- Главная
- Политика обработки и защиты персональных данных
Политика обработки и защиты персональных данных
1. Общие положения
1.1 Настоящая Политика обработки и защиты персональных данных (далее – «Политика») оператора персональных данных – Общества с ограниченной ответственностью «ФКМ Лизинг» (далее – «Общество»), место нахождения: Российская Федерация, 125047, г. Москва, ул. Бутырский вал, д. 10, эт. 3, ком. 60-89, определяет основные принципы, порядок и условия обработки персональных данных, требования к защите персональных данных, а также основные права и обязанности субъектов персональных данных и оператора персональных данных.
1.2 Настоящая Политика является основным руководящим локальным нормативным актом Общества, определяющим требования в отношении обработки и защиты персональных данных.
1.3 Общество обеспечивает неограниченный доступ к настоящей Политике путем опубликования ее на веб-сайте Общества.
2. Принципы обработки персональных данных
2.1 Обработка персональных данных Обществом осуществляется в соответствии с принципами:
- законности и справедливости целей и способов обработки персональных данных;
- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- соответствия объема и содержания обрабатываемых персональных данных целям обработки персональных данных;
- недопустимости обработки персональных данных, которая может быть несовместима с целями сбора персональных данных;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях актуальности персональных данных для целей их обработки;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
3. Цели обработки персональных данных
3.1 Общество осуществляет обработку персональных данных в следующих целях:
- исполнения прав и обязанностей сторон трудовых отношений в соответствии с трудовым законодательством;
- информационного обеспечения трудовой деятельности и деятельности Общества;
- содействия в трудоустройстве, рассмотрения возможности трудоустройства кандидатов;
- исполнение прав и обязанностей сторон трудовых отношений в соответствии с трудовым законодательством в отношении родственников работников;
- предоставление родственникам работников льгот и компенсаций, что включает в себя организацию страхования жизни и здоровья;
- осуществление и выполнение возложенных законодательством РФ и международными договорами РФ на оператора функций, полномочий и обязанностей в отношении органов управления, участников и бенефициаров;
- согласование, заключение и исполнение договоров и иных сделок с клиентами;
- согласование, заключение и исполнение договоров и иных сделок с контрагентами;
- осуществление и выполнение функций, полномочий и обязанностей, возложенных на оператора законодательством Российской Федерации и международными договорами Российской Федерации в рамках мероприятий контроля.
4. Правовые основания обработки персональных данных
4.1 Правовыми основаниями для обработки персональных данных являются, в том числе:
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
- Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
- Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
- Федеральный закон от 24.11.1995 № 181-ФЗ «О социальной защите инвалидов в Российской Федерации»;
- Федеральный закон от 25.07.2002 № 115-ФЗ «О правовом положении иностранных граждан в Российской Федерации»;
- Федеральный закон от 18.07.2006 № 109-ФЗ «О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации»;
- Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
- Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
- «Основы законодательства Российской Федерации о нотариате» от 11.02.1993 № 4462-1;
- Закон Российской Федерации от 19.04.1991 № 1032–1 «О занятости населения в Российской Федерации»;
- Федеральный закон от 28.12.2013 № 426-ФЗ «О специальной оценке условий труда»;
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
- Федеральный закон от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»;
- Федеральный закон от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации»;
- Положение Банка России от 15.10.2015 № 499-П «Об идентификации кредитными организациями клиентов, представителей клиента, выгодоприобретателей и бенефициарных владельцев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
- Приказ Росфинмониторинга от 20.05.2022 № 100 «Об утверждении требований к идентификации клиентов, представителей клиента, выгодоприобретателей и бенефициарных владельцев, в том числе с учетом степени (уровня) риска совершения подозрительных операций»;
- Устав Общества;
- Договоры, заключаемые между Обществом и его контрагентами;
- Договоры, заключаемые с субъектами персональных данных, том числе в том числе договоры, выгодоприобретателем по которому является субъект персональных данных;
- Согласия субъектов персональных данных на обработку персональных данных кандидатов, работников, родственников работников, представителей клиентов - юридических лиц, клиентов - индивидуальных предпринимателей, глав крестьянско-фермерских хозяйств и их представителей, поручителей, представителей контрагентов - юридических лиц, контрагентов - индивидуальных предпринимателей и их представителей.
