ООО «НОВЫЕ БИЗНЕС ТЕХНОЛОГИИ»
Политика в отношении обработки персональных данных
Содержание
1. Правовые основания обработки персональных данных.
3. Цели сбора персональных данных.
4. Принципы и правила обработки персональных данных.
5. Права и обязанности Оператора и субъекта персональных данных.
6. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.
Приложение № 1. Согласие на обработку персональных данных клиентов Оператора.
Приложение № 2. Согласие на обработку персональных данных работников Оператора, бывших работников, кандидатов на замещение вакантных должностей.
Приложение №3. Приказ о назначении лица, ответственного за обработку персональных данных.
1. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
Правовым основанием обработки персональных данных являются:
1.1. Совокупность правовых актов, во исполнение которых и в соответствии с которыми осуществляется обработка персональных данных. Политика ООО «НОВЫЕ БИЗНЕС ТЕХНОЛОГИИ» в отношении обработки персональных данных (далее – Политика) разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 19.12.2005 N 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», Трудовым кодексом Российской Федерации от 30.12.2001 N 197-ФЗ, Федеральным законом «О персональных данных» от 27.07.2006 N 152-ФЗ, иными федеральными законами и подзаконными актами Российской Федерации, определяющими случаи и особенности обработки персональных данных и обеспечения безопасности и конфиденциальности такой информации.
1.2. Договор аренды и Пользовательское соглашение, заключаемое между ООО «НОВЫЕ БИЗНЕС ТЕХНОЛОГИИ» и субъектом персональных данных.
1.3. Согласие на обработку персональных данных (Приложения № 1,2 к Политике).
2. ОБЩИЕ ПОЛОЖЕНИЯ. ТЕРМИНЫ.
2.1. Настоящая Политика разработана для реализации в ООО «НОВЫЕ БИЗНЕС ТЕХНОЛОГИИ» (далее — Оператор или ООО «НБТ») требований законодательства Российской Федерации в области персональных данных, а также обеспечения защиты прав физических лиц при обработке их персональных данных.
2.2. Политика устанавливает цели, основные принципы и правила обработки персональных данных и определяет основные меры по обеспечению их безопасности.
2.3. Положения настоящей Политики обязательны для исполнения работниками ООО «НБТ» осуществляющими обработку персональных данных.
2.4. Положения настоящей Политики являются основой для организации работы по обработке персональных данных у Оператора, в том числе для разработки внутренних нормативных документов, регламентирующих обработку и защиту персональных данных у Оператора.
2.5. Настоящая Политика доступна неограниченному кругу лиц и опубликована на официальном Сайте Оператора по адресу: www.letmemore.ru.
2.6. В настоящей Политике используются следующие термины:
2.6.1. автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
2.6.2. безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах;
2.6.3. биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются для установления личности субъекта персональных данных;
2.6.4. блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.6.5. защита персональных данных – деятельность, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные;
2.6.6. информационная система – совокупность содержащейся в базах данных информации (персональных данных) и обеспечивающих ее обработку информационных технологий и технических средств;
2.6.7. конфиденциальность персональных данных – обязательное для соблюдения требование не раскрывать третьим лицам и не допускать распространения персональных данных без согласия субъектов персональных данных или наличия иного законного основания;
2.6.8. обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
2.6.9. обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
2.6.10. Оператор — Общество с ограниченной ответственностью «НОВЫЕ БИЗНЕС ТЕХНОЛОГИИ» 108814, Россия, г. Москва., поселение Сосенское вн.тер.г., Сосенки д., Сосновая ул., д. 1Б, Офис 809, ОГРН: 1217700422499, ИНН: 7751204755, КПП: 775101001,
2.6.11. персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2.6.12. персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ определенного или неопределенного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом «О персональных данных»;
2.6.13. предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
2.6.14. пользователь услуг ООО «НБТ» – физическое лицо, пользующееся услугами, оказываемыми ООО «НБТ»;
2.6.15. распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
2.6.16. субъект персональных данных – физическое лицо, пользователь услуг ООО «НБТ»;
2.6.17. трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
2.6.18. уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе и (или) в результате которых уничтожаются материальные носители персональных данных.
3. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ.
Сбор персональных данных осуществляется в целях:
3.1. Регистрации субъекта персональных данных в Мобильном приложении и на Сайте;
3.2. Проверки достоверности предоставляемых документов и сведений о субъекте персональных данных в рамках процедуры Верификации,
3.3. Идентификации субъекта персональных данных;
3.4. Исполнения договоров аренды и лизинга офисных машин и оборудования, включая вычислительную технику;
3.5. Исполнения договоров аренды объектов интеллектуальной собственности и подобной продукции, кроме авторских прав;
3.6. Исполнения договоров аренды и лизинга прочих видов транспорта, оборудования и материальных средств;
3.7. Предоставления дополнительных услуг в период аренды или лизинга;
3.8. Повышения качества обслуживания и доступности аренды движимого имущества с длительным сроком эксплуатации;
3.9. Предоставления информации об оказываемых услугах, разработке новых продуктов и услуг;
3.10. Сбора и разработки решений, направленных на совершенствование Сервиса аренды;
3.11. Сбора аналитических данных;
3.12. Обработки обращений, поступающих в Службу поддержки;
3.13. Ведения кадровой работы, включая привлечение и отбор кандидатов на работу в ООО «НБТ»; выполнения трудовых договоров с работниками;
3.14. Взыскания задолженности.
