Положение и защите персональных данных клиентов ООО «Мобиплюс»

Часть1. Термины и определения

1.1.Клиент – физическое лицо, заключившее с ООО «Мобиплюс»  (далее – Мобиплюс) договор займа (залога) или договор хранения.

1.2.Федеральный закон (ФЗ) – Федеральный закон РФ № 152-ФЗ от 27.07.2006г. «О персональных данных».

1.3.Персональные данные – любая информация, относящаяся прямо или косвенно к физическому лицу (субъекту персональных данных).

1.4. Оператор – Мобиплюс, самостоятельно или совместно с другими лицами организующий и осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия, совершаемые с персональными данными.

1.5.Обработка персональных данных – любые действия, совершаемые с использованием средств автоматизации или без использования таковых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.6.Обработка персональных данных, осуществленная без использования средств автоматизации (неавтоматизированная) - использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляемые при непосредственном участии человека.

1.7.Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

1.8.Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

1.9.Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному кругу лиц.

1.10.Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

1.11.Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.

1.12.Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.

1.13.Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.14.Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Часть 2. Общие положения

2.1.Настоящее Положение разработано в соответствии с Конституцией РФ, Гражданским кодексом РФ, действующим законодательством РФ в области защиты персональных данных и Уставом Мобиплюса.

2.2. Целями Положения являются:

- обеспечение защиты прав и свобод граждан при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;

- исключение несанкционированных действий сотрудников Мобиплюса и любых третьих лиц по обработке персональных данных, иных форм незаконного вмешательства в информационные ресурсы и локальную вычислительную сеть Мобиплюса, обеспечение правового и нормативного режима конфиденциальности информации;

- исключение разглашения персональных данных, составляющих коммерческую или иную тайну Мобиплюса, третьим лицам, вне зависимости от того, может ли такое разглашение нанести Мобиплюсу, работнику Мобиплюса и/или его клиенту ущерб (экономический, правовой, или иной).

2.3. Положение устанавливает порядок обработки персональных данных клиентов: действия по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению), использованию, распространению (в том числе передаче), воспроизведению, электронному копированию и передаче данных контрагентам, включая трансграничную передачу, обезличиванию, блокированию, уничтожению персональных данных, предоставленных в Мобиплюсе, для создания информационных систем персональных данных Мобиплюса, в целях предоставления информации третьим лицам, которые по договору с Мобиплюсом осуществляют деятельность по обеспечению погашения должниками в пользу Мобиплюса просроченной задолженности; а также в любых других целях, прямо или косвенно связанных с деятельностью Мобиплюса, и направления клиентам информации о новых услугах Мобиплюса и/или его контрагентов.

2.4. Принципы обработки персональных данных:

- обработка персональных данных должна осуществляться на законной и справедливой основе;

- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей;

- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- обработке подлежат только персональные данные, которые отвечают целям их обработки;

- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных (Мобиплюс принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных);

- хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом или договором, стороной которого является клиент. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Часть 3. Юридические аспекты обработки персональных данных

3.1. Субъекты персональных данных.

В Мобиплюсе обрабатываются персональные данные клиентов Мобиплюса.

3.2. Условия обработки персональных данных.

Обработка персональных данных клиентов Мобиплюса осуществляется на основании Конституции РФ, Гражданского кодекса РФ, Трудового кодекса РФ, действующего законодательства РФ в области защиты персональных данных, Устава Мобиплюса, Правил внутреннего трудового распорядка Мобиплюса.

Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных законодательством РФ и настоящим Положением. Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия клиентов на обработку их персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения Мобиплюсом своих функций, полномочий и обязанностей;

3) обработка персональных данных необходима для исполнения договора, стороной которого является клиент Мобиплюса;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов клиента, если получение согласия невозможно;

5) обработка персональных данных необходима для осуществления прав и законных интересов Мобиплюса или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы клиентов Мобиплюса;

6) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением обработки персональных данных в целях продвижения товаров, работ и услуг на рынке путем осуществления прямых контактов с потенциальными потребителями с помощью средств связи, а также в целях политической агитации, при условии обязательного обезличивания персональных данных;

 

7) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);

8) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Мобиплюс вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее - поручение Мобиплюса). Лицо, осуществляющее обработку персональных данных по поручению Мобиплюса, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных». В поручении Мобиплюса должны быть определены перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст.19 Федерального закона «О персональных данных».

