Правильная ссылка на эту статью: |
Политика обработки персональных данных в ООО "ВебманиРу"
1. ОБЩИЕ ПОЛОЖЕНИЯ¶
1.1. Настоящая Политика обработки персональных данных субъектов ООО «ВебМани.Ру» (далее – Политика) устанавливает порядок и процедуры обработки и обеспечения безопасности персональных данных субъектов ООО «ВебМани.Ру» и применяется ко всем персональным данным физических лиц, обрабатываемых в ООО «ВебМани.Ру».
1.2. Требования настоящей Политики распространяются на все процессы и информационные системы, в которых осуществляется обработка персональных данных в ООО «ВебМани.Ру».
1.3. Пересмотр настоящей Политики должен быть выполнен в случае внесения существенных изменений в информационную инфраструктуру ООО «ВебМани.Ру» или существенных изменений законодательства, а также по итогам обнаружения угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных.
1.4. Ответственность за разработку, внедрение, пересмотр и совершенствование настоящей Политики возлагается на подразделение информационной безопасности ООО «ВебМани.Ру».
1.5. В соответствии со ст.22. Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» ООО «ВебМани.Ру» направил Уведомление об обработке (намерении осуществлять обработку) персональных данных в территориальное Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному Федеральному округу (далее - Роскомнадзор).
1.6. Термины и определения
В настоящей Политике используются следующие термины и определения:
Общество – Общество с ограниченной ответственностью «ВебМани.Ру» (ООО «ВебМани.Ру»);
Система WebMoney Transfer (Система) - электронная система, обеспечивающая целостный учет и защищенное обращение формализованных сообщений между зарегистрированными участниками.
Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
Пользователь (субъект персональных данных, субъект ПДн) – участник Системы и ее программно-аппаратного комплекса, любое физическое (за исключением граждан и налоговых резидентов стран входящих в перечень стран, где услуги Системы Webmoney Transfer не предоставляются), являющееся стороной Соглашения (в любых его фрагментах и производных актах), сообщившее при регистрации в системе свои персональные данные, признающее документы в электронной форме, составленные с помощью Системы, юридически равнозначными соответствующим документам в простой письменной форме, а действия, совершенные посредством Системы, – направленными на установление, изменение и прекращение гражданских прав и обязанностей относительно имущественных прав (объекта);
Соглашение - договорные положения участников правоотношений, включающие в том числе, признание электронных документов, удостоверенных аналогом собственноручной подписи, технические и процедурные правила, регулирующие пользовательский статус и отношения с Системой.
Контрагент – сторона по договору с Обществом.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, копирование, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
1.7. Основные права субъекта персональных данных
1.7.1. Субъект ПДн имеет право на получение от Общества сведений, касающихся обработки его ПДн, в том числе содержащих:- подтверждение факта обработки ПДн Обществом;
- правовые основания и цели обработки ПДн;
- цели и применяемые Обществом способы обработки ПДн;
- наименование и место нахождения Общества, сведения о лицах (за исключением сотрудников Общества), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Обществом или на основании Федерального закона №152-ФЗ «О персональных данных»;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом №152-ФЗ «О персональных данных»;
- сроки обработки ПДн, в том числе сроки их хранения;
- порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом №152-ФЗ «О персональных данных»;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные законодательством.
1.7.2. Запрос на получение сведений, касающихся обработки ПДн субъекта, должен содержать серию и номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Общества, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан квалифицированной электронной подписью в соответствии с законодательством.
1.7.3. Субъект ПДн вправе требовать от Общества уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством меры по защите своих прав.
1.7.4. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.
1.7.5. Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн Общество вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в Федеральном законе №152-ФЗ «О персональных данных».
1.7.6. Субъект ПДн вправе обжаловать действия или бездействие Общества путем обращения в уполномоченный орган по защите прав субъектов персональных данных (территориальный орган Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций).