4. ПРИНЦИПЫ И ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
Обработка персональных данных осуществляется с соблюдением следующих принципов и правил:
4.1. Обработка персональных данных осуществляется на законной основе;
4.2. Обработка персональных данных осуществляется с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;
4.3. Обработке подлежат персональные данные, добровольно предоставленные субъектом персональных данных, и отвечающие целям обработки;
4.4. При обработке персональных данных Оператор соблюдает их конфиденциальность;
4.5. Обработка ограничивается достижением конкретных, заранее определенных и законных целей;
4.6. При обработке обеспечиваются точность и достаточность персональных данных и, при необходимости, актуальность по отношению к целям обработки с принятием мер по удалению или уточнению неполных или неточных данных либо обеспечением принятия таких мер;
4.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, Договором аренды или Пользовательским соглашением;
4.8. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки и после истечения срока обработки, если иное не предусмотрено законодательством Российской Федерации.
5. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА И СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ.
Оператор имеет право:
5.1. Обрабатывать персональные данные субъекта персональных данных в соответствии с целями, указанными в настоящей Политике;
5.2. Требовать от субъекта персональных данных предоставления полных и достоверных персональных данных, необходимых для исполнения Договора аренды, регистрации, проверки и идентификации субъекта персональных данных, а также в иных случаях, предусмотренных законодательством о персональных данных;
5.3. Ограничить доступ субъекта персональных данных к его персональным данным в случае, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Российской Федерации;
5.4. Осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации;
5.5. Поручить обработку персональных данных другому лицу с согласия субъекта персональных данных;
5.6. Реализовать иные права, предусмотренные законодательством о персональных данных.
Оператор обязан:
5.7. Предоставить субъекту персональных данных по его просьбе информацию, предусмотренную Федеральным законом «О персональных данных» от 27.07.2006 N 152-ФЗ.
5.8. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.
5.9. Оператор обязан принимать меры, необходимые и достаточные для обеспечения для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения конфиденциальности персональных данных.
5.10. Оператор обязан опубликовать Политику на Сайте и в Мобильном Приложении.
Субъект персональных данных имеет право:
5.11. Получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные законодательством о персональных данных;
5.12. Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются устаревшими, неполными, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении субъектом персональных данных согласия на обработку персональных данных;
5.13. Принимать предусмотренные законом меры по защите своих персональных данных;
5.14. Отозвать свое согласие на обработку персональных данных;
5.15. Оспорить действия или бездействие Оператора при обработке его персональных данных в соответствии с законодательством Российской Федерации;
5.16. Реализовать иные права, предусмотренные законодательством о персональных данных.
Субъект персональных данных обязан:
5.17. Предоставить полные и достоверные персональные данные, необходимые для исполнения Договора аренды, регистрации, проверки и идентификации субъекта персональных данных, а также для иных целей, предусмотренных настоящей Политикой;
5.18. Принимать надлежащие меры для сохранения в тайне данных, используемых для Регистрации и Авторизации, а также иных персональных данных. В случае, если субъект персональных данных знает или подозревает, что его данными завладело или пользуется третье лицо, он обязан незамедлительно сообщить об этом в Службу поддержки Оператора.
6. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ.
6.1. Содержание и объем обрабатываемых персональных данных определяются целями их обработки, приведенными в разделе 3 Политики, и указываются в согласии субъекта персональных данных на обработку его персональных данных, за исключением случаев, когда обработка персональных данных может осуществляться без получения такого согласия.
6.2. К категориям субъектов персональных данных относятся, в том числе:
6.2.1. Пользователи услуг Оператора (клиенты физические лица);
6.2.2. Работники Оператора, бывшие работники, кандидаты на замещение вакантных должностей;
6.3. Объем обрабатываемых персональных данных для категорий, указанных в п. 6.2.1. включает следующие персональные данные: фамилия, имя, отчество; пол; дата рождения; место рождения; возраст; гражданство; реквизиты документа, удостоверяющего личность, серия, номер, кем выдан, когда выдан, машиночитаемая зона; данные о регистрации по месту жительства или пребывания, содержащиеся в документах, подтверждающих место регистрации по месту жительства или пребывания, а также правовые основания для такой регистрации; верификационный статус (скоринг балл); страховой номер индивидуального лицевого счета, идентификационный номер налогоплательщика, сведения о наличии или отсутствии судимости; фотоизображение, трехмерное фотоизображение либо видеоизображение субъекта персональных данных, фотоизображение, видеообраз или скан-образ паспорта или иного действительного документа, удостоверяющего личность (разворот с фотографией и данными о регистрации, страницу о браке), данные банковской карты: номер банковской карты, «Действительна до», защитный CVV-код, номера контактных телефонов; адрес электронной почты.