Лицо, осуществляющее обработку персональных данных по поручению Мобиплюса, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

В случае, если Мобиплюс поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Мобиплюс. Лицо, осуществляющее обработку персональных данных по поручению Мобиплюса, несет ответственность перед Мобиплюсом.

3.3. Цель обработки персональных данных.

Обработка персональных данных клиентов Мобиплюса осуществляется исключительно в целях исполнения договоров, а также в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальными потребителями с помощью средств связи. Сведениями, составляющими персональные данные, в Мобиплюсе является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

3.4. Источники получения персональных данных.

Источником информации обо всех персональных данных клиента является непосредственно клиент.

Источником информации о персональных данных клиента являются сведения, полученные вследствие предоставления Мобиплюсом клиенту тех или иных услуг.

Персональные данные клиентов относятся к конфиденциальной информации ограниченного доступа, и могут быть использованы для целей оказания услуг Мобиплюса, защиты интересов Мобиплюса и его клиентов, с обязательным исполнением требований защиты прав и свобод гражданин, неприкосновенности частной жизни, личной и семейной тайны.

Обеспечение конфиденциальности персональных данных не требуется в случае их обезличивания, а также в отношении общедоступных персональных данных.

Мобиплюс не имеет права собирать и обрабатывать персональные данные клиента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, частной жизни, за исключением случаев, предусмотренных действующим законодательством.

Мобиплюс не имеет права получать и обрабатывать персональные данные клиента о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

Если персональные данные можно получить только у третьей стороны, клиент должен быть заранее в письменной форме уведомлен об этом, и от него должно быть получено письменное согласие.

Письменное согласие клиента на обработку своих персональных данных должно включать в себя в том числе, но не ограничиваясь:

- фамилию, имя, отчество, адрес (адреса), номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- наименование и адрес Мобиплюса, получающего согласие клиента;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие клиента;

- наименование и адрес лица, осуществляющего обработку персональных данных по поручению Мобиплюса, если обработка будет поручена такому лицу;

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Мобиплюсом способов обработки персональных данных;

- срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено Федеральным законом;

- подпись клиента.

3.5. Способы обработки персональных данных.

Обработка персональных данных в Мобиплюсе может осуществляться как с использованием средств автоматизации, так и без использования таковых, если обработка без использования таких средств позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе, и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и /или доступ к таким персональным данным.

С использованием средств автоматизации могут осуществляться следующие действия с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных.

Без использования средств автоматизации (при непосредственном участии человека) могут осуществляться следующие действия с персональными данными: использование, уточнение, распространение, уничтожение персональных данных.

3.6. Права субъектов персональных данных.

Клиент имеет право на получение сведений об операторе (Мобиплюсе), о месте его нахождения, о наличии у Мобиплюса персональных данных, относящихся к конкретному субъекту персональных данных (клиенту), а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных ч.8 ст.14 Федерального закона «О персональных данных».

Клиент имеет право на получение от оператора (Мобиплюса) при личном обращении либо при получении Мобиплюсом письменного запроса клиента следующей информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных Мобиплюсом;

- правовые основания и цели обработки персональных данных;

- применяемые оператором способы обработки персональных данных;

- наименование и место нахождения оператора, сведения о лицах (за исключением работников Мобиплюса), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или федерального закона;

- источник получения персональных данных;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Мобиплюса, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные Федеральным законом или другими федеральными законами. Клиент имеет право:

- требовать от оператора уточнения, блокирования или уничтожения персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

- обжаловать неправомерные действия или бездействия по обработке персональных данных и требовать соответствующей компенсации в суде;

- на дополнение персональных данных оценочного характера заявлением, выражающим его собственную точку зрения;

- определять представителей для защиты своих персональных данных;

- требовать от Мобиплюса уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные клиента, обо всех произведенных в них изменениях или исключениях из них.

Право клиента на доступ к своим персональным данным в Мобиплюсе может быть ограничено в случае, если

- доступ клиента к его персональным данным нарушает права и законные интересы третьих лиц;

- обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.

Клиент имеет право требовать от Мобиплюса прекращения обработки персональных данных, которая осуществлялась в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальными потребителями с помощью средств связи.

Клиент имеет право обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке действия или бездействие Мобиплюса, если считает, что Мобиплюс осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных», или иным образом нарушает его права и свободы.

3.7. Обязанности Мобиплюса.

