ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «АЙТИ ФИНАНС»

город Москва 2021 год

1. Общие положения

Настоящая Политика в отношении обработки и защиты персональных данных
(далее – Политика) разработана в соответствии с п. 2 ст. 18.1 Федерального закона РФ
от 27 июля 2006 года № 152-ФЗ «О персональных данных», действует в отношении всех персональных данных, которые Общество с ограниченной ответственностью «АйТи Финанс» (далее – Оператор) может получить от субъектов персональных данных (Заказчика и/или Пользователя) в рамках договора на оказания услуг и во время использования официального сайта Оператора, его сервисов, программ и продуктов.

Важнейшим условием реализации целей Оператора, является обеспечение необходимого и достаточного уровня информационной безопасности, к которым в том числе относятся персональные данные и технологические процессы, в рамках которых они обрабатываются.

Обеспечение безопасности персональных данных является одной из приоритетных задач Оператора. Оператором введен в действие комплекс локальных документов в отношении персональных данных, который является обязательным для исполнения.

Обработка и обеспечение безопасности информации, отнесенной к персональным данным, осуществляется в соответствии с комплексом локальных документов Оператора, позволяющих обеспечить защиту персональных данных, обрабатываемых как в информационных системах персональных данных, так и в иных информационных системах, в которых персональные данные обрабатываются совместно с информацией, защищаемой в соответствии
с требованиями, установленными для этой информации.

Настоящая Политика определяет принципы, порядок и условия обработки персональных данных субъектов персональных данных, чьи персональные данные обрабатываются Оператором, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность работников Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

Политика определяет стратегию защиты персональных данных, обрабатываемых Оператором, и формулирует основные принципы и механизмы защиты персональных данных.

Политика является основным руководящим документом Оператора, определяющим требования, предъявляемые к обеспечению безопасности персональных данных. Безопасность персональных данных достигается путем исключения несанкционированного доступа
к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, иные несанкционированные действия.

Безопасность персональных данных при их обработке обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в информационной системе информационные технологии.

Персональные данные являются конфиденциальной информацией и на них распространяются все требования, установленные внутренними документами Оператора
к защите конфиденциальной информации.

Оператор производит обработку, передачу, накопление и хранение информации, содержащей персональные данные и в соответствии с действующим законодательством Российской Федерации подлежащей защите.

Оператор ориентируется на следующие основания для обработки информации, содержащей персональные данные:

— Гражданский кодекс РФ;

— Налоговый кодекс РФ;

— Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

— Федеральный закон от 1 апреля 1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

— Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

— Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»»

— иные федеральные законы и нормативно-правовые акты в сфере защиты персональных данных.

Оператор начинает обработку персональных данных Пользователя только в случае их заполнения и/или отправки самостоятельно через специальные формы, расположенные
на официальном сайте https://finintell.ru. Заполняя соответствующие формы на официальном сайте Оператора, Пользователь выражает свое согласие с Политикой Оператора на обработку его персональных данных.

Оператор обрабатывает обезличенные данные о Пользователи в случае, если это разрешено в настройках его браузера (включено сохранение файлов «cookie» и использование технологии JavaScript).

Пользователь самостоятельно принимает решение о предоставлении его персональных данных и дает согласие свободно, своей волей и в своем интересе.

2. Цели обработки персональных данных

Персональные данные Заказчика обрабатываются Оператором в следующих целях:

а) обеспечение соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Оператора;

б) осуществление и выполнение функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора, в том числе:

— по предоставлению персональных данных в органы государственной власти,
в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;

— исчислению и уплаты предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное и пенсионное страхование, представления работодателем установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ, сведений подоходного налога
в ФНС России, сведений в ФСС РФ;

— выполнению требований законодательства в сфере труда и налогообложения;

— выполнению требований законодательства о воинской обязанности;

— исполнению судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

— исполнению требований Федерального закона 63-ФЗ «Об электронной подписи»;

— выполнению требований законодательства по определению порядка обработки и защиты персональных данных Заказчика, работников Заказчика и контрагентов Заказчика;

в) осуществление прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Оператора,

г) подготовка, заключение и исполнение договоров, исполнения обязательств, предусмотренных договорами, заключаемыми Оператором с Заказчиком;

д) предоставление Заказчиком возможности по передаче бухгалтерской и налоговой отчетности по телекоммуникационным каналам связи, в том числе с использованием сайта Оператора.

Оператор вправе обрабатывать персональные данные субъектов персональных данных
с использованием официального сайта, размещенного в сети Интернет по адресу: https://finintell.ru. Указанный сайт Оператора собирает и хранит только ту персональную информацию, которая необходима для исполнения договора с Заказчиком или для предоставления Пользователю сервисов сайта, за исключением случаев, когда законодательством предусмотрено обязательное хранение персональной информации в течение определенного законом срока.

