г. Омск
1. Термины и определения
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информация – сведения (сообщения, данные) независимо от формы их представления.
Конфиденциальность персональных данных – обязательное для соблюдения Обществом или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Общество - Общество с ограниченной ответственностью «ИнБГ-ПРАВО» (ОГРН 1065503010495, адрес регистрации: 644099, г. Омск, ул. Красногвардейская, д. 49).
Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, в том числе Общество, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Политика – настоящая политика в отношении обработки персональных данных Общества.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Работники – физические лица, состоящие (состоявшие) в трудовых отношениях с Обществом.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Сайт Общества – официальный сайт Общества: www.inbg-pravo.ru.
Субъекты персональных данных – определенное или определяемое физическое лицо.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2. Общие положения
2.1. Настоящая Политика разработана в соответствии с требованиями Конституции Российской Федерации и иных нормативных правовых актов Российской Федерации регулирующих вопросы обработки и защиты персональных данных, определяет политику Общества как оператора, осуществляющего обработку персональных данных.
2.2. Политика опубликована для неограниченного доступа на сайте Общества.
2.3. Общество гарантирует соблюдение конфиденциальности в отношении обрабатываемых персональных данных с учетом положений настоящей Политики и обязуется использовать их только в указанных в Политике целях.
2.4. Общество включено в Реестр операторов персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций под регистрационным номером 10-0094978.
3. Цели сбора персональных данных
3.1. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.2. Обработка Обществом персональных данных осуществляется в следующих целях:
3.2.1. Осуществления возложенных на Общество законодательством Российской Федерации функций, полномочий и обязанностей.
3.2.2. Осуществления Обществом деятельности по возврату просроченной задолженности, а также защиты прав и законных интересов Общества или третьих лиц в том числе в случаях, предусмотренных Федеральным законом от 03.07.2016 № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон» «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения иных общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
3.2.3. Осуществления гражданско-правовых отношений, выполнения работ и предоставления услуг, определенных Уставом Общества, в том числе ведения переговоров, заключения и исполнение договоров.
3.2.4. Содействия работникам в трудоустройстве, обучении и продвижении по службе, организация деловых поездок (командировок) работников, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, добровольного страхования работников, расчета и начисления заработной платы, участия в корпоративных мероприятиях, пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, иными федеральными законами и нормативными правовыми актами, а также Уставом и локальными нормативными актами Общества.
3.2.5. Оформления доверенностей (в том числе для представления интересов Общества перед третьими лицами).
3.2.6. Принятия решения о возможности заключения трудового договора с лицами, претендующими на открытые вакансии.
3.2.7. Осуществления пропускного режима в помещениях Общества и обеспечения безопасности работников и посетителей Общества (в случае прохода указанных лиц на территорию Общества).
3.2.8. Анализа качества предоставляемых Обществом услуг и улучшению качества обслуживания клиентов Общества.
3.2.9. Продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом персональных данных.
3.2.10. Проведение статистических и иных исследований на основе обезличенных данных.
3.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
4. Правовые основания обработки персональных данных
4.1. Обработка персональных данных должна осуществляться на законной основе.
4.2. Правовым основанием обработки персональных данных Обществом является совокупность положений нормативных правовых актов, во исполнение и в соответствии с которыми Общество осуществляет обработку персональных данных, в том числе: - Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
- Федеральный закон от 03.07.2016 № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О Микрофинансовой деятельности и микрофинансовых организациях»;
- Федеральный закон от 16.07.1998 № 102-ФЗ «Об ипотеке (залоге недвижимости)»; - Федеральный закон от 30.12.2004 № 218-ФЗ «О кредитных историях»;
- Федеральный закон от 21.12.2013 № 353-ФЗ «О потребительском кредите (займе)»; - иные федеральные законы и принятые на их основе нормативные акты, регулирующие отношения, связанные с деятельностью Общества;
- уставные документы Общества;
- договоры, заключаемые между оператором и субъектом персональных данных;
- согласие субъектов персональных данных на обработку их персональных данных; - локальные нормативные акты Общества, разработанные в области персональных данных.
5. Объем и категории персональных данных, категории субъектов
5.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
5.2. Общество осуществляет обработку персональных данных следующих категорий субъектов персональных данных:
- работники Общества, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
- клиенты и контрагенты Общества (физические лица);
- представители/работники клиентов и контрагентов оператора (юридических лиц);
- должники (физические лица, имеющие просроченную задолженность перед Обществом или клиентами/контрагентами Общества), представители должника, третьи лица, под которыми понимаются члены семьи должника, родственники, иные проживающие с должником лица, соседи и любые другие физические лица;
- лица, входящие в органы управления Общества и не являющимися работниками Общества; - физические лица, персональные данные которых обрабатываются в интересах третьих лиц – операторов на основании договора (поручения операторов);
- субъекты кредитной истории (физические лица);
- иных физических лиц, чьи персональные данные обрабатываются Обществом в соответствии с требованиями законодательства.
