Политика поэтапной работы с персональными сведениями клиентов

1. Стандартные положения

1.1. Преследуя цель полностью соответствовать действующим на территории Украины законодательным нормам, «Credit Store» (в дальнейшем – Организация/Компания) определяет для себя задачу, заключающуюся в соблюдении принципов законности, справедливости и конфиденциальности при обработке личных сведений, а также – предоставлении гарантии безопасности на всех этапах информационной обработки.

1.2. Характеристика действующей политики Компании, касающихся организационных моментов при осуществлении обработки и гарантии безопасности (в дальнейшем – Политика):

  • Документ находится в общем доступе, декларирует концептуальные основы работы Организации при осуществлении обработки и защиты индивидуальных данных клиентов.

  • Реализует правовые требования Украины в области обработки информации субъектов.

  • Обязуется соблюдать основные варианты и требования в области осуществления систематизации и работы Организацией с любой информацией, и соблюдает установленный регламент, применяемый Компанией для гарантии безопасности и контроле утечки любых данных при процессе их обработки.

1.3. Организацией осуществлено заблаговременное уведомление уполномоченных органов по защите прав субъектов персональных данных о намерении работать с персональными сведениями. Компания в добровольном порядке и своевременно производит обновление информации, указанной в уведомлении.

2. Варианты и концепция обработки персональных данных.

2.1. Организация следует принципам обработки персональных информационных сведений в полном соответствии со статьей ФЗ «О персональных данных».

2.2. Компанией осуществляется систематизация информационных данных в конкретных случаях:

  • Набор кадрового состава.

  • Кадровый учет штатных сотрудников.

  • Взаиморасчеты с сотрудниками.

  • Составление отчетов.

  • Написание доверенностей.

  • Предоставление пользователям сайта https://creditstore.com.ua/ сервисов для оформления заявок на самые актуальные банковские предложения и услуги.

2.3. Организацией установлен период и регламент прекращения обработки персональных сведений:

  • Организация хранения – не более месяца.

  • Опровержение законности и необходимости для заявленной цели обработки персональных сведений субъектом или представителем (в рамках закона) – не более 6-7 суток.

  • Отсутствие возможности обеспечить правомерность обработки личных данных – двух недель.

  • Субъект может отказаться от систематизации и работы с его личной информацией, когда эти данные не требуется для основной его цели – не более месяца.

2.4. В обработку личной информации входит систематизирование, архивация, обезличивания, блокировка и уничтожение.

2.5. Процесс сбора и обработки информации происходит автоматизировано или не автоматизировано.

2.6. Организация не касается межнациональных, геополитических, духовно-философских, адалт-тематики и относящихся к здоровью информационных областей.

2.7. Компанией не проводится обработка биометрических параметров.

2.8. В интересах организации не стоит трансграничная передача личной информации.

2.9. Организация не участвует в принятии решений, способных повлечь последствия юридического характера в отношении индивидуальных данных субъекта или другим образом затронуть их права и законные интересы, основываясь исключительно на обработке информации в автоматическом режиме.

3. Доступ к Политике

3.1. Ознакомиться с реальной информацией политики в бумажной документации возможно по месту нахождения исполнительного органа Компании.

3.2. Ознакомиться с электронной версией реальной информации Политики возможно на общедоступном сайте Организации в сети Internet.

4. Внесение изменений и основные действия по утверждению Политики

4.1. Руководитель осуществляет утверждение Политики Организации.

4.2. Возможно актуализировать и заново утвердить Политику раньше срока, по мере внесения поправок:

  • В нормативно-правовые акты в сфере персональных сведений.

  • В правовые и индивидуальные акты, установленные Организацией, которые регламентируют процесс систематизации, учета и обеспечения безопасности персональных сведений.

4.3. Актуализация Политики и ее повторное утверждение на постоянной основе происходит ежегодно с даты утверждения предыдущей редакции Политики.

5. Распространение ответственности

Лица, признанные виновными в нарушении сохранность индивидуальной информации, несут ответственность, с которой можно ознакомиться, перейдя в действующий регламент законодательной базы России, а также в действующие акты Компании и актуальные договоры, регламентирующие правовое поле Организации с физ. и юр. лицами.

6. Законодательные основания для проведения процедуры обработки персональных сведений клиентов.

6.1. Политика Организации в отношении вопросов об организации личной информации подчиняется Конституции России и законодательным актам, указанным в ней, в частности ФЗ-160, ФЗ-152, ФЗ-149.

6.2. Настоящая Политика в исполнении утверждена администрацией Организации по следующим локальным нормативным актам:

  • Политикой обеспечения безопасности, в том числе анонимность личной информации.

  • Положением о лице, выступающем ответственным за организацию процессов обработки и обеспечения безопасности и защищенности персональных данных.

  • Другими видами нормативных актов Организации в области систематизации и безопасности индивидуальных данных.

7. Права субъектов персональных данных

7.1. Субъектом персональных данных могут быть выдвинуты требования по защите собственных прав и законных интересов, в которые входят возмещение затраченных ресурсов различного характера и/или компенсация морального ущерба в судебном порядке.

