Политика ООО «Финтех.Про» в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика ООО «Финтех.Про» в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) и определяет позицию ООО «Финтех.Про» (далее – Оператор, Компания) в области обработки и защиты персональных данных (далее – ПДн) и направлена на обеспечение законных прав и свобод субъектов ПДн.

1.2. Политика действует в отношении всех ПДн, которые обрабатывает Компания.

1.3. Политика распространяется на отношения в области обработки ПДн, возникшие у Оператора как до, так и после утверждения настоящей Политики.

1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.

1.5. Основные понятия, используемые в Политике:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

конфиденциальность персональных данных – обязательное для соблюдения Компанией или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах;

доступность персональных данных – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно;

целостность персональных данных – состояние персональных данных, при котором отсутствует любое их изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;

работники – лица, заключившие трудовой договор с Компанией.

1.6. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки ПДн у Оператора.

1.7. В случае неисполнения положений настоящей Политики Компания и ее работники несут ответственность в соответствии с действующим законодательством Российской Федерации.

2. Цели сбора персональных данных и категории субъектов персональных данных

2.1. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора персональных данных.

2.2. Обработке подлежат только ПДн, которые отвечают целям их обработки.

2.3. Обработка Оператором ПДн осуществляется в следующих целях:

- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

- осуществления возложенных на Компанию законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с федеральными законами, в частности: Федеральный закон «Об ООО», Налоговый кодекс, Гражданский кодекс, Трудовой кодекс, а также Уставом компании;

- регулирования трудовых отношений между Компанией и работниками, содействия работникам в выполнении ими своих функциональных обязанностей, обучении, карьерного продвижения по работе, контроля количества и качества выполняемой работы и обеспечения сохранности имущества Компании, очередности предоставления отпусков, установления и расчета размера заработной платы, страхования работников, оформления страховых свидетельств государственного пенсионного страхования, обеспечения пропускного режима Компании и безопасности работников, учета времени, проведенного работником в помещении Компании, а также в иных целях, необходимых Компании в связи с трудовыми отношениями с работниками Компании, в т.ч. соблюдением корпоративной культуры Компании (в части ведения телефонного справочника).

- обработка персональных данных субъектов ПДн, работающих по договорам ГПХ, осуществляется в целях контроля количества и качества выполняемой работы, выполнения договорных обязательств Компании перед субъектом ПДн (в т.ч. в части оплаты услуг);

- отбор кандидатов на работу;

- предоставление доступа посетителю на сайт Компании с целью получения информации об услугах;

- предоставления возможности работникам контрагентов Компании выполнения обязанностей, предусмотренных договорами между Компанией и ее контрагентами.

- исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц, осуществление обязательного социального страхования работников в порядке, установленном законодательством Российской Федерации;

- исполнение судебных актов, представлений и актов иных органов и должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве, судопроизводстве, законных требований контрольных и надзорных органов;

- оформление доверенностей, в том числе для представления интересов ООО «Финтех.Про» перед третьими лицами;

- рассмотрение электронных писем;

- иные законные цели.

2.4. ООО «Финтех.Про» не осуществляет обработку биометрических ПДн.

2.5. ООО «Финтех.Про» не осуществляет обработку специальных категорий ПДн.

2.6. ООО «Финтех.Про» не осуществляет трансграничную передачу ПДн.

2.7. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных.

2.7.1. Кандидаты для приема на работу к Оператору - для целей, указанных в п.2.3 Политики:

- фамилия, имя, отчество;

- пол;

- гражданство;

- дата, месяц, год и место рождения;

- контактные данные;

- сведения об образовании, опыте работы, квалификации.