5.3. За исключением случаев, предусмотренных законодательством Российской Федерации, Общество не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
6. Порядок и условия обработки персональных данных
6.1. Общество осуществляет обработку персональных данных, с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
6.2. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
6.3. Общество вправе обрабатывать персональные данные субъекта персональных данных, только с их письменного согласия, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
6.4. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. 6.5. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется Обществом в соответствии с требованиями законодательства Российской Федерации.
6.6. Общество вправе поручить обработку персональных данных другому лицу только с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
6.7. Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации в сфере защиты персональных данных. В поручении должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных». 6.8. В случае если Общество поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Лицо, осуществляющее обработку персональных данных по поручению Общества, несет ответственность перед Обществом.
6.9. Общество, в случае осуществления обработки персональных данных по поручению другого оператора, обязано соблюдать принципы и правила обработки персональных данных.
6.10. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. 6.11. Хранение персональных данных осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
6.12. Хранение документов и сведений, содержащих персональные данные, осуществляется в течение установленных действующими нормативными актами сроков хранения указанных документов и сведений. По истечении установленных сроков хранения документы и сведения подлежат уничтожению.
6.13. В случае выявления в процессе хранения недостоверных персональных данных эти данные блокируются до их уточнения. В случае невозможности их уточнения такие персональные данные уничтожаются.
6.14. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
7. Права субъекта на доступ к его персональным данным
7.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе:
7.1.1. Подтверждение факта обработки персональных данных оператором.
7.1.2. Правовые основания и цели обработки персональных данных.
7.1.3. Цели и применяемые оператором способы обработки персональных данных.
7.1.4. Наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона.
7.1.5. Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом.
7.1.6. Сроки обработки персональных данных, в том числе сроки их хранения.
7.1.7. Порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом.
7.1.8. Информацию об осуществленной или о предполагаемой трансграничной передаче данных.
7.1.9. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.
7.1.10. Иные сведения, получение которых предусмотрено законодательством Российской Федерации в сфере защиты персональных данных.
7.2. Сведения предоставляются Обществом субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать: серию и номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения об органе и дате выдачи указанного документа, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
7.3. Субъект персональных данных вправе обратиться повторно к Обществу или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса.
7.4. Сведения должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
7.5. Субъект персональных данных вправе требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.6. В случае подтверждения факта неточности персональных данных Общество, на основании сведений, представленных субъектом персональных данных или его представителем, либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязано уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
8. Организация защиты персональных данных
8.1. При обработке персональных данных Общество принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.2. Обеспечение безопасности персональных данных достигается, в частности:
8.2.1. Назначением ответственного лица за организацию обработки персональных данных. 8.2.2. Применением правовых, технических и организационных мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
8.2.3. Разработкой и утверждением локальных актов по вопросам обработки и защиты персональных данных.
8.2.4. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
8.2.5. Оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения требований законодательства, соотношение вреда и принимаемых Обществом мер безопасности.
8.2.6. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
8.2.7. Установление индивидуальных паролей доступа работников в информационную систему в соответствии с их производственными обязанностями.
8.2.8. Соблюдение условий, исключающих несанкционированный доступ к материальным носителям персональных данных и обеспечивающих сохранность персональных данных.
8.2.9. Использование охраняемых помещений с разграниченным доступом для размещения серверов информационных систем персональных данных, а также использование запираемых шкафов для хранения бумажных носителей персональных данных.
8.2.10. Обеспечение сохранности носителей персональных данных.
8.2.11. Ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных.
8.2.12. Обнаружение фактов несанкционированного доступа к персональным данным и принятием мер.
8.2.13. Утверждение перечня лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.
8.2.14. Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
8.2.15. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных. 8.3. Доступ к персональным данным предоставляется только уполномоченным сотрудникам Общества, которые взяли на себя обязательство сохранять конфиденциальность такой информации.
9. Обработка персональных данных посетителей сайта
9.1. Общество производит обработку и защиту персональных данных посетителей сайта Общества (включая фамилию, имя, отчество, контактный телефон, адрес электронной почты и пр.), а также персональных данных, поступающих через формы обратной связи и на адреса корпоративной почты Общества, заканчивающиеся на@ibg.ru, @inbg.ru и @inbg-pravo.ru (далее «Корпоративная почта»).