7.2. Реализовать, защитить и отстоять свои права и законные интересы субъект индивидуальных данных имеет все основания для обращения в Организацию. Последней будет рассмотрены любые обращения и жалобы со стороны субъекта, тщательно расследованы факты нарушений и приняты все необходимые меры по их немедленному устранению, наказанию виновных людей и урегулированию спорных и конфликтных ситуаций в досудебном порядке.

7.3. Субъект персональной обработки данных может подать заявку на ознакомление со сведениями об обработке информации Компанией.

7.4. Субъектом индивидуальной информации могут быть выдвинуты требования от Организации по установке обрабатываемых данных, избавлению от них тогда, когда они имеют недостоверную информацию, неполные по содержанию, устаревшие, незаконно полученные данные.

7.5. Право субъекта запросить доступу к его личных данных может быть не произведено в соответствии с актуальными ФЗ, включая ситуации, когда доступ лица к его информации, берущей за основу для Организации, выступает в качестве нарушения прав, законных интересов физ. и юр. лиц.

7.6. Субъектом персональных данных может быть рассмотрена заявка на обжалование действий и, наоборот, бездействий Организации методом связывания с уполномоченными органами по защите прав субъектов индивидуальных данных.

8. Меры, принимавшиеся для надлежащей организации обработки и обеспечению защиты персональных данных

8.1. Компания при систематизации личной информации идет на всевозможные правовые, организационные и технические меры для обеспечения безопасности данных и защиты от неправомерного или нежелательного доступа, уничтожения и модификации, блокирования и копирования, предоставления и распространения, а также от других неправомерных механизмов в отношении их. Безопасность и защита личных данных происходит благодаря:

  • Взятию под контроль принимаемые меры по сохранности информационного поля и высокого уровня информационной системы.

  • Назначению руководящего лица по организации процесса обработки и контролю безопасности, полученных личных сведений.

  • Оперативному обнаружению хакерских атак на серверы при их интеграции данных в информационную базу.

  • Выявлению фактов несанкционированного доступа к личным данным и незамедлительному принятию мер обеспечения безопасности с гарантией сохранности всех сведений.

  • Организации внутреннего многоуровневого контроля процесса обработки любых видов персональных данных в полном соответствии с действующим законодательно правовым полем и с соблюдением установленных норм по обеспечению защиты всего информационного поля организации.

  • В обязательном порядке доведение всех актуальных изменений в законодательстве России, напрямую касающиеся вопросов обработки любых видов информации, носящих персональные данные, до всех штатных работников Компании.  

  • Оперативное восстановление идентифицирующих информационных баз, подвергшихся хакерским атакам или попыткам взлома. 

  • Организация регламента работы по обеспечению защиты и гарантиям безопасности личных данных клиентов, при непосредственной обработке персональных сведений или работе с техническими устройствами, которые имеют прямое отношение к обработке персональных данных.  

  • Организации строгого учета автоматизированных носителей данных субъектов.

  • Установлению регламента доступа к личной информации, проходящей обработку в информационной базе персональных данных, а также обеспечению регистрации и записи всех действий, которые совершаются в данной системе как в автоматическом, так и не автоматическом режиме.

  • Оценке продуктивности вводимых мер по обеспечению гарантии защиты и безопасности личной информации до ввода в пользование информационной базы персональных данных.

8.2. С должностными обязанностями штатных работников, участвующих в непосредственной обработке персональных сведений клиентов, можно узнать, прочитав политику организации безопасности и защиты индивидуальных данных, здесь также можно узнать и о мере ответственности, которую несут данные работники.  

9. Перечень обязанностей сотрудника, занимающегося систематизацией, обработкой  и учетом любых персональных сведений клиентов  

9.1. Работник, на которого возложена ответственность за процесс систематизации и обеспечения безопасности индивидуальной информации:

  • Выстраивает многоуровневый внутренний контроль над соблюдением Организацией – законодательства Украины.

  • Информирует сотрудников об любых изменениях в законодательстве Украины о персональных сведениях, правовых актов по вопросам обработки персональных сведений, отдельных требований к защите персональных данных.

  • Организовывает регистрацию и учет обращений или заявок субъектов персональных сведений (также их законных представителей), осуществляет контроль и  систематизацию подобных обращений и запросов.

9.2. О правах, обязанностях и юридической ответственности лица, который отвечает за обработку и обеспечение сохранности личной информации, каждый желающий может узнать, обратившись к ФЗ-152 «О персональных данных» и «Положением о лице, ответственном за организацию обработки и обеспечение безопасности персональных данных» Организации, принятый 27 июня 2006 года.

9.3. Руководитель Организации, назначает (и освобождает) на должность ответственных за организацию обработки и обеспечение защиты личной информации. При этом, руководитель Организации, учитывает полномочия, компетенцию и личностную характеристику предполагаемого лица, на основе которых будет сделан выбор на соответствующую должность человека, который сможет в полной мере быть ответственным за свою деятельность по организации обработки и обеспечение безопасности персональных данных.