Персональные данные Пользователя, расположенные по адресу сайта https://finintell.ru, Оператор обрабатывает в следующих целях:

— идентификации Пользователя, находящегося на сайте, для оформления заказа оказываемых услуг Оператором;

— установления с Пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования сайта, оказания услуг, обработку запросов и заявок
от Пользователя;

— определения места нахождения Пользователя для обеспечения безопасности, предотвращения мошенничества;

— подтверждения достоверности и полноты персональных данных, предоставленных Пользователем;

— предоставления Пользователю доступа к персонализированным ресурсам сайта;

— создания учетной записи для Пользователя, если Пользователь дал согласие на создание учетной записи;

— предоставления Пользователю эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием сайта.

3. Принципы обработки персональных данных

Обработка персональных данных у Оператора осуществляется на основе следующих принципов:

а) законности и справедливости целей и способов обработки персональных данных;

б) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора;

в) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

г) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

д) недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;

е) хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

ж) уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

4. Состав персональных данных

В зависимости от субъекта, чьи персональные данные обрабатываются Оператором, состав персональных данных подразделяется на:

а) персональные данные Заказчика. К ним относятся:

— паспортные данные руководителя юридического лица;

— адрес места жительства руководителя юридического лица;

— паспортные данные и адрес места жительства лица, уполномоченного представлять интересы юридического лица по доверенности;

— номера и реквизиты расчетных счетов в банках и иных кредитных учреждениях;

— сведения об учредителях юридического лица;

— персональные данные работников Заказчика и контрагентов Заказчика, в случае предоставления Заказчиком Оператору письменного согласия от указанных лиц на обработку их персональных данных. 

б) К персональным данным Пользователя сайта относятся следующие данные:

— фамилия, имя, отчество Пользователя;

— адрес электронной почты Пользователя;

— номер телефона Пользователя.

На сайте Оператора в сети Интернет, Оператор производит сбор и обработку обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других).

 

5. Перечень действий, совершаемых Оператором с персональными данными

Оператор осуществляет:

— сбор;

— запись;

— систематизацию;

— накопление;

— хранение;

— уточнение (обновление, изменение);

— извлечение;

— использование;

— передачу (распространение, предоставление, доступ);

— обезличивание;

— блокирование;

— удаление;

уничтожение персональных данных.

6. Способы обработки персональных данных Оператором

В зависимости от информационной системы, используемой Оператором, обработка персональных данных может осуществляться путем:

смешанной обработки с передачей по внутренней сети Оператора с передачей по сети интернет;

 автоматизированной обработки без передачи по внутренней сети Оператора с передачей по сети интернет;

смешанной обработки без передачи по внутренней сети Оператора без передачи по сети интернет.

 

7. Передача персональных данных

Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов персональных данных третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.

По мотивированному запросу исключительно для выполнения возложенных законодательством функций и полномочий персональные данные субъекта персональных данных без его согласия могут быть переданы:

— в судебные органы в связи с осуществлением правосудия;

— в органы государственной безопасности;

— в органы прокуратуры;

— в органы полиции;

— в следственные органы;

— в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.

Работники Оператора, ведущие обработку персональных данных, не отвечают на вопросы, связанные с передачей персональных данных по телефону или факсу.

8. Сроки обработки и хранения персональных данных

Период обработки и хранения персональных данных определяется в соответствии
с Законом «О персональных данных».

Обработка персональных данных начинается с момента поступления персональных данных в информационную систему персональных данных и прекращается:

а) в случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления, Оператор устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений, Оператор, в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий
с персональными данными, уничтожает персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор уведомляет субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, Оператор уведомляет также указанный орган;

б) в случае достижения цели обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, Оператор незамедлительно прекращает обработку персональных данных и уничтожает соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, и уведомляет об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, Оператор уведомляет также указанный орган;

в) в случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает обработку персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва. Об уничтожении персональных данных Оператор уведомляет субъекта персональных данных.

г) в случае прекращения деятельности Оператора.

Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

9. Порядок уничтожения персональных данных

Ответственным за уничтожение персональных данных является лицо, ответственное за организацию обработки и обеспечение безопасности персональных данных.

При наступлении любого из событий, повлекших необходимость уничтожения персональных данных, лицо ответственные за организацию обработки и обеспечение безопасности персональных данных:

а) принимает меры к уничтожению персональных данных;

б) оформляет соответствующий Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) и представить Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) на утверждение генеральному директору;

в) в случае необходимости уведомляет об уничтожении персональных данных субъекта персональных данных и/или уполномоченный орган.

10 .Права субъектов персональных данных

Субъекты персональных данных имеют право на:

— полную информацию об их персональных данных, обрабатываемых Оператором;

— доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные;

— уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

— отзыв согласия на обработку персональных данных;

— принятие предусмотренных законом мер по защите своих прав;

— обжалование действия или бездействия Оператором, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных,
в уполномоченный орган по защите прав субъектов персональных данных или в суд;

— осуществление иных прав, предусмотренных законодательством Российской Федерации.

