1. Общие положения
1.2. Положение об обработке персональных данных (далее – Положение) в «Куплю-КИА» (далее – Партнер) является публичным документом описывающим порядок и принципы обработки персональных данных.
2. Обработка персональных данных
2.1. Объем обрабатываемых персональных данных, цели, сроки, способы и условия обработки
2.1.1. Партнер обрабатывает персональные данные с целью: подготовки и совершения банковских операций и иной деятельности в соответствии с Уставом, исполнения гражданско-правовых договоров с физическими и юридическими лицами, реализации трудовых отношений и социальной защиты, действующих и бывших сотрудников, их обучения и повышения квалификации, рассылки сообщений рекламно-информационного характера, сбора статистической информации, обеспечения безопасности и противодействия мошенничеству, исполнения обязательств, прав и полномочий, накладываемых на Партнера действующим законодательством.
2.1.2. В установленных действующим законодательством случаях обработка персональных данных ведется с согласия субъекта. При этом согласие субъекта может быть выражено:
- письменно;
- устно по телефону при общении с сотрудниками Партнера;
- путем акцепта соглашения на официальном веб-сайте Партнера;
- совершением фактических действий, направленных на предоставление персональных данных, например, путем отсылки резюме на адрес партнера.
2.1.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных, путем отправки соответствующего заявления в простой письменной форме, в адрес Партнера, при этом Партнер прекращает обработку персональных данных, если отсутствуют иные, определенные действующим законодательством основания. Заявление об отзыве согласия на обработку персональных данных должно быть составлено в соответствии с пунктом 2.5.4 данного положения, в противном случае оно игнорируется.
2.1.4. Если субъект должен предоставить персональные данные, но не предоставляет, то данный факт может нести юридические последствия, включающие невозможность заключения и исполнения гражданско-правовых договоров с субъектом, отказ в выполнении банковских операций и другие последствия предусмотренные действующим законодательством.
2.1.5. Объем обрабатываемых персональных данных устанавливается должностными лицами Партнера, исходя из целей обработки и не может превышать объем персональных данных зафиксированный в «Перечне сведений конфиденциального характера «Куплю-КИА». Типичным является случай, когда персональные данные собираются в виде анкет, тогда объем обрабатываемых персональных данных определяется объемом данных указанных в анкете – утвержденной Партнером типовой формы.
2.1.6. Срок обработки персональных данных, устанавливается минимально возможным для достижения целей обработки. Срок обработки персональных данных не может быть меньше законодательно установленных сроков обработки документов, в которых эти персональные данные включены, срока исковой давности, а также дополнительных временных ограничений накладываемых действующим законодательством.
2.1.7. Для обработки персональных данных может применяться неавтоматизированная обработка и обработка с использованием средств автоматизации.
2.2. Сбор персональных данных
2.2.1. Перед сбором персональных данных субъекту, по его запросу, может быть предоставлена информация об особенностях обработки его персональных данных Партнером, включающая:
- а) наименование и адрес Партнера;
- б) цель обработки персональных данных и ее правовое основание;
- в) перечень обрабатываемых персональных данных;
- г) способы обработки персональных данных;
- д) юридические последствия обработки персональных данных и отказа предоставления персональных данных;
- е) предполагаемые источники получения персональных данных (в случаях, когда персональные данные субъекта, должны быть получены от третьей стороны);
- ж) пользователи персональных данных;
- з) права субъекта персональных данных, возникающие при обработке его персональных данных Партнером;
2.2.2. Информирование субъекта может производиться:
- путем размещения соответствующих сообщений на информационных стендах в офисах Партнера;
- путем размещения информационных материалов на официальном web-сайте Партнера;
- письменно, по запросу.
2.2.3. Сбор персональных данных может производиться от самого субъекта непосредственно, от ближайших родственников или представителей субъекта, от других операторов персональных данных, или лиц которым обработка персональных данных поручена на основании договора. В установленных законодательством случаях данные лица обязаны информировать субъекта о передачи его персональных данных и особенностях обработки персональных данных указанных в данной положении.
2.3. Передача персональных данных
2.3.1. Передача Партнером персональным данных субъектов персональных данных, третьим лицам возможна в случаях:
- наличия согласия субъекта персональных данных на осуществление передачи;
- когда передача персональных данных сотрудников, необходима для осуществления ими (сотрудниками, чьи персональные данные раскрываются) своих должностных обязанностей;
- проведения обучения или социальной защиты сотрудников (в том числе бывших);
- информирования родственников сотрудников о несчастных случаях на работе, а также в целях защиты здоровья сотрудников;
- проведения контрольно-надзорных или аудиторских проверок Партнера;
- переуступки прав требования, по кредитным договорам;
- информирования контактных лиц, указанных в анкетах клиентов, о проблемах с исполнением договорных обязательств между клиентом и Партнером;
- наличия договора у Партнера с третьим лицом, одним из условий которого является обеспечение конфиденциальности персональных данных;
- запроса и отправки сведений о кредитной истории в бюро кредитных историй;
- информирования новых работодателей, бывшего сотрудника Партнера;
- организации обработки персональных данных с использованием технических средств и технологий, предоставляемых Партнеру в аренду по договору третьими лицами;
- в других предусмотренных действующим законодательством случаях.