5. Обрабатываемые персональные данные
5.1 В Обществе обработка персональных данных осуществляется в отношении следующих категорий субъектов персональных данных:
- работников;
- кандидатов;
- родственников работников;
- членов органов управления Общества, участников и бенефициаров Общества;
- представителей клиентов - юридических лиц, клиентов - индивидуальных предпринимателей, глав крестьянско-фермерских хозяйств, бенефициарных владельцев и их представителей, поручителей;
- представителей контрагентов - юридических лиц, контрагентов - индивидуальных предпринимателей и их представителей;
- представителей государственных, муниципальных органов.
5.2 Содержание и объем персональных данных каждой категории субъектов персональных данных определяется необходимостью достижения конкретных целей их обработки, необходимостью Общества реализовать свои права и обязанности, а также права и обязанности соответствующего субъекта персональных данных.
6. Порядок и условия обработки персональных данных
6.1 Обработка Обществом персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), блокирования, удаления, уничтожения персональных данных.
6.2 Обработка персональных данных осуществляется путем смешанной (как автоматизированной, так и неавтоматизированной) обработки, в том числе с использованием внутренней корпоративной сети и сети Интернет.
6.3 Источником информации обо всех персональных данных является непосредственно субъект персональных данных. Если иное не установлено законодательством Российской Федерации, Общество вправе получать персональные данные субъекта персональных данных от третьих лиц, но субъект персональных данных должен быть уведомлен об этом.
6.4 Общество может осуществлять передачу персональных данных субъектов персональных данных третьим лицам, включая трансграничную передачу персональных данных на территории иностранных государств, в том числе, не обеспечивающих адекватную защиту прав субъектов персональных данных, при условии соблюдения требований, предусмотренных законодательством Российской Федерации.
6.5 Общество вправе поручить обработку персональных данных другому лицу с согласия соответствующего субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (поручения на обработку персональных данных). Лицо, осуществляющее обработку персональных данных по поручению, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации, конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации.
6.6 В поручении на обработку персональных данных Обществом указываются перечень персональных данных, цели обработки и перечень действий (операций) с персональными данными, которые могут быть совершены лицом, осуществляющим обработку персональных данных по поручению, устанавливаются его обязанности по соблюдению конфиденциальности персональных данных, требований, предусмотренных частью 5 статьи 18 и статьей 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных»), предоставлению документов и иной информации, подтверждающей принятие мер и соблюдение в целях исполнения поручения Общества требований, установленных в соответствии со статьей 6 Закона о персональных данных по запросу Общества в течение срока действия поручения, в том числе до обработки персональных данных, обязанности по обеспечению безопасности персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии с законодательством Российской Федерации, в том числе требование об уведомлении Общества о случаях, предусмотренных частью 3.1 статьи 21 Закона о персональных данных.
6.7 При обработке персональных данных в Обществе соблюдаются условия, обеспечивающие сохранность и конфиденциальность персональных данных.
6.8 Общество предпринимает необходимые технические и организационные меры в соответствии с законодательством Российской Федерации в области персональных данных с целью обеспечения их защиты от несанкционированного доступа, изменения, раскрытия или уничтожения.
6.9 Работники Общества, а также иные лица, получившие доступ к персональным данным, принимают обязательства по обеспечению конфиденциальности обрабатываемых персональных данных.
6.10 Хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Российской Федерации или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
6.11 Уничтожение персональных данных производится после достижения целей их обработки, в случае утраты необходимости в достижении целей обработки или по окончании срока хранения персональных данных, установленного федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
7. Актуализация, исправление и уничтожение персональных данных
7.1 Общество предпринимает разумные меры для поддержания точности и актуальности обрабатываемых персональных данных, а также их удаления в случаях, если они признаются устаревшими, недостоверными или излишними, либо если достигнуты цели их обработки.
7.2 В случае обнаружения факта неточности персональных данных или неправомерности их обработки, Общество обязано провести актуализацию или прекратить их обработку.