В связи с тем, что безопасность определяется не только уровнем защиты портала,
к которому подключается субъект персональных данных, но и уровнем защиты рабочего места, с которого осуществляется доступ, для безопасной работы субъект персональных данных должен следовать следующим рекомендациям:

— использовать на рабочем месте исключительно лицензионное программное обеспечение;

— устанавливать все необходимые обновления безопасности, рекомендуемые производителем программного обеспечения;

— устанавливать и регулярно обновлять лицензионное антивирусное программное обеспечение, регулярно проводить проверку на отсутствие вирусов;

— не загружать программ и данных из непроверенных источников, не посещать сайты сомнительного содержания;

— не заходить в личный кабинет со случайных компьютеров, интернет-кафе либо иных недоверенных рабочих мест;

— не передавать кому-либо логины и пароли для входа в личный кабинет, следить за сохранностью средств доступа.

При использовании субъектом персональных данных функционала программного обеспечения Оператора может применяться технология cookies. Субъект персональных данных вправе ограничить или запретить использование технологии cookies путем применения соответствующих настроек в браузере.

Использование сервисов сайта означает безоговорочное согласие субъекта персональных данных с настоящей Политикой и указанными в ней условиями обработки его персональной информации; в случае несогласия с этими условиями субъект персональных данных должен воздержаться от использования сервисов сайта Оператора.

 

11 .Меры по обеспечению защиты персональных данных

Оператор не вправе обрабатывать персональные данные субъекта персональных данных без его письменного согласия, за исключением случаев, приведенных в п. 2 ст. 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Письменное согласие может быть составлено в виде отдельного документа или быть внедрено в структуру иного документа, подписываемого субъектом персональных данных.

Оператор предпринимает необходимые организационные и технические меры по защите персональных данных. Принимаемые меры основаны на требованиях ст. 18.1, ст. 19 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», иных нормативных актов в сфере персональных данных, в том числе:

а) назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных;

б) контроль исполнения требований настоящей Политики осуществляется ответственным
за организацию обработки и обеспечение безопасности персональных данных Оператора;

в) ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Оператора;

г) разработано и внедрено Положения о защите персональных данных Работников, Заказчиков Оператора;

д) лица, ведущие обработку персональных данных, проинструктированы и ознакомлены
с нормативными правовыми актами, регламентирующими порядок работы и защиты персональных данных;

е) разграничены права доступа к обрабатываемым персональным данным;

ж) обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;

з) в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям проводятся периодические проверки условий обработки персональных данных;

и) помимо вышеуказанных мер, осуществляются меры технического характера, направленные на:

— предотвращения несанкционированного доступа к системам, в которых хранятся персональные данные;

— резервирование и восстановление персональных данных, работоспособность технических средств и программного обеспечения, средств защиты информации
в информационных системах персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

— иные необходимые меры безопасности.

12 .Гарантии конфиденциальности

Информация, относящаяся к персональным данным, ставшая известной в связи
с оказанием услуг Заказчикам Оператора, Пользователям сайта, является конфиденциальной информацией и охраняется законом.

Работники Оператора и иные лица, получившие доступ к обрабатываемым персональным данным, предупреждаются о возможной дисциплинарной, административной, гражданско–правовой или уголовной ответственности, в случае нарушения норм и требований действующего законодательства, регулирующего правила обработки и защиты персональных данных.

Работники Оператора, по вине которых произошло нарушение конфиденциальности персональных данных, и работники, создавшие предпосылки к нарушению конфиденциальности персональных данных, несут ответственность, предусмотренную действующим законодательством Российской Федерации, внутренними документами Оператора и условиями трудового договора.

Работники, осуществляющие обработку персональных данных и ответственные за обеспечение её безопасности, должны иметь квалификацию, достаточную для поддержания требуемого режима безопасности персональных данных. В этих целях вводится система обеспечения требуемого уровня квалификации. Для всех лиц, обрабатывающих персональные данные, проводятся инструктажи по обеспечению безопасности персональных данных. Обязанность по реализации системы обеспечения требуемого уровня квалификации возлагается на лицо, ответственное за организацию обработки и обеспечение безопасности персональных данных.

Ответственное лицо:

а) организовывает инструктирование и обучение работников;

б) ведет персональный учёт работников, прошедших инструктирование и обучение.

13 .Заключительные положения. Изменения настоящей Политики

Настоящая Политика является внутренним документом Оператора.

Положения настоящей Политики вступает в силу с момента ее утверждения и действует до ее отмены.

Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных. Оператор вправе вносить изменения в настоящую Политику без согласия Заказчика и Пользователя. В случае внесения в настоящую Политику изменений,
к ним будет обеспечен неограниченный доступ всем заинтересованным субъектам персональных данных.

Действующая редакция настоящей Политики хранится в месте нахождения Оператора
по адресу: 115162, г. Москва, ул. Мытная, д. 46, стр. 5, этаж 8, помещение I, комнаты 1, 3, 4, электронная версия Политики – на сайте Оператора по адресу: https://finintell.ru.

Заказать консультацию