1.1. Настоящая Политика обработки персональных данных (далее – Политика) разработана в соответствии Федеральным законом Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ), Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, а также иными федеральными законами и нормативными актами Российской Федерации, определяющими случаи и особенности обработки ПДн и обеспечения безопасности и конфиденциальности такой информации (далее – Законодательство ПДн).
1.2. Положения и требования настоящей Политики направлены на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных (далее – ПДн) в ООО «Газпромбанк Автолизинг» (далее – Общество).
1.3. Политика определяет:
1.4. Настоящая Политика подлежит размещению на веб-сайте Общества в информационно-телекоммуникационной сети Интернет, а также на всех страницах сайта Общества, с использованием которых осуществляется сбор ПДн субъектов ПДн.
2.1. В настоящих правилах использованы следующие термины и их определения: Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) Информационные активы - данные, представленные на любом носителе в форме, которые имеют ценность для Компании и находятся в ее распоряжении Информационная безопасность - свойство информационных ресурсов сохранять конфиденциальность, целостность и доступность Информационные ресурсы - любая зафиксированная на каком-либо носителе информация и обеспечивающие её обработку технологии Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без -согласия субъекта персональных данных или наличия иного законного основания Надзорный орган - орган, уполномоченный на осуществление государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации о персональных данных Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц Субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных Система защиты персональных данных - Совокупность организационных и технических мер, направленных на обеспечение безопасности персональных данных Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных
2.2. В настоящих правилах используются следующие сокращения:
ДИБ – Департамент информационной безопасности;
Закон № 152-ФЗ – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных
данных»;
Общество – ООО «Газпромбанк Автолизинг»;
ПДн – персональные данные;
Политика – Политика обработки персональных данных.
3.1. Обработка ПДн в Обществе осуществляется с соблюдением следующих принципов, установленных законодательством Российской Федерации:
4.1. Субъект ПДн имеет право:
5.1. Общество при осуществлении обработки ПДн обязано:
6.1. Правовыми основаниями обработки ПДн в Обществе являются:
7.1. Категории субъектов ПДн, состав обрабатываемых ПДн и цели их обработки приведены в Таблице 1.
|
№ п/п |
Цель обработки ПДн |
Перечень ПДн |
Категории субъектов ПДн |
|
1. |
Предоставление клиентам и потенциальным клиентам предложений по продуктам, дополнительным услугам и сервисам к договору лизинга |
Имя; Номер телефона; Адрес электронной почты. |
Клиенты и потенциальные клиенты |
|
2. |
Регистрация личного кабинета клиента и обеспечения его функционирования |
ФИО; Номер телефона; Адрес электронной почты; Место работы. |
|
|
3. |
Сбор форм обратной связи в целях получения сведений о коррупции |
Имя; Номер телефона; Адрес электронной почты; Информация в поле «Текст обращения». |
Лица, оставившие обратную связь |
|
4. |
Обработка вопросов к пресс-службе ООО «Газпромбанк Автолизинг» |
Имя; Телефон; Адрес электронной почты; Наименование организации; Персональная информация, которая может содержаться в поле «Ваш вопрос». |
|
|
5. |
Обработка откликов кандидатов на вакантные должности и внесениях их в кадровый резерв |
Имя; Телефон; Адрес электронной почты; Сведения о трудовой деятельности (в том числе должность, стаж работы, данные о трудовой занятости на текущее время с указанием наименования организации); Данные об образовании (данные документа об окончании учебной программы, сведения о специальности и полученной квалификации); Семейное положение; Сведения об интересах; Знание английского языка; Сведения о дополнительном образовании (в том числе о повышении квалификации, профессиональной переподготовке); Сведения о наградах, почетных званиях, поощрениях, взысканиях; Сведения о занимаемой должности (структурное подразделение, должность, дата назначения, дата освобождения); Фотография; Гражданство; Навыки работы на компьютере; Отношение к воинской обязанности; Сведения о праве получения льгот. |
Соискатели на вакантные должности |
|
6. |
Регистрации личного кабинета агента и обеспечения его функционирования |
Номер телефона; Адрес электронной почты; ФИО; Пол; Дата рождения; Место рождения; СНИЛС и скан-копия лицевой стороны СНИЛС; Паспортные данные; Адрес регистрации; Фактический адрес проживания; Банковские реквизиты. |
Контрагенты Общества |
|
7. |
Обеспечение корректной работы сайта и улучшения пользовательского опыта |
Сессионные cookies; Постоянные cookies; Статистические cookies; Обязательные cookies |
Пользователи веб-сайта |
7.2. Общество не осуществляет обработку специальных и биометрических категорий ПДн в целях, описанных в настоящей Политике.
7.3. Обработка ПДн, для обозначенных выше целей, осуществляется в Обществе с использованием средств автоматизации.
7.4. Сроки обработки и хранения ПДн определяются в соответствии с:
7.5. В Обществе осуществляется распространение ПДн работников, а именно ФИО, фотография, должность с целью Создания и размещения в общедоступных источниках информации и материалов, направленных на продвижение услуг Общества и публикацию сведений о деятельности Общества на основании согласия на обработку ПДн, разрешенных субъектом ПДн для распространения.