2.4. Хранение и уничтожения персональных данных
2.4.1. В случаях: отзыва субъектом согласия на обработку персональных данных, или направления субъектом заявления с требования уничтожения персональных данных, персональные данные подлежать уничтожению, если отсутствуют правовые основания для их обработки, установленные законодательством РФ.
2.4.2. По окончанию срока обработки, персональные данные передаются в Архивный фонд Российской Федерации или уничтожаются.
2.4.3. Уничтожение персональных данных производится коммисионно с составлением Акта об уничтожении.
2.5. Права и обязанности субъектов персональных данных
2.5.1. Субъект персональных данных имеет право на:
а) получение сведений, указанных в пункте 2.2.1 настоящего положения;
б) ознакомление со своими персональными данными;
в) требование от Партнера уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
г) отправку запросов Партнеру по вопросам обработки его персональных не чаще одного раза в тридцать дней, более частые обращения возможны только в случаях предусмотренных действующим законодательством;
д) принятие предусмотренных законодательством мер по защите своих прав.
2.5.2. Субъект ограничивается в своих правах в случаях предусмотренных действующим законодательством.
2.5.3. Субъект персональных данных обязан:
а) предоставлять достоверные персональные данные;
б) в случае изменения предоставленных персональных данных уведомлять об этом Партнер и предоставлять измененные персональные данные в течение трех рабочих дней;
в) принимать меры по защите своих персональных данных.
2.5.4. Для реализации своих прав субъект обязан, обратится с письменным запросом к Партнеру. В запросе должны содержаться:
- номер основного документа, удостоверяющего личность субъекта персональных данных;
- сведения о дате выдачи указанного документа и выдавшем его органе;
- почтовый адрес (для отправки официального ответа);
- сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения);
- либо сведения, иным образом подтверждающие факт обработки персональных данных оператором;
- в случае необходимости, перечень запрашиваемых персональных данных;
- собственноручную подпись субъекта персональных данных;
2.6. Обязанности Партнера при обработке персональных данных
2.6.1. При обработке персональных данных Партнер обязан:
2.6.1.1. Сообщать субъектам персональных данных информацию предусмотренную пунктом 2.2.1. настоящего положения.
2.6.1.2. Обеспечивать защиту персональных данных при их обработке.
2.6.1.3. В случае поступления запроса субъекта персональных данных о предоставлении его персональных данных, в течение 30 дней предоставить возможность ознакомления с запрашиваемыми данными или дать мотивированный отказ.
2.6.1.4. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, внести в них необходимые изменения, а если будут представлены сведения о том, что персональные данные незаконно полученными или не являются необходимыми для заявленной цели обработки их удалить
2.6.1.5. В течение 30 дней в случае достижения цели обработки передать персональные данные в Архивный Фонд Российской Федерации или их уничтожить.
2.6.1.6. Уведомлять субъектов персональных данных о внесении изменений, блокировании или уничтожении их персональных данных. При этом уведомление производится ответственными сотрудниками Партнера при поступление запроса от субъекта.
2.7. Организация доступа к персональным данным со стороны сотрудников Партнера
2.7.1. Целесообразность доступа сотрудника к обработке персональных данных определяется руководителем структурного подразделения Партнера исходя из служебной необходимости.
2.7.2. Допуск сотрудников к обработке персональных данных осуществляется в соответствии с «Политикой управления информационными потоками и обеспечения информационной безопасности «Куплю-КИА» и разработанными на ее основании документов.
2.8. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
2.8.1. Партнер не несет ответственности за нарушение конфиденциальности персональных данных субъекта, произошедшее:
- по вине субъекта;
- до начала и после окончания обработки персональных данных Партнером;
2.8.2. Сотрудники организации, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.
2.9. Обязанности сотрудников участвующих в обработке персональных данных
2.9.1. Сотрудники организации, допущенные к обработке персональных данных, обязаны:
а) выполнять требования «Политики управления информационными потоками и обеспечения информационной безопасности «Куплю-КИА», касающиеся прав и обязанностей сотрудников организации при обработке конфиденциальной информации;
б) предоставлять субъектам персональных данных информацию предусмотренную пунктом 2.2.1 данного положения;
в) при заключении договоров с третьими лицами, предусматривающих передачу персональных данных субъектов, учитывать требования данного положения, касающиеся передачи персональных данных;