- Общие положения
1.1. Настоящая Политика обработки и защиты персональных данных в ООО «СКБ» (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных (далее – ПДн) обрабатываемых в ООО «СКБ» (далее – Бюро), функции Бюро при обработке ПДн, права Субъектов ПДн, а также реализуемые в Бюро требования к защите ПДн.
1.2. Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации и нормативно-методическими документами органов компетентных государственной власти по вопросам обработки и безопасности ПДн, в частности при их обработке в информационных системах ПДн (далее – ИСПДн).
1.3. Бюро обеспечивает неограниченный доступ к Политики, в том числе посредствам ее публикации на сайте Бюро: https://cbch.ru/ в сети Интернет.
1.4. Положения настоящей Политики детализируются во внутренних нормативных документах Бюро.
1.5. Все термины и определения, используемые в настоящей Политике, определяются в соответствии с Законом №152-ФЗ. - Термины, определения и сокращения используемые в настоящем Политике
«Бюро» – Общество с ограниченной ответственностью «Спектрум кредитное бюро», ОГРН: 5077746740121; ИНН: 7701720592; КПП: 772501001.
«Закон №218-ФЗ» — Федеральный закон от 30.12.2004 № 218-ФЗ «О кредитных историях».
«Закон №152-ФЗ» — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
Субъект ПДн — субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
Персональные данные, разрешенные Субъектом ПДн для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен Субъектом ПДн путем дачи согласия на обработку персональных данных, разрешенных Субъектом ПДн для распространения в порядке, предусмотренном Закон №152-ФЗ.
«ПЭП» – простая электронная подпись.
«ЕСИА» – единая система идентификации и аутентификации. - Область применения
Действие настоящей Политики распространяется на все процессы Бюро, связанные со сбором, записью, систематизацией, накоплением, хранением, уточнением, извлечением, использованием, передачей (распространение, предоставление, доступ), обезличиванием, блокированием, удалением, уничтожением ПДн, осуществляемых с использованием средств автоматизации и/или без использования таких средств. - Обеспечение безопасности ПДн при их обработке
4.1. Бюро принимает все необходимые технические, организационные и правовые меры для защиты ПДн от несанкционированного доступа (утечек), уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий.
4.2. В частности, для выполнения пункта 4.1 Политики, Бюро:
4.2.1. применяет организационные и технические меры обеспечения безопасности ПДн и организует оценку эффективности принимаемых мер;
4.2.2. осуществляет контроль за внешними угрозами безопасности ПДн, при обработке ПДн в ИСПДн;
4.2.3. осуществляет учет машинных носителей ПДн;
4.2.4. устанавливает правила доступа к ПДн, обрабатываемым в ИСПЛн, обеспечивает регистрацию и учет действий, совершаемых с ПДн в ИСПДн;
4.2.5. осуществляет контроль за доступом в помещения, в которых осуществляется обработка ПДн;
4.2.6. осуществляет контроль за эффективностью мер, применяемых в Бюро для обеспечения безопасности ПДн. - Условия и Принципы обработки ПДн
5.1. Обработка ПДн в Бюро допускается, если такая обработка ПДн:
5.1.1. осуществляется с согласия Субъекта ПДн;
5.1.2. необходима для достижения целей, предусмотренных законом;
5.1.3. обусловлена необходимостью исполнения судебного акта или иного документа, направленного государственным органом или Банком России, должностным лицом, в соответствии с полномочиями предоставленными ему законодательством Российской Федерации;
5.1.4. необходима для исполнения обязательств по договору;
5.1.5. необходима для защиты жизни, здоровья или иных жизненно важных интересов Субъекта ПДн, если получение согласия Субъекта ПДн невозможно;
5.1.6. подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации;
5.1.7. необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта ПДн.
5.2. ИСПДн и базы данных, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), а также извлечение персональных данных граждан Российской Федерации находятся на территории Российской Федерации.