По факту личного обращения, либо при получении письменного запроса субъекта персональных данных или его представителя, Мобиплюс обязан в течение 30-ти (Тридцати) дней предоставить сведения в объеме, установленном Федеральным законом. Такие сведения должны быть предоставлены в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Все обращения субъектов персональных данных или их представителей регистрируются в Журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных. Журнал может вестись на бумажном носителе или в электронном виде, с возможностью последующей распечатки.

В случае отказа в предоставлении субъекту персональных данных информации о наличии персональных данных Мобиплюс обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение ч.8 ст.14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30-ти (Тридцати) дней со дня обращения субъекта персональных данных или его представителя.

Мобиплюс обязан безвозмездно предоставить субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту.

В срок, не превышающий 7 (Семи) рабочих дней с даты предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Мобиплюс должен внести в них необходимые изменения.

В срок, не превышающий 7 (Семи) рабочих дней с даты предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Мобиплюс обязан уничтожить такие персональные данные. Мобиплюс обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

В случае получения запроса от уполномоченного органа по защите прав субъектов персональных данных о предоставлении информации, необходимой для осуществления деятельности указанного органа, Мобиплюс обязан сообщить такую информацию в уполномоченный орган в течение 30 (Тридцати) дней с даты получения такого запроса.

В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя, либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных, Мобиплюс обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Мобиплюса) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Мобиплюс на основании сведений, представленных субъектом персональных данных или его представителем, либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов, обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Мобиплюса) в течение 7 (Семи) рабочих дней со дня предоставления таких сведений и снять блокирование персональных данных.

В случае выявления неправомерной обработки персональных данных, осуществляемой Мобиплюсом или лицом, действующим по поручению Мобиплюса, Мобиплюс в срок, не превышающий 3 (Трех) рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Мобиплюса. В случае, если обеспечить правомерность обработки персональных данных невозможно, Мобиплюс в срок, не превышающий 10 (Десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Мобиплюс обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

В случае достижения цели обработки персональных данных Мобиплюс обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Мобиплюса) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Мобиплюса)в срок, не превышающий 30 (Тридцати) рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных, иным соглашением между Мобиплюсом и субъектом персональных данных.

Мобиплюс обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, если обработка персональных данных осуществлялась в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальными потребителями с помощью средств связи.

Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

Мобиплюс обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

3.8. Уведомление об обработке персональных данных.

До начала обработки персональных данных Мобиплюс обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, когда Мобиплюс вправе осуществлять такую обработку без уведомления уполномоченного органа:

- обрабатываются персональные данные в соответствии с трудовым законодательством (работников Мобиплюса);

- данные получены Мобиплюсом в связи с заключением договора, стороной которого является субъект персональных данных (если персональные данные не распространяются без согласия субъекта персональных данных);

- персональные данные сделаны субъектом общедоступными;

- данные включают в себя только фамилии, имена и отчества субъектов;

- персональные данные необходимы в целях однократного пропуска субъекта на территорию, на которой находится объект Мобиплюса, или в иных аналогичных целях;

- данные включены в информационные системы персональных данных, имеющие статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

- данные обрабатываются без использования средств автоматизации, в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

Уведомление должно быть направлено в виде документа на бумажном носителе или в форме электронного документа и подписано уполномоченным лицом Мобиплюса.

Уведомление должно содержать следующие сведения:

1) наименование и адрес Мобиплюса;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых Мобиплюсом способов обработки персональных данных;

7) описание мер, предусмотренных ст.18.1,19 Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

8) фамилию, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, номера их контактных телефонов, почтовые адреса и адреса электронной почты;

9) дата начала обработки персональных данных;

10) срок или условие прекращения обработки персональных данных;

11) сведения о наличии или отсутствии трансграничной передачи персональных данных в процессе их обработки;

12) сведения  о месте нахождения базы данных информации, содержащей персональные данные граждан РФ.

13) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленных Правительством РФ.

В случае изменения сведений, указанных в уведомлении, а также в случае прекращения обработки персональных данных, Мобиплюс обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о таких изменениях в течение 10 (Десяти) рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Мобиплюс обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные, в случае если получение таких данных необходимо Мобиплюсу для исполнения своих функций и если это не противоречит законодательству РФ.

 

Если персональные данные были получены Мобиплюсом не от субъекта персональных данных, за исключением случаев, когда персональные данные были предоставлены на основании федерального закона или если персональные данные являются общедоступными, Мобиплюс до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

- наименование и адрес Мобиплюса или своего представителя;

- цель обработки персональных данных и ее правовое основание;

- предполагаемые пользователи персональных данных;

- установленные Федеральным законом права субъекта персональных данных.

3.9. Режим конфиденциальности персональных данных.

Мобиплюс обеспечивает конфиденциальность и безопасность персональных данных при их обработке в соответствии с требованиями законодательства РФ.

Мобиплюс не раскрывает третьим лицам и не распространяет персональные данные без согласия на это субъекта персональных данных, если иное не предусмотрено федеральным законом.

К документам (в том числе в электронном виде и/или базам данных на отчуждаемых носителях), содержащим сведения о персональных данных, позволяющие идентифицировать субъекта персональных данных и/или получить о нем дополнительные сведения, применяются требования по обеспечению регистрации, учета, хранения и уничтожения таких документов в соответствии с правилами, установленными в Мобиплюсе.

Руководители структурных подразделений, в которых осуществляется обработка персональных данных клиентов Мобиплюса, обязаны принимать меры по обеспечению конфиденциальности и безопасности персональных данных при их обработке подчиненными.

Лица, осуществляющие обработку персональных данных, обязаны соблюдать требования регламентирующих документов Мобиплюса (и/или договоров и соглашений с Мобиплюсом) в части обеспечения конфиденциальности и безопасности персональных данных.

Часть 4. Обработка персональных данных

4.1. Перечень обрабатываемых персональных данных клиентов.

В Мобиплюсе обрабатываются следующие персональные данные клиентов и их представителей:

1) Фамилия, имя, отчество, дата и место рождения, пол.

2) Паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ) и гражданство.

3) Адрес места жительства (по паспорту и фактический) и дата регистрации по месту жительства или по месту пребывания.

4) Номера контактных телефонов (мобильного и домашнего).

5) Сведения об имуществе (недвижимость, автотранспорт).

6) Внутренняя кредитная история.

7) Внешняя кредитная информация (задолженность, выданные кредиты, история платежей).

8) Коммуникации с клиентом Мобиплюса (звонки, SMS-сообщения, e-mail адрес, факсы, письма).

4.2. Лица, имеющие право доступа к персональным данным.

Правом доступа к субъектам персональных данных обладают лица, наделенные соответствующими полномочиями в соответствии со своими служебными обязанностями.

 

Перечень лиц, имеющих доступ к персональным данным, утверждается приказом Директора Мобиплюса.

4.3. Передача персональных данных.

При передаче персональных данных субъекта персональных данных третьей стороне должны соблюдаться следующие требования:

Персональные данные субъекта не должны сообщаться третьей стороне без его письменного согласия за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных законодательством РФ.

Передача (обмен и т.д.) персональных данных между подразделениями Мобиплюса осуществляется только между работниками, имеющими доступ к персональным данным субъектов.

Не допускается передача персональных данных субъекта в коммерческих целях без его письменного согласия.

Передача персональных данных третьим лицам должна осуществляться с обязательным составлением акта приема-передачи документов (иных материальных носителей), содержащих персональные данные субъектов. Акт составляется в произвольной форме и должен содержать следующие условия:

- уведомление лица, получающего данные документы, об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена;

- предупреждение об ответственности за незаконное использование данной конфиденциальной информации в соответствии с федеральными законами.

Передача документов (иных материальных носителей), содержащих персональные данные субъектов, осуществляется при наличии у лица, уполномоченного на их получение, письма-запроса от третьего лица, которое должно включать в себя указание на основания получения доступа к запрашиваемой информации, содержащей персональные данные субъекта, её перечень, цель использования, Ф.И.О. и должность лица, которому поручается получить данную информацию.

Представителю субъекта персональных данных (в том числе адвокату) персональные данные передаются в порядке, установленном действующим законодательством и настоящим Положением. Информация передается представителю субъекта персональных данных при наличии следующих документов:

- нотариально удостоверенной доверенности представителя субъекта;

- письменного заявления субъекта.

Мобиплюс по мотивированному требованию уполномоченного органа государственной власти, иного государственного органа предоставляет им на безвозмездной основе сведения, содержащие персональные данные, в объеме и на условиях, указанных в законодательстве.