2.7.2. Работники и бывшие работники Оператора - для целей, указанных в п.2.3 Политики:

фамилия, имя, отчество;
пол;
гражданство;
дата, месяц, год и место рождения;
паспортные данные;
адрес регистрации по месту жительства;
адрес фактического проживания;
контактные данные;
индивидуальный номер налогоплательщика;
страховой номер индивидуального лицевого счета (СНИЛС);
сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации, профессии;
семейное положение, наличие детей, родственные связи;
сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
данные о регистрации брака;
сведения о воинском учете;
сведения об инвалидности;
сведения об удержании алиментов;
сведения о доходе с предыдущего места работы;
банковские реквизиты;

2.7.3. Члены семьи работников Оператора - для целей, указанных в п.2.3 Политики:

фамилия, имя, отчество;
степень родства;
год рождения;

2.7.4. Контрагенты Оператора - для целей, указанных в п.2.3 Политики:

фамилия, имя, отчество;
дата и место рождения;
паспортные данные;
адрес регистрации по месту жительства;
контактные данные;
замещаемая должность;
индивидуальный номер налогоплательщика и СНИЛС;
номер расчетного (лицевого) счета;
иные персональные данные, предоставляемые клиентами и контрагентами, необходимые для заключения и исполнения договоров.

2.7.5. Представители (работники) клиентов и контрагентов - для целей, указанных в п.2.3 Политики:

фамилия, имя, отчество;
пол;
дата, месяц, год и место рождения;
адрес проживания и регистрации;
паспортные данные;
контактные данные;
замещаемая должность;

2.8. Компания осуществляет обработку ПДн указанных ниже субъектов ПДн:

Субъекты ПДн	Обрабатываемые ПДн (Объем)	Цели обработки ПДн
Кандидаты на трудоустройство (соискатели)	- фамилия, имя, отчество; - пол; - гражданство; - дата и место рождения; - контактные данные; - сведения об образовании, опыте работы, квалификации; - иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.	- отбор кандидатов на работу;
Работники	- фамилия, имя, отчество; - пол; - гражданство; - дата, месяц, год и место рождения; - паспортные данные; - адрес регистрации по месту жительства; - адрес фактического проживания; - контактные данные; - индивидуальный номер налогоплательщика; - страховой номер индивидуального лицевого счета (СНИЛС); - сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации, процессии; - семейное положение, наличие детей, родственные связи; - сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий,; - данные о регистрации брака; - сведения о воинском учете; - сведения об инвалидности; - сведения об удержании алиментов; - сведения о доходе с предыдущего места работы; - банковские реквизиты; - иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.	- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; - регулирования трудовых отношений между Компанией и работниками, содействия работникам в выполнении ими своих функциональных обязанностей, обучении, карьерного продвижения по работе, контроля количества и качества выполняемой работы и обеспечения сохранности имущества Компании, очередности предоставления отпусков, установления и расчета размера заработной платы, страхования работников, оформления страховых свидетельств государственного пенсионного страхования, обеспечения пропускного режима Компании и безопасности работников, учета времени, проведенного работником в помещении Компании, а также в иных целях, необходимых Компании в связи с трудовыми отношениями с работниками Компании, в т.ч. соблюдением корпоративной культуры Компании (в части ведения телефонного справочника). - исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц, осуществление обязательного социального страхования работников в порядке, установленном законодательством Российской Федерации.
Уволенные работники	- фамилия, имя, отчество; - пол; - гражданство; - дата и место рождения; - изображение (фотография); - паспортные данные; - адрес регистрации по месту жительства; - адрес фактического проживания; - контактные данные; - индивидуальный номер налогоплательщика; - страховой номер индивидуального лицевого счета (СНИЛС); - сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации; - семейное положение, наличие детей, родственные связи; - сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий; - данные о регистрации брака; - сведения о воинском учете; - сведения об инвалидности; - сведения об удержании алиментов; - сведения о доходе с предыдущего места работы; - иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.	В целях исполнения требований ТК РФ
Члены семьи работников	• фамилия, имя, отчество; • степень родства; • год рождения;	- регулирования трудовых отношений между Компанией и работниками, содействия работникам в выполнении ими своих функциональных обязанностей, обучении, карьерного продвижения по работе, контроля количества и качества выполняемой работы и обеспечения сохранности имущества Компании, очередности предоставления отпусков, установления и расчета размера заработной платы, страхования работников, оформления страховых свидетельств государственного пенсионного страхования, обеспечения пропускного режима Компании и безопасности работников, учета времени, проведенного работником в помещении Компании, а также в иных целях, необходимых Компании в связи с трудовыми отношениями с работниками Компании, в т.ч. соблюдением корпоративной культуры Компании (в части ведения телефонного справочника).
Представители клиентов и контрагентов (юридических лиц)	фамилия, имя, отчество; пол; дата, месяц, год и место рождения; адрес проживания и регистрации; паспортные данные; контактные данные; замещаемая должность;	- взаимодействие по вопросам заключения и исполнения договоров
Лица, оказывающие услуги (выполняющие работы) по договору ГПХ, индивидуальные предприниматели	ФИО, Дата рождения, паспортные данные, контактная информация, адрес проживания (регистрации), банковские реквизиты, ИНН, СНИЛС	обработка персональных данных субъектов ПДн, работающих по договорам ГПХ, осуществляется в целях контроля количества и качества выполняемой работы, выполнения договорных обязательств Компании перед субъектом ПДн (в т.ч. в части оплаты услуг);
Посетитель, посетитель сайта	ФИО, дата рождения, паспортные данные, адрес регистрации, электронная почта, данные ТС,	- предоставление доступа посетителю на сайт Компании с целью получения информации об услугах. - рассмотрение электронных писем