Основанием для обработки персональных данных является настоящая Политика, Договор аренды; Пользовательское соглашение; согласие на обработку персональных данных.
Третьи лица, которым передаются персональные данные: ООО «Технологии цифровой безопасности» (юридический адрес: 199004, г. Санкт-Петербург, 9-ая линия В.О., дом 34, литера А, оф. 706), ООО «Зетта Страхование».
6.4. Объем обрабатываемых персональных данных для категорий, указанных в п. 6.2.2. включает следующие персональные данные: фамилия, имя, отчество; пол; дата рождения; место рождения; возраст; гражданство; реквизиты документа, удостоверяющего личность; сведения об адресе регистрации по месту жительства; реквизиты паспорта или иного действительного документа, удостоверяющего личность, номера контактных телефонов; адрес электронной почты, сведения о трудовой деятельности, страховой номер индивидуального лицевого счета, идентификационный номер налогоплательщика.
Основанием для обработки персональных данных является настоящая Политика, трудовой договор или участие в процедуре отбора кандидатов на вакантные должности; согласие на обработку персональных данных.
7. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ. РЕГЛАМЕНТ РЕАГИРОВАНИЯ НА ЗАПРОСЫ/ОБРАЩЕНИЯ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ.
7.1. Обработка персональных данных в ООО «НБС» осуществляется с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).
7.2. К обработке персональных данных допускается руководитель ООО «НБС» и те работники ООО «НБС», в должностные обязанности которых входит обработка персональных данных. Указанные лица имеют право обрабатывать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.
7.3. Передача персональных данных третьим лицам осуществляется с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.
7.4. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, установленных статьей 10.1 Федерального закона «О персональных данных». Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных.
7.5. Передача персональных данных в государственные органы осуществляется в соответствии с требованиями законодательства Российской Федерации.
7.6. Трансграничная передача персональных данных не осуществляется.
7.7. ООО «НБС» вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъектов персональных данных на основании заключаемого договора, существенным условием которого является обязанность обеспечения исполнителем условий конфиденциальности персональных данных и их безопасности при обработке.
7.8. При сборе персональных данных, в том числе с использованием информационно-телекоммуникационной сети Интернет, ООО «НБС» обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством Российской Федерации.
Регламент реагирования на запросы/обращения субъектов персональных данных и уполномоченных органов:
7.9. По просьбе субъекта персональных данных или уполномоченного органа Оператор предоставляет информацию, касающуюся обработки персональных данных субъекта, в порядке, установленном законодательством Российской Федерации.
7.10. Оператор разъясняет субъекту персональных данных юридические последствия отказа предоставить персональные данные, если это является обязательным в соответствии с законодательством Российской Федерации.
7.11. Оператор осуществляет блокирование, уточнение и уничтожение неправомерно обрабатываемых персональных данных, а также прекращение их неправомерной обработки.
7.12. Оператор уведомляет субъекта персональных данных об устранении допущенных нарушений или уничтожении его персональных данных;
Организационно–технические меры, принимаемые для предотвращения несанкционированного доступа к персональным данным:
7.13. В целях эффективной организации процессов обработки персональных данных назначается ответственный за организацию обработки персональных данных, который в соответствии с установленными полномочиями обеспечивает:
7.13.1. разработку и актуализацию локальных нормативных документов по вопросам обработки и защиты персональных данных;
7.13.2. доведение до сведения работников ООО «НБС» положений законодательства Российской Федерации, локальных нормативных документов ООО «НБС» по вопросам обработки персональных данных, а также требований по защите персональных данных;
7.13.3. принятие правовых, организационных и технических мер для защиты персональных данных, в том числе обрабатываемых в информационных системах, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
7.13.4. внутренний контроль за соблюдением в ООО «НБС» требований законодательства Российской Федерации в области персональных данных, в том числе требований по защите персональных данных;
7.13.5. контроль за обработкой обращений и запросов субъектов персональных данных или их представителей по фактам нарушений законодательства в области персональных данных;
7.13.6. взаимодействие с государственными органами по вопросам защиты персональных данных.
8. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.
8.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации ООО «НБТ».
8.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено законодательством РФ или Договором аренды и Пользовательским соглашением.
8.3. Уничтожение персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
8.4. Уничтожение персональных данных на бумажных носителях производится путем измельчения механическим способом до степени, исключающей возможность прочтения текста.
9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ.
9.1. Ответственность за нарушение требований законодательства Российской Федерации и нормативных документов ООО «НБС» в области персональных данных определяется в соответствии с законодательством Российской Федерации.
9.2. Настоящая Политика в отношении обработки персональных данных является общедоступным документом и подлежит размещению на официальном сайте ООО «НБС».