 

Мотивированный запрос о предоставлении информации, содержащий персональные данные, должен быть подписан уполномоченным должностным лицом. Мотивированный запрос предоставляется в Мобиплюс на бумажном носителе и вручается представителю Мобиплюса под расписку или направляется заказным почтовым отправлением с уведомлением о вручении. Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника, за исключением случаев, когда передача персональных данных субъекта без его согласия допускается действующим законодательством РФ.

4.4. Порядок и сроки хранения персональных данных.

Персональные данные клиентов Мобиплюса на бумажных носителях подлежат конфиденциальному хранению на основании заключенных договоров.

Персональные данные клиентов могут также храниться в электронных базах локальной компьютерной сети.

 

Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать клиента, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является клиент. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом и настоящим Положением.

После прекращения действия договоров с клиентами их персональные данные хранятся в течение 5 (Пяти) лет.

Согласие на обработку персональных данных может быть отозвано клиентом в любой момент на основании направленного в Мобиплюс отзыва согласия, составленного в простой письменной форме.

4.5. Блокирование персональных данных.

Под блокированием персональных данных понимается временное прекращение операций по их обработке по требованию клиента Мобиплюса при выявлении им недостоверности обрабатываемых сведений или неправомерных, по мнению субъекта, действий в отношении его данных.

Мобиплюс обязан блокировать персональные данные или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Мобиплюса), в случае:

- предоставления субъектом персональных данных сведений, подтверждающих, что персональные данные, обработку которых осуществляет Мобиплюс, являются неполными, неточными, неактуальными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- выявления неправомерной обработки персональных данных Мобиплюсом при обращении или по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных.

Блокирование персональных данных в информационных системах Мобиплюса осуществляется на основании письменного заявления субъекта персональных данных.

4.6. Уничтожение персональных данных.

Под уничтожением персональных данных понимаются действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.

Субъект персональных данных вправе требовать уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

В случае отзыва клиентом согласия на обработку его персональных данных Мобиплюс обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка осуществляется другим лицом, действующим по поручению Мобиплюса) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка осуществляется другим лицом, действующим по поручению Мобиплюса) в срок, не превышающий 30 (Тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого является клиент.

В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного выше, Мобиплюс осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Мобиплюса) и обеспечивает уничтожение персональных данных в срок не более, чем 6 (Шесть) месяцев, если иной срок не установлен федеральными законами.

Уничтожение персональных данных работников и клиентов осуществляется комиссией, назначаемой приказом Директора Мобиплюса. Документом, подтверждающим уничтожение персональных данных клиентов, является Акт об уничтожении персональных данных.

Уничтожение персональных данных, хранящихся на бумажном носителе, осуществляется путем механического уничтожения.

Уничтожение персональных данных, хранящихся на электронных носителях, уничтожаются путем стирания с них информации о персональных данных.

После уничтожения персональных данных клиенту направляется уведомление об уничтожении его персональных данных.

Часть 5. Система защиты персональных данных

5.1. Меры по обеспечению безопасности персональных данных при их обработке.

Мобиплюс при обработке персональных данных обязан принимать необходимые меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий.

Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

3) оценкой эффективности принимаемых мер по обеспечению безопасности;

4) учетом машинных носителей персональных данных;

5) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

6) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

7) установлением правил доступа к персональным данным, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе;

8) контролем за принимаемыми мерами по обеспечению безопасности.

Для целей настоящего Положения под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.

Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах.

5.2. Защищаемые сведения о субъекте персональных данных.

К защищаемым сведениям о субъекте персональных данных в Мобиплюсе относятся данные, позволяющие идентифицировать субъекта персональных данных и/или получить о нем дополнительные сведения, предусмотренные законодательством и настоящим Положением.

К защищаемым сведениям о субъекте персональных данных в Мобиплюсе не относятся сведения:

- являющиеся общедоступными персональными данными;

- включающие в себя только фамилии, имена и отчества субъектов персональных данных;

- необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится объект - Мобиплюс, или в иных аналогичных целях.

5.3. Защищаемые объекты персональных данных.

К защищаемым объектам персональных данных Мобиплюса относятся:

- объекты информатизации и технические средства автоматизированной обработки информации, содержащей персональные данные;

- информационные ресурсы (базы данных, файлы и другие), содержащие информацию об информационно-телекоммуникационных системах, в которых циркулируют персональные данные, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

- каналы связи, которые используются для передачи персональных данных в виде информативных электрических сигналов и физических полей;

- отчуждаемые носители информации на магнитной, магнитно-оптической и иной основе, применяемые для обработки персональных данных.