8.1. Сбор ПДн
8.1.1. Сбор ПДн осуществляется непосредственно у самого субъекта ПДн.
8.1.2. При сборе ПДн на страницах Сайтов Общество предоставляет субъекту ПДн возможность ознакомления с настоящей Политикой и дать согласие на обработку ПДн свободно, своей волей и в своем интересе.
8.1.3. Сбор и обработка ПДн субъекта в целях продвижения товаров, работ, услуг Общества и иных третьих лиц с помощью средств связи осуществляется только при условии получения предварительного согласия на это субъекта ПДн.
8.1.4. Если в соответствии с законодательством Российской Федерации предоставление ПДн и (или) получение Обществом согласия на обработку ПДн являются обязательными, Общество разъясняет субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.
8.1.5. Порядок обработки Обществом cookies регламентирован Политикой использования cookie-файлов, к которой организован неограниченный доступ на сайте Общества.
8.2. Условия передачи ПДн третьим лицам
8.2.1. Предоставление ПДн органам государственной власти, органам местного самоуправления, а также иным уполномоченным органам допускается в случаях и на основаниях, предусмотренных законодательством Российской Федерации.
8.2.2. Передача ПДн между подразделениями Общества осуществляется только между работниками, имеющими доступ к ПДн субъектов.
8.2.3. Представителю субъекта ПДн персональные данные субъекта ПДн предоставляются в порядке, установленном действующим законодательством Российской Федерации, при наличии документов, подтверждающих полномочия представителя, и документов, удостоверяющих личность представителя.
8.2.4. Передача ПДн субъекта третьему лицу осуществляется только с согласия субъекта ПДн. В согласии субъекта ПДн указывается сведения о третьем лице (третьих лицах), которому (которым) передаются ПДн, а также цель передачи ПДн.
8.2.5. Передача ПДн или поручение обработки ПДн третьему лицу осуществляется на основании договора, существенными условиями которого являются соблюдение третьим лицом конфиденциальности и обеспечение безопасности ПДн в соответствии с требованиями Законодательства о ПДн.
8.2.6. При передаче ПДн третьим лицам, которые на основании договоров получают доступ или осуществляют обработку ПДн, Общество ограничивает эту информацию только теми ПДн, которые необходимы для выполнения указанными лицами их функций (услуг, работ).
8.2.7. В рамках целей, описанных в разделе 7 настоящей Политики, Общество не осуществляет трансграничную передачу ПДн.
8.3. Хранение ПДн
8.3.1. Хранение ПДн осуществляется в информационных системах, принадлежащих Обществу.
8.3.2. ПДн хранятся преимущественно на электронных носителях и обрабатываются с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка ПДн необходима в связи с исполнением требований законодательства РФ.
8.3.3. Хранение ПДн может осуществляться не дольше, чем этого требуют цели обработки, если иное не предусмотрено законодательством РФ.
8.3.4. В течение срока хранения ПДн не могут быть обезличены или уничтожены. По истечении срока хранения ПДн могут быть обезличены уничтожены в порядке, установленном действующим законодательством РФ.
8.4. Прекращение обработки и уничтожение
8.4.1. Прекращение обработки и уничтожение ПДн осуществляется:
8.4.2. В случае обращения субъекта с требованием прекратить обработку его ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи, Общество незамедлительно прекращает их обработку.
8.4.3. В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо Роскомнадзора, Общество в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, прекращает неправомерную обработку ПДн и в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПДн, уничтожает такие ПДн.
8.4.4. В случае отзыва субъектом согласия на обработку его ПДн Общество прекращает такую обработку и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожает ПДн в срок, не превышающий 30 (тридцати) календарных дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством Российской Федерации, нормами архивного хранения документов, содержащих ПДн, а также договором стороной которого является субъект.
8.4.5. В случае обращения субъекта ПДн с требованием о прекращении обработки ПДн Общество в срок, не превышающий 10 (десяти) рабочих дней с даты получения соответствующего требования, прекращает их обработку, за исключением случаев, предусмотренных законодательством Российской Федерации.
8.4.6. В случае утраты необходимости в достижении целей Общество уничтожает обрабатываемые ПДн в срок, не превышающий 30 (тридцати) календарных дней, если иное не предусмотрено законодательством Российской Федерации.
8.4.7. В случае достижения целей обработки ПДн, а также по истечении установленных сроков хранения ПДн Общество уничтожает обрабатываемые ПДн в срок, не превышающий 30 (тридцати) календарных дней, если иное не предусмотрено законодательством Российской Федерации.
8.4.8. При обработке ПДн Общество руководствуется Положением об обработке и защите ПДн, устанавливающим порядок, условия и требования к обработке ПДн в Обществе, а также особенности осуществляемой обработки.
9.1. Доступ к ПДн ограничивается в соответствии с законодательством Российской Федерации.