1.7.7. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
1.8. Основные обязанности Общества при обработке персональных данных
1.8.1. При сборе ПДн Общество предоставляет субъекту ПДн по его запросу информацию, предусмотренную пунктом 1.8.1. настоящей Политики. Если предоставление ПДн Обществу является обязательным в соответствии с Федеральным законом №152-ФЗ «О персональных данных», Общество разъясняет субъекту ПДн юридические последствия отказа предоставить его ПДн. Если ПДн получены не от субъекта ПДн, Общество, за исключением случаев, предусмотренных частью 4 Федерального закона №152-ФЗ «О персональных данных», до начала обработки таких ПДн Общество предоставляет субъекту ПДн следующую информацию:
- наименование Общества либо фамилию, имя, отчество его представителя, а также адрес;
- цель обработки ПДн и ее правовое основание;
- предполагаемые пользователи ПДн;
- установленные Федеральным законом №152-ФЗ «О персональных данных» права субъекта ПДн;
- источник получения ПДн.
1.8.2. Общество освобождается от обязанности предоставить субъекту ПДн сведения, предусмотренные пунктом 1.8.1. настоящей Политики, в случаях, если:
- субъект ПДн уведомлен об осуществлении обработки его ПДн Обществом;
- ПДн получены Обществом на основании Федерального закона №152-ФЗ «О персональных данных» или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн;
- ПДн сделаны общедоступными субъектом ПДн или получены из общедоступного источника;
- Общество осуществляет обработку ПДн для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта ПДн;
- предоставление субъекту ПДн сведений, предусмотренных пунктом 1.8.1. настоящей Политики, нарушает права и законные интересы третьих лиц.
1.8.3. При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети «Интернет», Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных находящихся на территории Российской Федерации.
1.8.4. В случае выявления неправомерной обработки ПДн, при обращении субъекта ПДн или его представителя, либо по запросу субъекта ПДн или его представителя, либо уполномоченного органа по защите прав субъектов ПДн Общество осуществляет блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Общество осуществляет блокирование персональных данных, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
1.8.5. В случае подтверждения факта неточности ПДн Общество на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов уточняет ПДн либо обеспечивает их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в течение семи рабочих дней со дня представления таких сведений и снимает блокирование ПДн.
1.8.6. В случае выявления неправомерной обработки ПДн, осуществляемой Обществом или лицом, действующим по поручению Общества, Общество в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку ПДн или обеспечивает прекращение неправомерной обработки ПДн лицом, действующим по поручению Общества. В случае, если обеспечить правомерность обработки ПДн невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, уничтожает такие ПДн или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Общество уведомляет субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.
1.8.7. В случае достижения цели обработки ПДн Общество прекращает обработку ПДн или обеспечивает ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению) и уничтожает ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Обществом и субъектом ПДн либо если Общество не вправе осуществлять обработку ПДн без согласия субъекта ПДн.
1.8.8. В случае отзыва субъектом ПДн согласия на обработку его ПДн Общество прекращает их обработку или обеспечивает прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Обществом и субъектом ПДн либо если Общество не вправе осуществлять обработку ПДн без согласия субъекта ПДн.
1.8.9. В случае отсутствия возможности уничтожения ПДн в течение установленного срока, Общество осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен законодательством.
2. Принципы и цели обработки персональных данных¶
2.1. Общество осуществляет обработку ПДн для достижения следующих целей:
- заключение и исполнение Соглашения;
- сопровождение пользователя в Системе;
- продвижение услуг на рынке;
- организация учета сотрудников Общества, регулирование трудовых (гражданско-правовых) отношений субъекта с Обществом (обеспечение соблюдения законов и иных нормативных правовых актов в целях подбора персонала, содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение личной безопасности работников);
- предоставление услуг корпоративной мобильной связи;
- осуществление контрольно-пропускного режима в служебные помещения Общества;
- проведение идентификации, установление личности пользователя Системы-субъекта ПДн;
- осуществление функций, возложенных на Общество законодательством Российской Федерации, а также внутренними документами Общества.
2.2. Принципы обработки ПДн в Обществе:
- Обработка ПДн осуществляется на законной и справедливой основе.
- Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
- Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
- Обработке подлежат только ПДн, которые отвечают целям их обработки.
- Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
- При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Общество принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных.
- Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен Федеральным законом №152-ФЗ «О персональных данных», договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом № 152-ФЗ «О персональных данных».
2.3. Сотрудники Общества, допущенные к обработке ПДн, обязаны:
- знать и неукоснительно выполнять положения законодательства Российской Федерации в области ПДн, настоящей Политики и иных внутренних документов Общества по вопросам обработки и обеспечения безопасности ПДн;
- обрабатывать ПДн только в рамках выполнения своих должностных обязанностей;
- не разглашать ПДн, обрабатываемые в Обществе;
- сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики;
- сообщать об известных фактах нарушения требований настоящей Политики работнику Общества, ответственному за организацию обработки ПДн в Обществе, назначенному распорядительным документом Общества.