3. Правовые основания обработки персональных данных

3.1. Компания осуществляет обработку ПДн при наличии следующих правовых оснований:

- с согласия субъектов ПДн на обработку их ПДн;

- для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных действующим законодательством Российской Федерации на Компанию функций, полномочий и обязанностей, в том числе в рамках следующих нормативно-правовых актов Российской Федерации:

- Трудовой кодекс Российской Федерации;

- Гражданский кодекс Российской Федерации;

- Федеральный закон от 07.02.1992 № 2300-1 «О защите прав потребителей»;

- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;

- Федеральный закон от 08.02.1998 г. № 14-ФЗ «Об ООО»,

- Налоговый кодекс РФ,

- Федеральный закон «Об обязательном пенсионном страховании в Российской Федерации» от 15.12.2001 № 167-ФЗ,

- Федеральный закон от 17.12.2001 № 173-ФЗ «О трудовых пенсиях в Российской Федерации»,

- Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»,

- Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»,

- Федеральный закон от 24.07.09 № 212-ФЗ «О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации,

- Постановление Правительства РФ от 27.11.2006 № 719 «Об утверждении Положения о воинском учете»,

- договоры, заключенные с субъектами персональных данных, согласия посетителей сайта.

4. Объем обрабатываемых персональных данных

4.1. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки, предусмотренным в п. 2.7 настоящей Политики. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.

5. Порядок и условия обработки персональных данных

5.1. Компания при осуществлении своей деятельности осуществляет обработку ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение ПДн как с использованием средств автоматизации, так и без использования таких средств.

5.1.2. Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами:

• неавтоматизированная обработка персональных данных;

• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

• смешанная обработка персональных данных.

5.1.3. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.

5.1.4. Обработка персональных данных для каждой цели обработки, указанной в п. 2.7 Политики, осуществляется путем:

• получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;

• внесения персональных данных в журналы, реестры и информационные системы Оператора;

• использования иных способов обработки персональных данных.

5.2. Принципы обработки персональных данных

Обработка ПДн в Компании осуществляется на основе следующих принципов:

- обработка ПДн осуществляется на законной и справедливой основе;

- обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн. По достижении цели обработка ПДн прекращается, за исключением случаев, предусмотренных действующим законодательством Российской Федерации;

- не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

- обработке подлежат только ПДн, которые отвечают целям их обработки;

- содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям их обработки;

- при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Обеспечивается принятие необходимых мер по удалению или уточнению неполных или неточных данных;

- обрабатываемые ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законом.