7.3 Обработка персональных данных прекращается Обществом в следующем порядке и сроки (если иное не предусмотрено законодательством Российской Федерации):
- при выявлении неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления, Общество устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерности действий с персональными данными, уничтожает персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Общество уведомляет субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены в уполномоченный орган по защите прав субъектов персональных данных, также этот орган;
- при достижении цели обработки персональных данных Общество прекращает обработку персональных данных и уничтожает соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных;
- при отзыве субъектом персональных данных согласия на обработку своих персональных данных Общество прекращает обработку персональных данных и уничтожает (за исключением персональных данных, которые хранятся в соответствии с действующим законодательством) персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва;
- при обращении субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных, Общество прекращает обработку персональных данных и уничтожает персональные данные (за исключением персональных данных, обработка которых может осуществляться без согласия субъекта персональных данных, а именно в случаях, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Закона о персональных данных) в срок, не превышающий десяти рабочих дней с даты получения соответствующего требования. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Обществом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока прекращения обработки и уничтожения персональных данных.
7.4 В случае отсутствия возможности уничтожения персональных данных в течение указанных сроков Общество осуществляет блокирование таких персональных данных или обеспечивает их блокирование и затем обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен законодательством Российской Федерации.
7.5 Уничтожение персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных и в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.
8. Права и обязанности субъектов персональных данных
8.1 Субъект персональных данных имеет право на получение информации, касающейся обработки Обществом его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Обществом способы обработки персональных данных;
- наименование и местонахождение Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
- перечень обрабатываемых персональных данных субъекта персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных законодательством в области персональных данных;
- информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
- наименование (фамилию, имя, отчество) и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения Обществом обязанностей, установленных статьей 18.1 Закона о персональных данных;
- иные сведения, предусмотренные законодательством в области персональных данных.
8.2 Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.3 Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований законодательства, субъект персональных данных вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
8.4 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами Российской Федерации.
8.5 Субъект персональных данных обязан:
- предоставлять Обществу достоверные персональные данные;
- своевременно сообщать Обществу об изменениях и дополнениях своих персональных данных;
- осуществлять свои права в соответствии с законом, иными нормативными правовыми актами и локальными нормативными актами Общества в области обработки и защиты персональных данных;
- исполнять иные обязанности, предусмотренные законом, иными нормативными правовыми актами и локальными нормативными актами Общества в области обработки и защиты персональных данных.
9. Права и обязанности Общества
9.1 При осуществлении обработки персональных данных Общество вправе:
- устанавливать правила обработки персональных данных в Обществе, вносить изменения и дополнения в локальные нормативные акты, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей оператора персональных данных;
- осуществлять иные права, предусмотренные законом, иными нормативными правовыми актами и локальными нормативными актами Общества в области обработки и защиты персональных данных.
9.2 При осуществлении обработки персональных данных Общество обязано:
- обеспечивать обработку персональных данных исключительно в целях, для которых был осуществлен сбор персональных данных;
- принимать необходимые меры по удалению и уточнению неполных, неточных и неактуальных данных;
- получать от субъекта персональных данных согласие на обработку его персональных данных, в том числе в письменной форме, в случаях, установленных законодательством, и разъяснять субъекту персональных данных юридические последствия отказа дать согласие на их обработку;
- защищать персональные данные от их неправомерного использования или утраты;
- уведомлять уполномоченный орган по защите прав субъектов персональных данных об установлении факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных в сроки, установленные законодательством Российской Федерации;
- обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование уполномоченного органа в области обеспечения безопасности о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных в порядке, определенном уполномоченным органом в области обеспечения безопасности;
- исполнять иные обязанности, предусмотренные законодательством Российской Федерации и локальными нормативными актами Общества в области обработки и защиты персональных данных.
10. Ответы на запросы субъектов персональных данных
10.1 Общество предоставляет субъекту персональных данных ответ на запрос о получении информации, касающейся обработки его персональных данных, на основании соответствующего письменного заявления субъекта персональных данных.
10.2 Адрес для обращений субъектов персональных данных в Общество по вопросам обработки персональных данных:
- 125047, г. Москва, ул. Бутырский вал, д. 10, эт. 3, ком. 60-89.