Политика конфиденциальности

Политика о порядке обработки персональных данных

ООО Страховое агентство Оптимум

 

1. Общие положения

1.1 Назначение документа

Настоящая Политика в отношении обработки персональных данных составлена в соответствии с п. 2 ст. 18.1 Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. и определяет позицию ООО Страховое агентство Оптимум (далее по тексту — СА) в области обработки и защиты персональных данных, соблюдения прав и свобод субъекта ПДн.

1.2 Термины, определения и сокращения

Термин

Определение

Информационная система персональных данныхСовокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств
Обезличивание персональных данныхДействия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных
Обработка персональных данныхЛюбое действие (операция) или совокупность действий (операций», совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
Персональные данныеЛюбая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
Уничтожение персональных данныхДействия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и(или) в результате которых уничтожаются материальные носители персональных данных
ГПХДоговор гражданско-правового характера
ИННИндивидуальный номер налогоплательщика
ИСПДнИнформационная система персональных данных
НСДНесанкционированный доступ
ПДнПерсональные данные
РФРоссийская Федерация
ФЗФедеральный закон

2. Правовое основание обработки персональных данных:

СА осуществляет обработку ПДн, руководствуясь:

— Законом РФ от 27.11.1992 г. № 4015-1 «Об организации страхового дела в Российской Федерации»;

— Федеральным законом РФ от 07.08.2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма»;

— Гражданским кодексом РФ (глава 48);

— Трудовым кодексом РФ;

— Уставом ООО Страховое агентство Оптимум;

— Согласием на обработку персональных данных.

3. Цели обработки ПДн

Обработка ПДн может быть осуществлена СА, в том числе для достижения следующих целей:

1) исполнение норм международных договоров Российской Федерации или законов;

2) осуществление и выполнение возложенных законодательством Российской Федерации на СА функций, полномочий и обязанностей;

3) обеспечение участие субъекта ПДн и/или СА в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

4) исполнение судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

5) для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

6) для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

7) осуществление прав и законных интересов СА или третьих лиц, либо достижение общественно значимых целей, если при этом не нарушаются права и свободы субъекта ПДн;

8) в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Федерального закона РФ от 27.07.2006 г.  № 152-ФЗ «О персональных данных», при условии обязательного обезличивания ПДн;

9) опубликование или обязательное раскрытие ПДн в соответствии с федеральным законом;

10) целей, зафиксированных в согласии субъекта ПДн на обработку его ПДн.

4. Принципы обработки ПДн

4.1. Обработка ПДн осуществляется на законной и справедливой основе.

4.2. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями их сбора.

4.3. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

4.4. Обрабатываются только ПДн, которые отвечают целям их обработки.

4.5. Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.

4.6. При обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Неполные или неточные данные удаляются или уточняются.

4.7. Хранение ПДн осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. По достижении целей обработки или в случае утраты необходимости в достижении этих целей, обрабатываемые ПДн уничтожаются либо обезличиваются, если иное не предусмотрено федеральным законом.

5. Условия обработки персональных данных

5.1. Обработка ПДн осуществляется в соответствии с целями, заранее определенными СА и заявленными при сборе ПДн, а также полномочиями, функциями и обязанностями СА, определенными действующим законодательством Российской Федерации и  договорными отношениями с клиентами.

5.2. Обработка ПДн в случаях, предусмотренных Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных», осуществляется с письменного согласия субъекта ПДн или при наличии иных оснований, установленных ч. 1 ст. 6 Федерального закона РФ  от 27.07.2006 г. № 152-ФЗ «О персональных данных». Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью, в соответствии с Федеральным законом РФ от 06.04.2011 г. № 63-ФЗ «Об электронной подписи».

5.3. Право доступа к ПДн субъектов ПДн на бумажных и электронных носителях имеют только работники СА в пределах полномочий, установленных их должностными обязанностями.

5.4. Передача ПДн субъектов ПДн третьим лицам осуществляется в соответствии с требованиями действующего законодательства Российской Федерации.