2.4. Безопасность ПДн в Обществе обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности ПДн, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы ИСПДн в случае реализации угроз.
3. Правовые основания обработки персональных данных¶
Перечень правовых оснований обработки персональных данных:
3.1. Конституция Российской Федерации;
3.2. Трудовой кодекс Российской Федерации;
3.3. Гражданский кодекс Российской Федерации от 30.11.1994 № 51-ФЗ;
3.4. Налоговый кодекс Российской Федерации часть первая от 31.07.1998 №146-ФЗ и часть вторая от 05.08.2000 № 117-ФЗ;
3.5. Иные нормативные правовые акты Российской Федерации;
3.6. Внутренние нормативные документы Общества;
3.7. Согласие на обработку персональных данных;
3.8. Договоры (соглашения, контракты) заключаемые между Обществом и субъектом ПДн.
4. Объем и категории персональных данных¶
4.1. В зависимости от субъекта ПДн, Общество обрабатывает ПДн следующих категорий субъектов ПДн:
- работник, состоящий в трудовых отношениях с Обществом, близкие родственники работника - информация, необходимая Обществу в связи с трудовыми отношениями и касающиеся конкретного работника;
- уволенный работник;
- соискатель на замещение вакантных должностей – информация, необходимая Обществу для оценки профессиональных и деловых качеств при рассмотрении соискателей на замещение вакантных должностей;
- аффилированное лицо или руководитель, участник (акционера) или работник юридического лица, являющийся аффилированным лицом по отношению к Обществу - информация, необходимая Обществу для отражения в отчетных документах о деятельности Общества;
- контрагент, представитель контрагента, бенефициарный владелец контрагента – информация, необходимая Обществу для выполнения в рамках своих обязательств в рамках договорных отношений с контрагентом;
- физическое лицо, входящее в органы управления Общества;
- физическое лицо – пользователь Системы;
- иные физические лица, выразившие согласие на обработку Обществом их персональных данных;
- физические лица, обработка персональных данных которых необходима для достижения целей, осуществления и выполнения, возложенных на Общество законодательством Российской Федерации функций, полномочий и обязанностей.
4.2. Перечень ПДн, обрабатываемых в Обществе, определяется в соответствии с законодательством Российской Федерации и внутренними нормативными документами Общества, с учетом целей обработки ПДн, указанных в разделе 2 настоящей Политики.
4.3. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни в Обществе не осуществляется.
4.4. Обществом осуществляется биометрическая верификация пользователей по биометрическим характеристикам изображения лица. Перед сбором биометрических данных у пользователей запрашивается дополнительное согласие (Приложение 5).
5. Условия и организация обработки ПДн в Обществе¶
5.1. Обработка ПДн осуществляется в соответствии с целями, заранее определенными и заявленными при сборе персональных данных, а также полномочиями Общества, определенными действующим законодательством Российской Федерации и договорными отношениями с клиентами и контрагентами Общества.
5.2. Обработка ПДн в Обществе подразделяется на:
- обработку ПДн, осуществляемую без использования средств автоматизации;
- обработку ПДн в ИСПДн с использованием средств автоматизации;
- смешанную обработку ПДн.
5.3. Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн субъектов с использованием баз данных, находящихся на территории Российской Федерации в г. Москва.
5.4. Обработка ПДн в Обществе осуществляется в соответствии с разделом 2 настоящей Политики.
5.5. Обработка ПДн в целях продвижения услуг Общество на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи осуществляется только при условии предварительного согласия субъекта ПДн. По требованию субъекта ПДн, Общество немедленно прекращает обработку его ПДн в целях продвижения своих услуг на рынке.
5.6. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом №152-ФЗ «О персональных данных».
5.7. Сроки обработки Обществом ПДн определяются в соответствии со сроком действия договора с субъектом ПДн, а также пяти последующих лет после его расторжения (с в соответствии с Федеральным законом №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма») в случае, если договор с субъектом ПДн заключается для осуществления переводов денежных средств, если иное не установлено соглашением сторон либо требованиями законодательства.
5.8. Общество вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее - поручение Общества). При этом, лицо, осуществляющее обработку ПДн по поручению Общества, не обязано получать согласие субъекта ПДн на обработку его ПДн.