9.2. Согласие на обработку персональных данных выражается путем отправления информации через выбранные формы на страницах Сайта Общества (далее «Формы») или отправления электронного письма на адреса корпоративной почты Общества.
9.3. Моментом принятия Согласия является нажатие на кнопку отправки Формы на любой странице Сайта, а также нажатие на кнопку отправки электронного письма, содержащего персональные данные субъекта, на адрес Корпоративной почты.
9.4. Пользуясь сайтом, посетитель сайта соглашается на то, что Общество может использовать статистические данные и файлы Cookies для их последующей обработки системами веб-аналитики (например Яндекс.Метрика) и может передавать третьему лицу для проведения исследований, выполнения работ или оказания услуг по поручению Общества.
9.5. Файлы Cookies – небольшие текстовые файлы, размещаемые на жестких дисках компьютера Посетителя Сайта во время посещения сайтов, предназначенные для повышения эффективности работы сайтов, а также получения владельцем сайта информации о предпочтениях Посетителей Сайта. Использование файлов Cookies - стандартная на данный момент практика для большинства сайтов. Большинство браузеров позволяют просматривать файлы Cookies и управлять ими, а также отказаться от получения файлов Cookies и удалить их с жесткого диска устройства.
9.6. При первом посещении Сайта может быть запрошено согласие на использование файлов Cookies. После того, как Посетитель Сайта одобрил использование файлов Cookies, он может изменить свое решение. Он сможет сделать это, удалив файлы Cookies, хранящиеся в его браузере. Отказ от использования файлов Cookies может привести к тому, что некоторые функции Сайта будут недоступны, и повлиять на возможность полноценного использования Сайта.
9.7. Посетитель Сайта вправе в любое время изменить настройки своего браузера, чтобы принимать или отклонять по умолчанию все файлы Cookies или файлы Cookies с определенных сайтов.
9.8. При просмотре Сайта Общество собирает следующую информацию:
- дату и время посещения Сайта;
- число посещенных страниц, их названия, а также длительность просмотра;
- IP-адрес, присвоенный устройству для выхода в Интернет;
- тип браузера и операционной системы;
- экранное разрешение;
- класс HTML-элемента, на который происходит клик;
- URL сайта, с которого был осуществлен переход.
9.9. Общество обрабатывает персональные данные Посетителей Сайта исключительно в целях, для которых они предоставлялись, в том числе:
- идентификации Посетителя сайта;
- предоставления Посетителю сайта информации об Обществе и оказываемых услугах;
- ознакомления Посетителя сайта с правовыми документами Общества, а также реализации полномочий и обязанностей, возложенных на Общество законодательством Российской Федерации;
- установления обратной связи, включая направление уведомлений, запросов, касающихся, оказания услуг, обработка запросов и заявок от Посетителя сайта;
- определения локации Посетителя сайта;
- подтверждения достоверности и полноты персональных данных, предоставленных Посетителем сайта;
- предоставления доступа Посетителю на сайты или к сервисам партнеров Общества с целью получения продуктов, информации и услуг;
- повышения эффективности работы Сайта;
- направление Посетителям Сайта справочной и маркетинговой информации, посредством направления сообщений на адрес электронной почты, указанной Посетителями Сайта;
- таргетирование рекламных материалов;
- проведение статистических и иных исследований на основе обезличенных данных.
9.10. По достижению целей обработки, а также наступления иных оснований, предусмотренных законодательством Российской Федерации в области обработки и защиты персональных данных, персональные данные Посетителей Сайта уничтожаются.
9.11. При сборе персональных данных, в том числе посредством информационно- телекоммуникационной сети Интернет, Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Федеральном законе от 27.07.2006 г. No 152-ФЗ «О персональных данных».
9.12. Посетитель Сайта может в любое время отозвать свое согласие на обработку Данных, направив письменное заявление по адресу Общества: 644099, г. Омск, ул. Красногвардейская, дом 49.
10. Заключительные положения
10.1. Настоящая Политика подлежит изменению или дополнению в случаях внесения соответствующих изменений или дополнений в действующее законодательство Российской Федерации о персональных данных, а также может быть изменена в любое время по усмотрению Общества. Действующая редакция настоящей Политики всегда доступна для просмотра неограниченным кругом лиц на сайте Общества по адресу: www.inbg-pravo.ru.
При внесении изменений в Политике указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.
10.2. Все отношения с участием Общества, касающиеся обработки и защиты персональных данных и не получившие непосредственного отражения в настоящей Политике, регулируются согласно положениям действующего законодательства Российской Федерации о персональных данных.
10.3. Контроль за исполнением требований настоящей Политики осуществляется директором Общества.