5.3. Условия передачи персональных данных

Передача ПДн Компанией в адрес сторонних организаций осуществляется при наличии согласий субъектов ПДн или в иных случаях, установленных действующим законодательством Российской Федерации.

Компания вправе поручить обработку ПДн другим лицам с согласия субъектов ПДн, если иное не предусмотрено действующим законодательством Российской Федерации, на основании заключаемых с этими лицами договоров, предусматривающих обязанность указанных лиц соблюдать конфиденциальность полученных от Компании ПДн, а также выполнять требования к защите ПДн в соответствии с действующим законодательством Российской Федерации. При поручении обработки ПДн соблюдаются принципы и правила обработки ПДн, предусмотренные Законом.

Лицо, осуществляющее обработку персональных данных по поручению Общества, соблюдает принципы и правила обработки персональных данных, предусмотренные настоящей Политикой. В поручении Общества определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, способы и цели обработки, установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке.

При поручении обработки персональных данных другому лицу ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Лицо, осуществляющее обработку персональных данных по поручению Общества, несет ответственность перед Обществом.

5.4. Обеспечение защиты персональных данных при их обработке

Безопасность ПДн, обрабатываемых в Компании, обеспечивается принятием правовых, организационных и технических мер, определенных действующим законодательством Российской Федерации, а также внутренними нормативными документами Компании в области защиты информации.

Обеспечение Компанией защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн достигается, в частности, следующими принятыми мерами:

- назначение лица, ответственного за организацию обработки персональных данных, которое осуществляет организацию обработки персональных данных в ООО «Финтех.Про», внутренний контроль за соблюдением оператором и его работниками требований к защите персональных данных;

- определение актуальных угроз безопасности персональных данных при их обработке в информационной системе персональных данных и разработка мер и мероприятий по защите персональных данных;

- разработка Политики в отношении обработки персональных данных;

- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- установление индивидуальных паролей доступа работников в информационную систему в соответствии со служебными обязанностями;

- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;

- соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;

- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер реагирования;

- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- учет машинных носителей персональных данных;

- осуществление внутреннего контроля и аудита.

Обеспечение конфиденциальности ПДн, обрабатываемых в Компании, является обязательным требованием для всех работников Компании, допущенных к обработке ПДн в связи с исполнением трудовых обязанностей. Все работники, имеющие действующие трудовые отношения, деятельность которых связана с получением, обработкой и защитой ПДн, подписывают соглашение о конфиденциальности, проходят инструктажи по обеспечению информационной безопасности и несут персональную ответственность за соблюдение требований по обработке и обеспечению безопасности ПДн.

5.5. Условия хранения персональных данных

Компания осуществляет хранение ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен действующим законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

Хранение ПДн на материальных (бумажных) носителях осуществляется Компанией способом, позволяющим исключить несанкционированный доступ к ПДн, включая использование металлических запираемых на ключ шкафов, запираемых тумб, сейфов.

При сборе ПДн, в том числе посредством сети Интернет, Компания обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

6. Актуализация, исправление, удаление, уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

6.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.

В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

Запрос должен содержать:

номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

6.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

6.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

6.4. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:

в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушении прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

6.5. Порядок уничтожения персональных данных Оператором.

6.5.1. Условия и сроки уничтожения персональных данных Оператором:

достижение цели обработки персональных данных либо утрата необходимости достигать эту цель - в течение 30 дней;
достижение максимальных сроков хранения документов, содержащих персональные данные, - в течение 30 дней;
предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение семи рабочих дней;
отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.

6.5.2. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.

6.5.3. Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора ООО «Финтех.Про».

Уничтожение носителей, содержащих ПДн, осуществляется в следующем порядке:

- ПДн на бумажных носителях уничтожаются путем уничтожения документов механическим способом, обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных ПДн, зафиксированных на материальном носителе (удаление, вымарывание).