5.9. Лицо, осуществляющее обработку ПДн по поручению Общества, обязано соблюдать принципы и правила обработки ПДн, предусмотренные законодательством в области персональных данных.
5.10. В случае, если Общество поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Общество. Лицо, осуществляющее обработку персональных данных по поручению Общества, несет ответственность перед Обществом.
5.11. Поручение обработки ПДн третьему лицу выполняется только на основании договора. В указанном договоре обязательны:
- перечень действий (операций) с ПДн, которые будут совершаться обработчиком;
- цели обработки;
- обязанность обработчика выполнять требования по обеспечению безопасности ПДн (в том числе соблюдать конфиденциальность ПДн) при их обработке, не раскрывать и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
5.12. Получение и обработка ПДн в случаях, предусмотренных законодательством РФ, осуществляется Обществом с письменного согласия субъекта ПДн кроме случаев, установленных законодательством Российской Федерации. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.
5.13. Согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются Обществом.
5.14. Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн Общество вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, установленных законодательством Российской Федерации.
5.15. В Обществе запрещается принятие решений на основании исключительно обработки ПДн, осуществляемую с использованием средств автоматизации, которые порождают юридические последствия в отношении субъекта ПДн, или иным образом затрагивают его права и законные интересы, кроме случаев и условий, предусмотренных законодательством Российской Федерации в области ПДн.
5.16. Общество в своей деятельности обеспечивает соблюдение принципов обработки ПДн, указанных в ст.5 Федерального закона №152-ФЗ «О персональных данных».
5.17. Общество в своей деятельности принимает меры, предусмотренные ч. 2 ст. 18.1, ч.1 ст.19 Федерального закона №152-ФЗ «О персональных данных» (Раздел 6 настоящей Политики).
5.18. Общество вправе передавать ПДн органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации. Представители органов государственной власти (в том числе, контролирующих, надзорных, правоохранительных и иных органов) получают доступ к ПДн, обрабатываемым в Обществе, в объеме и порядке, установленном законодательством Российской Федерации.
5.19. В целях соблюдения законодательства РФ, для достижения целей обработки, а также в интересах субъектов ПДн Общество в ходе своей деятельности предоставляет персональные данные следующим организациям:
- Федеральной налоговой службе;
- Пенсионному фонду России;
- Страховым компаниям;
- Фонд социального страхования Российской Федерации;
- Органы предварительного следствия (при наличии согласия руководителя следственного органа);
- Органы внутренних дел;
- Судебные органы;
- Органы принудительного исполнения судебных актов, актов других органов и должностных лиц в случаях, предусмотренных законодательными актами об их деятельности;
- Субъектам Системы;
- а также другим третьим лицам в случаях, предусмотренных законодательными актами об их деятельности или договорами с Обществом.
5.20. В целях осуществления контрольно-пропускного режима в служебные помещения Общества, с письменного согласия работника, Общество предоставляет персональные данные работников организации, заключившей с Обществом договор. Перечень организаций утверждается распорядительным документом Общества.
6. Меры, направленные на обеспечение защиты ПДн¶
6.1. Общество самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом №152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Федеральным законом № 152-ФЗ «О персональных данных» или другими федеральными законами.
6.2. Защите подлежат:
- документы, содержащие ПДн;
- электронные носители информации, содержащие ПДн;
- ИСПДн;
- каналы связи, по которым осуществляется передача ПДн.
- осуществлять внутренний контроль за соблюдением Обществом и его работниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;
- доводить до сведения сотрудников Общества положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
- организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
- определены угрозы безопасности ПДн при их обработке в ИСПДн;
- применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз;
- проводится оценка эффективности принимаемых мер до ввода в эксплуатацию ИСПДн;
- ведется учет съемных машинных носителей ПДн;
- проводятся мероприятия по обнаружению фактов несанкционированного доступа к ПДн и принятию соответствующих мер;
- обеспечивается возможность восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- устанавливаются правила доступа к ПДн, а также обеспечивается регистрация и учет всех действий, совершаемых с ПДн в информационной системе персональных данных;
- осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и поддержанию уровня защищенности ИСПДн;
- проводится внутренний контроль и (или) аудит соответствия обработки ПДн Федеральному закону №152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Общества в отношении обработки ПДн, локальным актам Общества;
- выполняется оценка вреда, который может быть причинен субъектам ПДн в случае нарушения настоящей Политики, соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящей Политикой;
- реализуется ознакомление сотрудников Общества, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Общества в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных сотрудников;
- для каждой ИСПДн в соответствии с Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» устанавливаются уровни защищенности.
