Меню
О компании
Основные сведения
Лицензии
Членство в СРО
Информация по делам о банкротстве ПУРЦБ (при наличии)
Информация о технических сбоях
Информация о доступе к раскрываемой информации
Реквизиты компании
Новости
Услуги
Депозитарные услуги
Брокерские услуги
Информация для клиентов
Общая информация
Брокерское обслуживание
Депозитарное обслуживание
Правовой режим
Использование информации
Содержание информации
Ограничение ответственности
FATCA
Требования по обновлению сведений
Инсайдерская информация
Антикоррупционная политика
Финансовая информация
Бухгалтерская отчетность
Расчет собственных средств (код формы по ОКУД 0420413)
Контакты
+7 (495) 215 10 83
Россия, г. Москва, 119415,
ул. Удальцова, д. 1А. Бизнес Центр, 8 этаж
Россия, г. Москва, 119415,
ул. Удальцова, д. 1А. Бизнес Центр, 8 этаж
mail@investnova.ru
+7 (495) 215 10 83
Поиск
О компании
Основные сведения
Лицензии
Членство в СРО
Информация по делам о банкротстве ПУРЦБ (при наличии)
Информация о технических сбоях
Информация о доступе к раскрываемой информации
Реквизиты компании
Новости
Услуги
Депозитарные услуги
Брокерские услуги
Информация для клиентов
Общая информация
Брокерское обслуживание
Депозитарное обслуживание
Правовой режим
Использование информации
Содержание информации
Ограничение ответственности
FATCA
Требования по обновлению сведений
Инсайдерская информация
Антикоррупционная политика
Финансовая информация
Бухгалтерская отчетность
Расчет собственных средств (код формы по ОКУД 0420413)
Контакты
Меню
О компании
Основные сведения
Лицензии
Членство в СРО
Информация по делам о банкротстве ПУРЦБ (при наличии)
Информация о технических сбоях
Информация о доступе к раскрываемой информации
Реквизиты компании
Новости
Услуги
Депозитарные услуги
Брокерские услуги
Информация для клиентов
Общая информация
Брокерское обслуживание
Депозитарное обслуживание
Правовой режим
Использование информации
Содержание информации
Ограничение ответственности
FATCA
Требования по обновлению сведений
Инсайдерская информация
Антикоррупционная политика
Финансовая информация
Бухгалтерская отчетность
Расчет собственных средств (код формы по ОКУД 0420413)
Контакты
+7 (495) 215 10 83
Россия, г. Москва, 119415,
ул. Удальцова, д. 1А. Бизнес Центр, 8 этаж
Россия, г. Москва, 119415,
ул. Удальцова, д. 1А. Бизнес Центр, 8 этаж
mail@investnova.ru
+7 (495) 215 10 83
Поиск
О компании
Основные сведения
Лицензии
Членство в СРО
Информация по делам о банкротстве ПУРЦБ (при наличии)
Информация о технических сбоях
Информация о доступе к раскрываемой информации
Реквизиты компании
Новости
Услуги
Депозитарные услуги
Брокерские услуги
Информация для клиентов
Общая информация
Брокерское обслуживание
Депозитарное обслуживание
Правовой режим
Использование информации
Содержание информации
Ограничение ответственности
FATCA
Требования по обновлению сведений
Инсайдерская информация
Антикоррупционная политика
Финансовая информация
Бухгалтерская отчетность
Расчет собственных средств (код формы по ОКУД 0420413)
Контакты
 /  Политика в отношении обработки персональных данных

Политика в отношении обработки персональных данных

1.              Общие положения

 

1.1.         Настоящая Политика в отношении обработки персональных данных (далее – Политика) подготовлена в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона «О персональных данных» №152-ФЗ от 27 июля 2006 г. (далее – 152-ФЗ «О персональных данных»), определяет случаи и особенности обработки персональных данных в ООО «ИнвестНова» (далее – Компания) и направлена на обеспечение законных прав и свобод субъекта персональных данных при организации и/или осуществлении обработки его персональных данных Компанией.

1.2.         Настоящая Политика составлена с учетом рекомендаций уполномоченного органа по защите прав субъектов персональных данных (далее – Роскомнадзор) по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном 152-ФЗ «О персональных данных».

1.3.         Настоящая Политика является основой для организации обработки и защиты персональных данных в Компании, в том числе для разработки локальных нормативных актов, регламентирующих порядок обработки и защиты персональных данных в Компании и определяет:

- основные права и обязанности Компании и субъектов персональных данных;

- цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов персональных данных, персональные данные которых обрабатываются, способы, сроки обработки и хранения персональных данных, порядок их уничтожения;

- правовые основания обработки персональных данных;

- порядок и условия обработки персональных данных;

- меры, направленные на обеспечение конфиденциальности и безопасности персональных данных;

- порядок рассмотрения обращений и/или запросов субъектов персональных данных.

