Российской Федерации. Положения Политики, противоречащие законодательству Российской Федерации, в таком случае не подлежат применению.

10.3. Настоящая Политика может быть пересмотрена по инициативе Общества.

10.4. В случае внесения изменений в Политику работники и иные заинтересованные лица Общества должны быть ознакомлены с ними.

10.5. Обратная связь:

Адрес электронной почты: info@rshbfactoring.ru

Почтовый адрес: 123112, г. Москва, Пресненская набережная д.10, стр. 2, эт. 17, помещение III

Контактный телефон: +7 495 120 05 79

Приложение N 1

к Политике обработки персональных данных в ООО "РСХБ Факторинг"

Характеристики обработки персональных данных в ООО «РСХБ Факторинг»