Технологическая информация об информационных системах и элементах системы защиты персональных данных, подлежащая защите, включает:

- сведения о системе управления доступом на объекты информатизации, на которых осуществляется обработка персональных данных;

- управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

- технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

- характеристики каналов связи, которые используются для передачи персональных данных в виде информативных электрических сигналов и физических полей;

- информация о средствах защиты персональных данных, их составе и структуре, принципах и технических решениях защиты;

- служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки персональных данных.

5.4. Требования к системе защиты персональных данных.

Система защиты персональных должна соответствовать требованиям Постановления Правительства РФ № 1119 от 01.11.2012г. «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных»

Система защиты персональных данных должна обеспечивать:

- своевременное обнаружение и предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

- возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- постоянный контроль за обеспечением уровня защищенности персональных данных.

Средства защиты информации, применяемые в информационных системах, должны в установленном порядке проходить процедуру оценки соответствия.

5.5. Методы и способы защиты информации в информационных системах персональных данных.

Методы и способы защиты информации в информационных системах персональных данных должны соответствовать требованиям приказа ФСТЭК РФ № 21 от 18.02.2013г. «Об утверждении состава и содержания организационных и технических  мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», а также требованиям «Положения по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденного руководством Центра ФСБ России № 149/54-144 21.02.2008г. (в случае определения Мобиплюсом необходимости использования средств криптографической защиты информации для обеспечения безопасности персональных данных).

Основными методами и способами защиты информации в информационных системах персональных данных Мобиплюса являются:

- методы и способы защиты информации от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий (далее - методы и способы защиты информации от НСД).

- методы и способы защиты речевой информации, а также информации, представленной в виде информативных электрических сигналов, физических полей, от несанкционированного доступа к персональным данным, результатом которого может стать копирование, распространение персональных данных, а также иных несанкционированных действий (далее - методы и способы защиты информации от утечки по техническим каналам).

Выбор и реализация методов и способов защиты информации в информационных системах Мобиплюса осуществляется в соответствии с рекомендациями регуляторов в области защиты информации – ФСТЭК России и ФСБ России, с учетом определяемых Мобиплюсом угроз безопасности персональных данных (модели угроз), и в зависимости от класса информационной системы.

Выбранные и реализованные методы и способы защиты информации в информационной системе должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке в информационных системах в составе создаваемой Мобиплюсом системы защиты персональных данных.

5.6. Меры защиты информации, составляющей персональные данные.

Меры по охране документов, содержащих персональные данные, принимаемые Мобиплюсом, должны включать в себя:

- определение перечня информации, составляющей персональные данные;

- ограничение доступа к информации, содержащей персональные данные, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

- регулирование отношений по использованию информации, содержащей персональные данные, сотрудниками Мобиплюса на основании трудовых договоров и контрагентами Мобиплюса на основании гражданско-правовых договоров.

Меры по охране конфиденциальности информации признаются разумно достаточными, если:

- исключается доступ к персональным данным любых третьих лиц без согласия Мобиплюса;

- обеспечивается возможность использования информации, содержащей персональные данные, сотрудниками Мобиплюса и передачи ее контрагентам Мобиплюса без нарушения законодательства о персональных данных;

- при работе с клиентом устанавливается такой порядок действий сотрудника Мобиплюса, при котором обеспечивается сохранность сведений, содержащих персональные данные клиента.

5.7. Ответственность.

Все сотрудники Мобиплюса, осуществляющие обработку персональных данных, обязаны хранить тайну о сведениях, содержащих персональные данные в соответствии с Положением, иными локальными актами Мобиплюса, требованиями законодательства.

Лица, виновные в нарушении требований Положения, несут предусмотренную законодательством РФ ответственность. Ответственность за соблюдение режима персональных данных по отношению к персональным данным, находящимся у сотрудников на персональных компьютерах и в документарной форме, несут данные сотрудники.

Контроль за соблюдением требований Положения в Мобиплюсе возлагается на Директора Мобиплюса.

Часть 6. Заключительные положения.

В случае изменения действующего законодательства РФ, внесения изменений в нормативные документы Мобиплюса, Положение действует в части, не противоречащей действующему законодательству и действующим внутренним документам Мобиплюса, до приведения его в соответствие с такими изменениями.