6.5. В дополнение к требованиям Федерального закона № 152-ФЗ «О персональных данных», в Обществе осуществляется комплекс мероприятий, направленных на защиту информации о пользователях, сотрудниках и контрагентах. Общество руководствуется требованиями и рекомендациями действующего законодательства Российской Федерации, других регулирующих организаций, а также лучшими российскими и международными практиками.
7. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным¶
7.1. В случае выявления неправомерной обработки ПДн Общество осуществляет блокирование неправомерно обрабатываемых персональных данных.
7.2. В случае выявления неточных ПДн Общество осуществляет блокирование соответствующих ПДн на период проверки. В случае подтверждения факта неточности ПДн Общество на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов уточняет персональные данные и снимает блокирование персональных данных.
7.3. Общество обязано сообщить субъекту ПДн или его представителю информацию об осуществляемой обработке ПДн такого субъекта по запросу.
7.4. Сведения, касающиеся обработки ПДн, предоставляются субъекту персональных данных или его представителю при получении запроса субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
7.5. Рассмотрение запросов субъектов ПДн или их представителей, а также уполномоченного органа по защите прав субъектов ПДн:
7.5.1. Субъекты ПДн имеют право на получение информации, касающейся обработки их ПДн, в том числе содержащей:- подтверждение факта обработки ПДн в Обществе;
- правовые основания и цели обработки ПДн;
- применяемые в Обществе способы обработки ПДн;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом №152-ФЗ «О персональных данных»;
- сроки обработки ПДн, в том числе сроки их хранения в Обществе;
- порядок осуществления субъектом ПДн прав, предусмотренных законодательством Российской Федерации в области ПДн;
- иные сведения, предусмотренные законодательством Российской Федерации в области ПДн.
7.5.2. При получении запроса Субъекта ПДн или его представителя, а также уполномоченного органа по защите прав субъектов ПДн, Общество предоставляет сведения в сроки в соответствии требованиями статьи 20 Федерального закона № 152-ФЗ «О персональных данных».
7.6. Субъекты ПДн вправе требовать от Общества уточнения их ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.7. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с Федеральным законом №152-ФЗ «О персональных данных», в том числе, если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.
7.8. Для получения необходимой информации, касающейся обработки ПДн, описанной в пункте 7.5. настоящей Политики, Субъекту (либо законному представителю) необходимо заполнить соответствующую форму запроса субъекта ПДн информацией, касающейся обработки ПДн (Приложение 1 к настоящей Политике) и передать ее лично, либо по почте работникам Общества, принимающим обращения граждан.
7.9. Для уточнения определенных ПДн Субъекту (либо законному представителю) необходимо заполнить соответствующую форму запроса субъекта ПДн на уточнение ПДн (Приложение 2 к настоящей Политике) и передать лично работникам Общества, принимающим обращения граждан, либо по почте.
7.10. Для уничтожения или исключения неправомерности обработки ПДн Субъекту (либо законному представителю) необходимо заполнить соответствующую форму запроса субъекта ПДн на уничтожение ПДн (Приложение 3 к настоящей Политике) и передать лично работникам Общества, принимающим обращения граждан, либо по почте.
7.11. Для отзыва согласия Субъекта ПДн на обработку его ПДн Субъекту (либо законному представителю) необходимо заполнить соответствующую форму отзыва согласия субъекта ПДн на обработку его ПДн (Приложение 4 к настоящей Политике) и передать лично работникам Общества, принимающим обращения граждан, либо по почте. В случае отзыва согласия на обработку ПДн Общество вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных».
7.12. При достижении целей обработки ПДн, (при условии невозможности обезличивания ПДн), при выявлении неустранимых неправомерных действий с ПДн субъектов, по требованию клиента или уполномоченного органа по защите прав субъектов ПДн, а также в случае отзыва субъектом ПДн согласия на их обработку персональные данные подлежат уничтожению, если:- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн;
- иное не предусмотрено иным соглашением между Обществом и субъектом ПДн.