- ПДн, размещенные в памяти персонального компьютера, уничтожаются путем их удаления из памяти персонального компьютера;

- ПДн, размещенные на флеш-карте, CD-диске, ином носителе информации, уничтожаются путем удаления файла с носителя, при необходимости путем нарушения работоспособности носителя.

Об уничтожении носителя ПДн составляется соответствующий Акт.

7. Права и обязанности Оператора и субъектов персональных данных

7.1. Основные права и обязанности Оператора.

7.1.2. Оператор имеет право:

- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;

- поручить обработку ПДн другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Законом о персональных данных;

- в случае отзыва субъектом ПДн согласия на обработку персональных данных Оператор вправе продолжить обработку ПДн без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

7.1.3. Оператор обязан:

- организовывать обработку ПДн в соответствии с требованиями Закона о персональных данных;

- отвечать на обращения и запросы субъектов ПДн и их законных представителей в соответствии с требованиями Закона о персональных данных;

- сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса.

7.2. Основные права субъекта ПДн.

7.2.1. Субъект ПДн имеет право:

- получать информацию, касающуюся обработки его ПДн, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту ПДн Оператором в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких ПДн. Перечень информации и порядок ее получения установлен Законом о персональных данных;

- требовать от оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

- на условие письменного согласия при принятии на основании исключительно автоматизированной обработки ПДн решений Оператора, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права законные интересы;

- заявлять возражения на решения Оператора на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения;

- обжаловать неправомерные действия или бездействие Оператора при обработке его ПДн.

8. Сроки обработки (хранения) персональных данных

8.1. Персональные данные на бумажных носителях хранятся в ООО «Финтех.Про» в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).

Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

8.2. ПДн, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено Законом о персональных данных. Хранение персональных данных после истечения срока хранения допускается только после их обезличивания.

8.3. Уничтожение документов (носителей), содержащих персональные данные, производится комиссионно по акту путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

Персональные данные на электронных носителях уничтожаются комиссионно по акту путем стирания или форматирования носителя.

9. Требования к подтверждению уничтожения персональных данных

9.1. В случае если обработка персональных данных осуществляется оператором без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных.

9.2. В случае если обработка персональных данных осуществляется оператором с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных, соответствующий требованиям, содержащимся в пунктах 9.3 и 9.4 настоящей Политики, и выгрузка из журнала регистрации событий в информационной системе персональных данных (далее - выгрузка из журнала).

9.3. Акт об уничтожении персональных данных должен содержать:

а) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес оператора;

б) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку персональных данных субъекта (субъектов) персональных данных по поручению оператора (если обработка была поручена такому (таким) лицу (лицам);

в) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;

г) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;

д) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;

е) наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);

ж) наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных (в случае обработки персональных данных с использованием средств автоматизации);

з) способ уничтожения персональных данных;

и) причину уничтожения персональных данных;

к) дату уничтожения персональных данных субъекта (субъектов) персональных данных.

9.4. Акт об уничтожении персональных данных в электронной форме, подписанный в соответствии с законодательством Российской Федерации, признается электронным документом, равнозначным акту об уничтожении персональных данных на бумажном носителе, подписанному собственноручной подписью лиц, указанных в подпункте "г" пункта 9.3 настоящей Политики.

9.5. Выгрузка из журнала должна содержать:

а) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;

б) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;

в) наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;

г) причину уничтожения персональных данных;

д) дату уничтожения персональных данных субъекта (субъектов) персональных данных.

9.6. В случае если выгрузка из журнала не позволяет указать отдельные сведения, предусмотренные пунктом 9.5 настоящей Политики, недостающие сведения вносятся в акт об уничтожении персональных данных.

9.7. В случае если обработка персональных данных осуществляется оператором одновременно с использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных, соответствующий требованиям, установленным пунктами 9.3 и 9.4 настоящей Политики, и выгрузка из журнала, соответствующая требованиям, установленным пунктом 9.5 настоящей Политики.

9.8. Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.