5.3. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных законодательством Российской Федерации, в частности:
5.3.1. не допускается обработка ПДн, несовместимая с целями сбора ПДн и/или не отвечают целям обработки;
5.3.2. при обработке ПДн обеспечивается точность, достаточность, а в необходимых случаях актуальность ПДн;
5.3.3. если иное не предусмотрено законом, хранение ПДн осуществляется в форме, позволяющей определить Субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, при условии, что срок хранения ПДн не установлен законом или соответствующим документом на основании, которого осуществлялась обработка ПДн; обрабатываемые ПДн подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
5.4. Бюро и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия Субъекта ПДн, если иное не предусмотрено законом.
5.5. Распространение ПДн осуществляется на основании согласия на обработку ПДн, разрешенных Субъектом ПДн для распространения. При этом Субъекту ПДн должна быть предоставлена возможность определить перечень ПДн (по каждой категории) разрешённых Субъектом ПДн для распространения.
5.6. Согласие на обработку ПДн, в т.ч. разрешенных Субъектом ПДн для распространения, предоставляется в Бюро непосредственно Субъектом ПДн, посредствам подписания соответствующего согласия в форме электронного документа ПЭП ЕСИА. - Права Субъекта ПДн
6.1. Субъект ПДн имеет право:
6.1.1. требовать уточнения своих ПДн, их блокирования или уничтожения в случаях, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
6.1.2. получить сведения, касающиеся обработки его ПДн в Бюро, в частности:
— подтверждение факта обработки ПДн;
— правовые основания и цели обработки ПДн;
— применяемые в Бюро способы обработки ПДн;
— наименование и место нахождения Бюро, сведения о лицах (за исключением работников Бюро), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Бюро или федерального закона;
— обрабатываемые ПДн, относящиеся к соответствующему Субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
— сроки обработки ПДн, в том числе сроки их хранения;
— источник их получения ПДн, если иной порядок представления таких данных не предусмотрен Законом №152-ФЗ;
— порядок осуществления Субъектом ПДн прав, предусмотренных Законом №152-ФЗ;
— иные сведения, предусмотренные ФЗ-152 или другими федеральными законами;
6.1.3. отозвать согласие на обработку ПДн;
6.1.4. потребовать от Бюро уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
6.1.5. потребовать прекращения передачи (распространения, предоставления, доступа) ПДн, разрешенных Субъектом ПДн для распространения ранее.
6.2. Субъект ПДн в целях реализации своих прав, установленных Законом №152-ФЗ, может обратиться в Бюро одним из следующих способов:
— лично посетив офис Бюро, расположенный по адресу: г. Москва, Нижний Сусальный пер., д. 5, стр. 4, этаж 2;
— направив письменный запрос на почтовый адрес Бюро: 105064, г. Москва, Нижний Сусальный пер., д. 5, стр. 4, этаж 2.
6.3. Ответ на запрос (обращение) Субъекта ПДн предоставляется в форме получения Бюро запроса (обращения) Субъекта ПДн, если об ином не просил Субъект ПДн, в своем запросе.
6.4. Срок формирования ответа и передачи в почтовое отделение для отправки не может превышать тридцати дней с даты получения Бюро обращения, если иной срок не установлен Законом №152-ФЗ.
6.5. Срок внесения необходимых изменений в ПДн, являющиеся неполными, неточными или неактуальными не может превышать семи рабочих дней со дня предоставления Субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, если иной срок не установлен Законом №152-ФЗ.
6.6. Срок уничтожения ПДн, являющихся незаконно полученными или не являющихся необходимыми для заявленной цели обработки не может превышать семи рабочих дней со дня предоставления Субъектом ПДн или его представителем сведений, подтверждающих что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, если иной срок не установлен Законом №152-ФЗ. - Заключительные положения
7.1. Настоящая Политика утверждается и вводится в действие Приказом Генерального директора Бюро.
7.2. Настоящая Политика пересматривается не реже одного раза в три года и в случае необходимости актуализируется и утверждается Генеральным директором Бюро.
7.3. Содержание Политики раскрывается без ограничений.
7.4. Настоящая Политика подлежит публикации на сайте Бюро в сети Интернет по адресу: https://cbch.ru/