7.13. При получении запроса Субъекта ПДн или его представителя, а также уполномоченного органа по защите прав субъектов ПДн по устранению нарушений законодательства, допущенных при обработке ПДн, по уточнению, блокированию и уничтожению ПДн, Общество осуществляет соответствующие меры и уведомляет о выполненных мерах в сроки согласно требованиям статьи 21 Федерального закона № 152-ФЗ «О персональных данных».
8. Заключительные положения¶
8.1. Политика обработки персональных данных в ООО «ВебМани.Ру» в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» подлежит опубликованию на информационном сайте Общества и размещению в местах обслуживания клиентов Общества, с целью обеспечения неограниченного доступа к документу.
8.2. Сотрудники Общества, обрабатывающие ПДн субъектов Общества, и лица, которым Общество поручает обработку ПДн, несут предусмотренную законодательством Российской Федерации ответственность за нарушение режима защиты, обработки и порядка использования ПДн субъектов Общества.
8.3. Руководитель, предоставляющий доступ сотруднику Общества к обрабатываемым ПДн, несет персональную ответственность. Сотрудники Общества, получающие доступ к обрабатываемым ПДн, несут персональную ответственность за конфиденциальность полученной информации.
8.4. Разглашение ПДн субъекта (передача их посторонним лицам, в том числе, работникам Общества, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих ПДн субъектов Общества, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, иными локальными актами Общества, касающимися обработки ПДн, влечет наложение на виновного сотрудника дисциплинарного взыскания.
8.5. В случае внесения изменений в законодательство Российской Федерации, при наличии противоречий условий внутренних документов Общества с нормами действующего законодательства, отдельные положения внутренних документов Общества утрачивают свою юридическую силу. До момента утверждения уполномоченным органом Общества внутренних документов Общества в новой редакции, сотрудники Общества руководствуются действующим законодательством Российской Федерации. Факт прекращения действия одного или нескольких пунктов внутренних документов не влияет на действие документа в целом.
8.6. Изменения и дополнения к настоящей Политике утверждаются Генеральным директором и вводятся в действие …..
8.7. Ознакомление сотрудников Общества с настоящей Политикой осуществляется под роспись в Отделе информационной безопасности, а также дополнительно на сетевом диске.
8.8. Клиенты ознакамливаются с настоящей Политикой на информационном сайте Общества, либо в местах обслуживания.
Приложение 1¶
Приложение 1
к Политике обработки персональных данных субъектов в ООО «ВебМани.Ру»
Форма запроса субъекта персональных данных о наличии и ознакомлении с персональными данными
В ООО «ВебМани.Ру»
от:___________________________________
адрес:________________________________
______________________________
Паспорт: серия______№_________________
выдан________________________________
_____________________________
_____________________________
ЗАПРОС
В соответствии со статьей 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», я имею право получить от Общества сведения о наличии моих персональных данных.
Прошу Общество предоставить мне следующую информацию:
1 | Осуществляется ли обработка моих персональных данных | |
2 | Перечень обрабатываемых Вами моих персональных данных, источник их получения | |
3 | Правовые обоснования и цели обработки моих персональных данных | |
4 | Способы обработки моих персональных данных | |
5 | Какие лица, имеют или могут получить доступ к моим персональным данным | |
6 | Срок хранения моих персональных данных | |
7 | Иное (указать): |
Ответ на настоящий запрос прошу направить в письменной форме по вышеуказанному адресу в предусмотренный законом срок.
_________________/_________________/
ФИО подпись
Дата «____»_______________20___ г.
Приложение 2¶
Приложение 2
к Политике обработки персональных данных субъектов в ООО «Вебмани.Ру»
Форма запроса субъекта персональных данных о внесении изменений в персональные данные
В ООО «ВебМани.Ру»
от:___________________________________
адрес:________________________________
______________________________
Паспорт: серия______№_________________
выдан________________________________
_____________________________
_____________________________
ЗАПРОС
В соответствии со статьей 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и в связи с
_________________________________________________________________
прошу Общество внести следующие изменения в мои персональные данные:
_____________________________________________________________________________
_____________________________________________________________________________
__________________________________________________________________________
Ответ на настоящий запрос прошу направить в письменной форме по вышеуказанному адресу в предусмотренный законом срок.
_________________/_________________/
ФИО подпись
Дата «____»_______________20___ г.