9.2. Доступ к обрабатываемым ПДн предоставляется только тем работникам Общества, которым он необходим в связи с исполнением ими своих должностных обязанностей.
9.3. Работники Общества, получившие доступ в ПДн принимают на себя обязательство по обеспечению конфиденциальности и безопасности обрабатываемых ПДн.
9.4. Общество не раскрывает третьим лицам и не распространяет ПДн без согласия на это субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.
9.5. Третьи лица, получившие доступ к ПДн или осуществляющие обработку ПДн по поручению Общества, обязуются соблюдать требования договоров и соглашений с Обществом в части обеспечения конфиденциальности и безопасности ПДн.
10.1. В Обществе соответствующими распорядительными документами назначены лица, ответственные за организацию обработки и обеспечение безопасности ПДн.
10.2. Безопасность ПДн в Обществе в соответствии с Положением об обработке и защите ПДн обеспечивается с помощью системы защиты ПДн, включающей организационные и технические меры.
10.3. В целях обеспечения безопасности ПДн в Обществе выполняются следующие мероприятия:
11.1. Предоставление информации и / или принятие иных мер в связи с поступлением обращений и / или запросов от субъектов ПДн производится Обществом в объеме и сроки, предусмотренные Законом № 152-ФЗ. Установленный Законом № 152-ФЗ срок ответа субъекту на запрос о предоставлении информации, касающейся обработки его ПДн, может быть продлен не более чем на 5 (пять) рабочих дней в случае направления Обществом в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
11.2. Запрос, направляемый субъектом ПДн, должен содержать информацию, предусмотренную Законом № 152-ФЗ.
11.3. Общество, получив обращение или запрос субъекта ПДн и убедившись в его законности предоставляет сведения, указанные в запросе, субъекту ПДн или его представителю в той форме, в которой направлены соответствующие обращения или запросы, если иное не указано в обращении или запросе, или принимает иные меры в зависимости от специфики обращения или запроса. Предоставляемые Обществом сведения не должны содержать ПДн, принадлежащие другим субъектам ПДн, за исключением случаев, когда имеются законные основания длля раскрытия таких ПДн.
11.4. Общество вправе отказать субъекту ПДн в удовлетворении требований, указанных в обращении, путем направления субъекту или его представителю мотивированного отказа, если у Общества в соответствии с законодательством Российской Федерации имеются законные основания отказать в выполнении поступивших требований.
11.5. В Обществе осуществляется контроль за приемом и обработкой обращений субъектов ПДн в целях обеспечения соблюдения прав и законных интересов субъектов ПДн, требований к срокам обработки обращений, обеспечения качества и полноты принятия мер в отношении законного требования субъекта ПДн и предоставления необходимой информации по его обращению в соответствии с Положением о порядке рассмотрения обращений субъектов ПДн или их представителей, и запросов уполномоченных органов по защите прав субъектов ПДн.
12.1. Посетители сайта (неограниченный круг лиц) и любые третьи лица могут обрабатывать ПДн субъектов ПДн, чьи ПДн распространяются на информационном ресурсе https://autogpbl.ru/, с учетом запретов и условий, которые субъекты ПДн обозначили в согласии на обработку ПДн, разрешенных для распространения. Информация о запретах и условиях обработки ПДн, разрешенных для распространения размещена на официальном сайте Общества.
12.2. Посетители сайта (неограниченный круг лиц) и любые третьи лица не могут осуществлять какие-либо действия в отношении ПДн субъектов ПДн, чьи ПДн распространяются на информационных ресурсах Общества, за исключением ознакомления.
13.1. В случаях, установленных Законом № 152-ФЗ, Общество направляет в Роскомнадзор уведомление об обработке ПДн.
13.2. В случае изменения сведений об обработке ПДн Общество уведомляет об этом Роскомнадзор в порядке и в сроки, установленные Законом № 152-ФЗ.
13.3. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, Общество с момента выявления такого инцидента, уведомляет Роскомнадзор:
13.4. Общество сообщает по запросу Роскомнадзора необходимую информацию в течение 10 (десяти) рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Обществом в адрес Роскомнадзора мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
14.1. Периодическая проверка настоящей Политики проводится ДИБ по мере необходимости, но не реже 1 раза в 24 месяца.
14.2. Решение об инициации процесса внесения изменений в Политику принимает Директор ДИБ на основании предложений других подразделений, результатов применения документа в Обществе, анализа зарегистрированных и устраненных несоответствий, а также рекомендаций внутренних или внешних аудиторов.
14.3. Ответственность должностных лиц Общества, имеющих доступ к ПДн, за невыполнение требований и норм, регулирующих обработку и защиту ПДн, определяется в соответствии с законодательством Российской Федерации и внутренними нормативными документами Общества.
15.1. Любые обращения, касающиеся обработки ПДн, направляются на электронную почту: ls@gpbl.ru , либо на почтовый адрес: 117342, город Москва, Миклухо-Маклая ул, д. 40, помещ. 2/1.