5.5. СА  вправе поручить обработку ПДн третьей стороне с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этой стороной договора, (далее – поручение). СА может поручать обработку ПДн третьей стороне, если она соблюдает принципы и правила обработки ПДн, предусмотренные Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных», обеспечивая конфиденциальность и безопасность ПДн при их обработке. В поручении должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со ст. 19 Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».

5.6. СА не осуществляется обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

Обработка сведений о состоянии здоровья осуществляется в соответствии с Трудовым кодексом, Федеральным законом РФ от 29.11.2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», а также п. 1, п.п. 2.3, п. 8 ч.2 ст.10 Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».

5.7. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические ПДн), обрабатываются только при наличии согласия в письменной форме субъекта ПДн.

5.8. ПДн могут быть получены СА от лица, не являющегося субъектом ПДн, при условии предоставления СА подтверждения наличия оснований, указанных в п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных».

6. Права субъектов ПДн

6.1. Субъект ПДн вправе требовать от СА уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.2. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

1) подтверждение факта обработки ПДн;

2) правовые основания и цели обработки ПДн;

3) цели и применяемые способы обработки ПДн;

4) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

5) сроки обработки ПДн, в том числе сроки их хранения;

6) порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»;

7) иные сведения, предусмотренные Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами.

6.3. Субъект ПДн обладает также и иными правами, предусмотренными положениями действующего законодательства Российской Федерации, включая положения Федерального закона РФ № 152-ФЗ от 27.07.2006  г. «О персональных данных».

7. Обязанности СА

7.1. СА предоставляет Субъекту ПДн по его просьбе информацию, предусмотренную ч.7 ст.14 Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».

7.2. В случае если ПДн получены не от субъекта ПДн, СА, за исключением случаев, предусмотренных ч.4 ст.18 Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных», до начала обработки таких ПДн предоставляет субъекту ПДн следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки ПДн и ее правовое основание;

3) предполагаемые пользователи ПДн;

4) установленные Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных» права субъекта ПДн;

5) источник получения ПДн.

7.3. СА принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законодательством Российской Федерации в области защиты ПДн.

 К таким мерам относятся:

1) назначение ответственного за организацию обработки ПДн;

2) издание политики в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности ПДн в соответствии со статьей 19 Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн Федеральному закону РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике СА в отношении обработки ПДн, локальным актам СА;

5) оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона РФ от 27.07.2006 г.  № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых СА мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом РФ от 27.07.2006 г.  № 152-ФЗ «О персональных данных»;

6) ознакомление работников СА, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, настоящей Политики, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников.

7.4. Обеспечение безопасности ПДн достигается, в частности:

1) определением угроз безопасности ПДн при их обработке в ИСПДн;

2) применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;

5) учетом машинных носителей ПДн;

6) обнаружением фактов несанкционированного доступа к ПДн и принятием мер;

7) восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета действий, совершаемых с ПДн в ИСПДн;

9) контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.

7.5. При выявлении нарушений законодательства, допущенных при обработке ПДн, СА обязан совершить действия по уточнению, блокированию и уничтожению ПДн, предусмотренные ст. 21 Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».

8. Обязанности лица, ответственного за организацию обработки ПДн

Лицо, ответственное за организацию обработки ПДн в СА, обязано:

1) осуществлять внутренний контроль за соблюдением СА и его работниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;

2) доводить до сведения работников СА положения законодательства Российской Федерации о ПДн, локальных актов СА по вопросам обработки ПДн, требований к защите ПДн;

3) организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и(или) осуществлять контроль за приемом и обработкой таких обращений и запросов;

4) доводить до сведения руководства состояние защиты ПДн и сведения о выявленных нарушениях в области защиты ПДн;

5) обеспечивать соответствие локальных правовых актов по защите ПДн требованиям законодательства и подзаконным актам по вопросам защиты ПДн;

6) осуществлять разработку локальных нормативных актов СА в части, касающейся ПДн;

7) совершать иные действия, предусмотренные законодательством Российской Федерации о ПДн, а также локальных актов СА по вопросам обработки ПДн.

9. Ответственность за нарушение требований Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»  

Лица, виновные в нарушении требований Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность.