Политика обработки персональных данных в АО «Сбербанк Лизинг»

1. Общие положения

1.1. Политика обработки персональных данных в АО «Сбербанк Лизинг» (далее – Политика) разработана в соответствии с /1/, /2/, /3/, а также в соответствии с иными федеральными законами и подзаконными актами Российской Федерации, определяющими случаи и особенности обработки персональных данных (Далее – ПДн) и обеспечивающими безопасность и конфиденциальность такой информации (далее – Законодательство о ПДн).

1.2. Политика разработана в целях реализации требований законодательства в области обработки и обеспечения безопасности ПДн и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн в Компании.

1.3. Политика устанавливает:

  • -  цели обработки ПДн;

  • -  классификацию ПДн и Субъектов ПДн;

  • -  общие принципы обработки ПДн;

  • -  основных участников системы управления процессом обработки ПДн;

  • -  основные подходы к системе управления процессом обработки ПДн.  

1.4. Положения настоящей Политики являются основой для организации работы по обработке ПДн в Компании, в том числе, для разработки внутренних нормативных документов (регламентов, методик, технологических схем и пр.), регламентирующих процесс обработки ПДн в Компании.

1.5. Положения настоящей Политики являются обязательными для исполнения всеми Работниками Компании, имеющими доступ к ПДн.

1.6. Настоящая Политика является общедоступной и подлежит размещению:

· на официальном сайте Компании (https://www.sberleasing.ru/),

· в АС «Консультант плюс ВНД» для общего пользования Работниками Компании.

2. Цели обработки персональных данных

Компания осуществляет обработку ПДн в целях:

  • - заключения с Субъектом ПДн любых договоров и их дальнейшего исполнения;

  • - проведения Компанией акций, опросов, исследований;

  • - предоставления Субъекту ПДн информации об оказываемых Компанией услугах, об услугах дочерних обществ Компании; информирования Клиента о предложениях по продуктам и услугам Компании;

  • - ведения кадровой работы и организации учета Работников Компании;

  • - привлечения и отбора Кандидатов на работу в Компании;

  • - формирования статистической отчетности;

  • - осуществления Компанией Административно-хозяйственной деятельности;

  • - регулирования трудовых и иных, непосредственно связанных с ними отношений;

  • - выявления случаев мошенничества и иных противоправных действий, предотвращения таких противоправных действий в дальнейшем и локализации последствий таких действий;

а также для достижения целей, предусмотренных законодательством Российской Федерации, для осуществления и выполнения возложенных на Компанию функций, полномочий и обязанностей.

3. Классификация ПДн и Субъектов ПДн

3.1. К ПДн относится любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (Субъекту ПДн), обрабатываемая Компанией для достижения заранее определенных целей.

3.2. Компания не осуществляет обработку специальных категорий ПДн, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни, судимости физических лиц, если иное не установлено законодательством Российской Федерации.

3.3. Компания вправе осуществлять обработку специальной категории персональных данных, касающейся состояния здоровья Субъекта ПДн (застрахованных лиц и иных лиц, в случаях, предусмотренных действующим законодательством).

Компания в рамках организации пропускного режима использует фотографии работников и представителей контрагентов в системе контроля и управления доступом (далее – СКУД).

В соответствии с научно-практическом комментарием к 152-ФЗ[1], фотоизображения или видеоизображения субъектов ПДн не относятся к биометрическим ПДн.

В связи с вышесказанным, Компания не осуществляет обработку биометрических ПДн.

3.4. Компания осуществляет обработку ПДн следующих категорий Субъектов Пдн:

  • - Работников, бывших Работников, Кандидатов, Близких родственников Работников;

  • - Клиентов и Контрагентов Компании (физических лиц/ индивидуальных предпринимателей);

  • - Представителей/ работников Клиентов и Контрагентов Компании (юридических лиц);

  • - физических лиц, Пдн которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным Законодательством о Пдн;

  • - иных физических лиц, выразивших согласие на обработку Компанией их Пдн или физических лиц, обработка Пдн которых необходима Компании для достижения целей, предусмотренных законодательством Российской Федерации, для осуществления и выполнения возложенных на Компанию функций, полномочий и обязанностей.

4. Общие принципы обработки ПДн

4.1. Компания осуществляет обработку Пдн на основе общих принципов:

  • - законности заранее определенных конкретных целей и способов обработки Пдн;

  • - обеспечения надлежащей защиты ПДн;

  • - соответствия целей обработки Пдн целям, заранее определенным и заявленным при сборе Пдн;

  • - соответствия объема, характера и способов обработки Пдн целям обработки ПДн;

  • - достоверности Пдн, их достаточности для целей обработки, недопустимости обработки Пдн, избыточных по отношению к целям, заявленным при сборе Пдн;

  • - недопустимости объединения баз данных, содержащих Пдн, обработка которых осуществляется в целях, несовместимых между собой;

  • - хранения ПДн в форме, позволяющей определить Субъекта ПДн, не дольше, чем этого требуют цели их обработки;

  • - уничтожения или обезличивания ПДн по достижении целей их обработки, если срок хранения ПДн не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПДн;

  • - обеспечения конфиденциальности и безопасности обрабатываемых Пдн.  

4.2. В рамках обработки ПДн для Субъекта ПДн и Компании определены следующие права.

4.2.1. Субъект ПДн имеет право:

  • - получать информацию, касающуюся обработки его Пдн, в порядке, форме и сроки, установленные Законодательством о Пдн;  

  • - требовать уточнения своих Пдн, их Блокирования или Уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении Субъектом Пдн согласия на обработку Пдн;

  • - принимать предусмотренные законом меры по защите своих прав;

  • - отозвать свое согласие на обработку ПДн.

4.2.2. Компания имеет право:

  • - обрабатывать ПДн Субъекта ПДн в соответствии с заявленной целью;

  • - требовать от Субъекта Пдн предоставления достоверных Пдн, необходимых для исполнения договора, оказания услуги, идентификации Субъекта ПДн, а также в иных случаях, предусмотренных Законодательством о ПДн;

  • - ограничить доступ Субъекта Пдн к его ПДн в случае, если Обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, доступ Субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Российской Федерации;

  • - обрабатывать общедоступные ПДн физических лиц;

  • - осуществлять обработку ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации;

  • - поручить обработку ПДн другому лицу с согласия Субъекта ПДн.

5. Основные участники системы управления процессом обработки персональных данных

5.1. В целях осуществления эффективного управления процессом обработки ПДн определены основные его участники.

5.1.1. Правление Компании:

определяет, рассматривает и утверждает политику Компании в отношении обработки ПДн.

5.1.2. Лицо, ответственное за организацию обработки и защиту ПДн, назначается приказом по Компании и выполняет следующие функции:

- разрабатывает, организует и контролирует процесс обработки Пдн (осуществляемый с использованием средств автоматизации или без использования таких средств, в том числе на бумажных носителях) в соответствии с Законодательством о Пдн, настоящей Политикой, внутренними нормативными документами Компании;

  • - осуществляет управление и постоянное совершенствование процесса обработки Пдн по единым правилам, стандартизацию и тиражирование процесса;

  • - разрабатывает и представляет для утверждения соответствующему коллегиальному органу Компании внутренние нормативные документы, касающиеся вопросов обработки Пдн, требований к защите ПДн;

  • - организует доведение и (или) доводит до сведения работников Компании положений Законодательства о ПДн, настоящей Политики, внутренних нормативных документов Компании по вопросам обработки Пдн, требований к защите ПДн;

  • - осуществляет анализ, оценку и прогноз рисков, связанных с обработкой ПДн в Компании, выработку мер по снижению рисков;

  • - осуществляет оценку влияния процессов на права и свободы субъектов ПДн;

  • - осуществляет анализ автоматизированных систем и процессов обработки ПДн на предмет соответствия установленным обязательным требованиям в области обработки и защиты ПДн;

  • - осуществляет ведение учета процедур и средств обработки ПДн;

  • - осуществляет контроль наличия и полноты содержания договоров поручения на обработку ПДн;

  • - осуществляет разработку и организацию применения правовых, организационных и технических мер защиты Пдн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также иных неправомерных действий в отношении ПДн;

  • - осуществляет определение угроз безопасности Пдн при их обработке;

  • - осуществляет организацию и контроль уровня защищенности информационных систем ПДн;

  • - осуществляет оценку эффективности принимаемых мер по обеспечению безопасности ПДн;

  • - разрабатывает внутренние процедуры, направленные на обеспечение безопасности и защиты Пдн;

  • - организует и осуществляет внутренний контроль за соблюдением оператором и его работниками Законодательства о ПДн, настоящей Политики, внутренних нормативных документов Компании, требований к защите ПДн;

  • - организует прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов;

  • - осуществляет методологическую помощь структурным подразделениям Компании по вопросам взаимодействия с органами государственной власти и надзорными органами по вопросам обработки Пдн;

  • - осуществляет взаимодействие с органами государственной власти по вопросам защиты Пдн;

  • - осуществляет уведомление надзорного органа в соответствии с применимыми требованиями о фактах утечки Пдн;

  • - организует оповещение субъектов ПДн о фактах утечки их Пдн.

5.1.3. Управление внутреннего аудита:

в рамках проводимых контрольных процедур оценивает эффективность системы внутреннего контроля Компании по обеспечению соблюдения требований настоящей Политики, а также утвержденных нормативных документов Компании в отношении ПДн.

5.1.4. Юридическое управление:

  • - осуществляет мониторинг законодательства и доведение до сведения заинтересованных подразделений информации об изменении правовых норм;

  • - обеспечивает правовую защиту интересов Компании в судах и государственных органах по спорам, связанным с обработкой ПДн, а также при рассмотрении административных дел, связанных с нарушением законодательства в указанной сфере.

6. Организация системы управления процессом обработки ПДн

6.1. Обработка ПДн Субъекта Пдн осуществляется с его согласия на обработку ПДн, а также без такового, если Обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект ПДн, а также для заключения договора по инициативе Субъекта ПДн или договора, по которому Субъект ПДн будет являться выгодоприобретателем или поручителем, или в иных случаях, предусмотренных Законодательством о ПДн.

6.2. Обработка специальной категории ПДн, касающейся состояния здоровья Субъекта ПДн осуществляется с согласия Субъекта ПДн на обработку своих ПДн в письменной форме, а также без такового, если ПДн сделаны общедоступными Субъектом ПДн.

6.3. Компания вправе поручить обработку ПДн другому лицу с согласия Субъекта ПДн, если иное не предусмотрено федеральным законом. Такая Обработка ПДн осуществляется только на основании договора, заключенного между Компанией и третьим лицом, в котором должны быть определены:

  • - перечень действий (операций) с ПДн, которые будут совершаться третьим лицом, осуществляющим обработку ПДн;

  • - цели обработки ПДн;

  • - обязанности третьего лица соблюдать конфиденциальность ПДн и обеспечивать их безопасность при обработке, а также требования к защите обрабатываемых ПДн.  

6.4. Компания осуществляет передачу ПДн государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.

6.5. Компания несет ответственность перед Субъектом ПДн за действия лиц, которым Компания поручает обработку ПДн Субъекта ПДн.

6.6. Доступ к обрабатываемым ПДн предоставляется только тем Работникам Компании, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.

6.7. Обработка ПДн прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного законом, договором, или согласием Субъекта ПДн на обработку его ПДн. При отзыве Субъектом ПДн согласия на обработку его ПДн, Компания вправе продолжить обработку ПДн без согласия Субъекта ПДн, если такая обработка предусмотрена договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПДн, иным соглашением между Компанией и Субъектом ПДн, либо если Компания вправе осуществлять обработку ПДн без согласия Субъекта ПДн на основаниях, предусмотренных федеральными законами.

6.8. Обработка ПДн осуществляется с соблюдением конфиденциальности, под которой понимается обязанность не раскрывать третьим лицам и не распространять ПДн без согласия Субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.

6.9. Компания обеспечивает конфиденциальность ПДн Субъекта ПДн со своей стороны, со стороны своих аффилированных лиц, со стороны своих Работников, имеющих доступ к ПДн физических лиц, а также обеспечивает использование ПДн вышеуказанными лицами исключительно в целях, соответствующих закону, договору или иному соглашению, заключенному с Субъектом ПДн.

6.10. Обеспечение безопасности обрабатываемых ПДн осуществляется Компанией в рамках единой комплексной системы организационно-технических и правовых мероприятий по защите информации, составляющей коммерческую тайну, с учетом требований Законодательства о ПДн, принятых в соответствии с ним нормативных правовых актов. Система информационной безопасности Компании непрерывно развивается и совершенствуется на базе требований международных и национальных стандартов информационной безопасности, а также лучших мировых практик.

7. Заключительные положения

Компания, а также его должностные лица и Работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки ПДн физических лиц, а также за разглашение или незаконное использование ПДн в соответствии с законодательством Российской Федерации.

ПРИЛОЖЕНИЕ 1

Список терминов и определений

Административно-хозяйственная деятельность – внутренние процессы Компании, направленные на текущее обеспечение деятельности Компании товарно-материальными ценностями (осуществление закупок канцтоваров, офисного оборудования, расходных материалов, хозяйственных товаров, услуг связи и т.п.); на организацию документооборота (ведение архива, библиотек, баз данных); на организацию эксплуатации зданий, помещений, территорий (содержание, уборка, оформление и ремонт помещений); на организацию рабочего процесса.

Компания (оператор обработки ПДн) – АО «Сбербанк Лизинг», осуществляющий обработку ПДн, а также определяющий цели обработки ПДн, состав ПДн, подлежащих обработке, и действия, совершаемые с ПДн.

Работник Компании – физическое лицо, заключившее с Компанией трудовой договор.

Близкие родственники - являются родственники по прямой восходящей и нисходящей линии (родители и дети, дедушки, бабушки и внуки), полнородные и неполнородные (имеющие общих отца или мать) братья и сестры.

Кандидат – физическое лицо, претендующее на вакантную должность в Компании, ПДн которого приняты Компанией.

Клиент – физические и юридические лица, индивидуальные предприниматели, приобретшие или намеревающиеся приобрести услуги Компании, заключить с Компанией договоры в рамках лизинговой сделки;

Контрагент – физические и юридические лица, индивидуальные предприниматели, не относящиеся к Клиентам Компании, заключившие или намеревающиеся заключить с Компанией гражданско-правовые договорные, в том числе в связи с осуществлением Компанией Административно-хозяйственной деятельности;

 

Представитель клиента – физическое лицо, ПДн которого переданы Компании и

  • -   входящее в органы управления Клиента;

  • -   являющееся владельцем/учредителем/акционером/участником клиента;

  • -   действующее от имени клиента на основании доверенности/указанное в карточке с образцами подписей и оттиска печати клиента.

  • Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (Субъекту ПДн).

Обработка персональных данных – любое действие (операция) Компании или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), Обезличивание, Блокирование, удаление и Уничтожение ПДн.

В рамках Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» установлены следующие определения:

  • -   Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц.

  • -   Блокирование персональных данных - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

  • -   Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

  • -   Предоставление персональных данных - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

  • -   Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.

  • -   Информационная система ПДн – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

ПРИЛОЖЕНИЕ 2

ПЕРЕЧЕНЬ СОКРАЩЕНИЙ

ПДн – Персональные данные;
Компания –АО «Сбербанк Лизинг»;
АС «Консультант плюс ВНД» – Автоматизированная система / электронная база внутренних нормативных документов Компании.

ПРИЛОЖЕНИЕ 3

ПЕРЕЧЕНЬ ССЫЛОЧНЫХ ДОКУМЕНТОВ

1. Конституция Российской Федерации.

2. Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ с учетом изменений и дополнений.

3. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» с учетом изменений и дополнений.

 



[1] «Научно-практический комментарий» под редакцией заместителя руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой




Пресс-центр:
Все новости
Пройти
опрос

В мобильном приложении
удобнее

Спасибо, не сейчас