Приложение 3¶
Приложение 3
к Политике обработки персональных данных субъектов в ООО «Вебмани.Ру»
Форма запроса субъекта персональных данных об уничтожении ПДн
В ООО «ВебМани.Ру»
от:___________________________________
адрес:________________________________
______________________________
Паспорт: серия______№_________________
выдан________________________________
_____________________________
_____________________________
ЗАПРОС
В соответствии со статьей 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и в связи с
_________________________________________________________________
прошу Общество уничтожить следующие мои персональные данные:
_____________________________________________________________________________
_____________________________________________________________________________
__________________________________________________________________________
Ответ на настоящий запрос прошу направить в письменной форме по вышеуказанному адресу в предусмотренный законом срок.
_________________/_________________/
ФИО подпись
Дата «____»_______________20___ г.
Приложение 4¶
Приложение 4
к Политике обработки персональных данных субъектов в ООО «Вебмани.Ру»
Форма отзыва согласия на обработку персональных данных
В ООО «ВебМани.Ру»
от:___________________________________
адрес:________________________________
______________________________
Паспорт: серия______№_________________
выдан________________________________
_____________________________
_____________________________
ОТЗЫВ
СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии с ч. 2 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и в связи с
_________________________________________________________________
отзываю у Общества согласие на обработку моих персональных данных:
_____________________________________________________________________________
_____________________________________________________________________________
__________________________________________________________________________
Прошу прекратить обработку персональных данных в срок, не превышающий тридцати дней с даты получения данного отзыва.
_________________/_________________/
ФИО подпись
Дата «____»_______________20___ г.
Приложение 5¶
Приложение 5
Образец текста согласия на обработку персональных данных (биометрических) по форме Распоряжения Правительства РФ от 30.06.2018 N 1322-р
СОГЛАСИЕ
на обработку персональных данных
Я,___________________________________________________________________________________,
(фамилия, имя, отчество (при наличии) полностью)
паспорт серия _______ N ____ выдан _____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
(кем и когда выдан документ)
проживающий(-ая) по адресу: _____________________________________________________________________________
_____________________________________________________________________________
1. Свободно, своей волей и в своем интересе даю конкретное, информированное и сознательное согласие на обработку следующих моих персональных данных:
а) фамилия, имя, отчество (при наличии), пол, гражданство, дата и место рождения, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе, адрес регистрации по месту жительства (пребывания), идентификационный номер налогоплательщика (при наличии), страховой номер индивидуального лицевого счета, контактные данные (номер абонентского устройства подвижной радиотелефонной связи, адрес электронной почты);
б) изображение лица, голос (биометрические персональные данные).
2. Даю согласие на обработку (включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение) моих персональных данных, указанных в пункте 1 настоящего согласия, в системе WebMoney Transfer, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, в целях моей регистрации в системы WebMoney Transfer, дальнейшего использования сервисов системы WebMoney Transfer и исполнения соглашений системы WebMoney Transfer, а также идентификации и (или) аутентификации с использованием сервисов системы WebMoney Transfer: Обществу с ограниченной ответственностью «ВебМани.Ру» (ИНН: 7718790862, ОГРН: 1097746855502, адрес: 107497, город Москва, Иркутская ул., д.17 стр.4) - на обработку персональных данных, указанных в подпунктах "а" - "б" пункта 1 настоящего согласия;
Лица, указанные в настоящем согласия, вправе осуществлять автоматизированную обработку персональных данных, указанных в пункте 1 настоящего согласия, или их обработку без использования средств автоматизации, в том числе с передачей по каналам связи.
3. Для достижения целей, указанных в пункте 2 настоящего согласия:
соглашаюсь с тем, что лица, указанные в настоящем согласии, вправе поручить обработку моих персональных данных, указанных в подпунктах "а" - "б" пункта 1 настоящего согласия, другим (лицам), а именно участникам и субъектам системы WebMoney Transfer.
4. Настоящее согласие действует со дня его подписания до дня его отзыва путем личного обращения или направления письменного обращения (в том числе, в форме электронного документа, подписанного простой электронной подписью или усиленной квалифицированной электронной подписью).
5. Подтверждаю, что проинформирован(-а) о возможности отзыва настоящего согласия, а также отзыва согласия на обработку моих персональных данных у каждого из лиц, указанных в пункте 2 настоящего согласия.
___________ _____________________ "__" __ 20__ г.
(подпись/числовой код) (фамилия, имя, отчество)