1.4.         Организацию работы с персональными данными и материальными носителями персональных данных в дополнение к настоящей Политике регламентируют (не ограничиваясь) следующие локальные акты и иные документы Компании:

- Политика Кибербезопасности ООО «ИнвестНова»;

- Перечень должностей сотрудников ООО «ИнвестНова», замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

- Трудовые договоры с сотрудниками ООО «ИнвестНова».

 

2.              Основные понятия, используемые в Политике

 

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности субъекта персональных данных, позволяют установить (идентифицировать) его личность и используются Компанией для такого установления (идентификации) личности

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Бывший работник - физическое лицо, ранее состоявшее с Компанией в трудовых отношениях на основании заключенного трудового договора.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Материальный носитель персональных данных - бумажный, электронный и прочие носители информации, используемые для воспроизведения (в том числе копирования, скачивания, сохранения, записи) и/или хранения информации, содержащей персональные данные, обрабатываемой в автоматизированном виде (с использованием средств вычислительной техники) и не автоматизированном виде (без использования средств вычислительной техники).

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования.

Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Партнер – контрагент Компании, с которым у Компании заключен договор на передачу персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Смешанная обработка персональных данных – обработка персональных данных как с использованием автоматизированных средств, так и без применения средств автоматизации.

Специальные категории персональных данных - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также сведения о судимости.

Субъект персональных данных - физическое лицо, которое прямо или косвенно определено, или определяемо с помощью персональных данных;

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

 

3.              Права и обязанности субъекта персональных данных

 

3.1.         Субъект персональных данных имеет право:

- свободно, своей волей и в своем интересе предоставлять свои персональные данные и давать согласие на их обработку;

- отзывать свое согласие на обработку персональных данных;

- направлять Компании запросы и/или обращения, в том числе повторные, получать информацию, касающуюся обработки его персональных данных в порядке, форме и в сроки, установленные законодательством о персональных данных;

- требовать от Компании уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки;

- требовать от Компании прекращения обработки своих персональных данных в случаях, предусмотренных 152-ФЗ «О персональных данных»;

- заявлять возражение против решения, принятого исключительно на основании автоматизированной обработки персональных данных;

- обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если считает, что Компания осуществляет обработку его персональных данных с нарушением требований 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы;

- осуществлять иные права, предусмотренные законодательством о персональных данных.

3.2.         Субъект персональных данных обязан:

- сообщать Компании достоверную информацию о себе;

- сообщать Компании об изменении своих персональных данных.

3.3.         Субъект персональных данных может обращаться в Компанию по вопросам обработки своих персональных данных в следующих случаях:

- для получения информации, касающейся обработки его (субъекта) персональных данных:

- для уточнения своих персональных данных, их блокирования или уничтожения, если они являются неполными, устаревшими, неточными, незаконно полученными либо не являются необходимыми для заявленной цели обработки;

- для подачи жалобы на неправомерную обработку Компанией его (субъекта) персональных данных;

- для предъявления требования о прекращении обработки своих персональных данных, а также отзыва своего согласия на обработку персональных данных;

- для предъявления требования о прекращении передачи его персональных данных, ранее разрешенных субъектом для распространения.

3.4.         Согласно требованиям 152-ФЗ «О персональных данных», запрос должен содержать, в частности:

-  номер документа, удостоверяющего личность субъекта персональных данных (его представителя), сведения о дате выдачи указанного документа и выдавшем его органе;

- сведения, подтверждающие участие субъекта персональных данных в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Компанией;

- подпись субъекта персональных данных (его представителя);

- в случае, если запрос направлен представителем субъекта персональных данных, он должен содержать документ (копию документа), подтверждающий полномочия данного представителя.

3.5.         В случае отзыва субъектом персональных данных данного им согласия на обработку персональных данных соответствующий запрос должен быть передан по надлежащим каналам и должен содержать сведения, достаточные для определения отзываемого согласия, а также субъекта персональных данных.

 

4.              Права и обязанности Компании при обработке персональных данных

 

4.1.         Компания обязана:

- при обработке персональных данных соблюдать требования законодательства РФ в отношении обработки и защиты персональных данных, в том числе требования, предусмотренные для сбора персональных данных;

-  при сборе персональных данных с использованием информационно-телекоммуникационных сетей, опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Компании сайта в информационно-телекоммуникационной сети "Интернет", с использованием которых осуществляется сбор персональных данных, документ, определяющий ее политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;

- не раскрывать и не распространять персональные данные без согласия субъекта персональных данных, если для этого нет иных правовых оснований или иное не предусмотрено законодательством Российской Федерации;

- если в соответствии с законодательством предоставление персональных данных и (или) получение Компанией согласия на обработку персональных данных являются обязательными, Компания обязана разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные;

- если персональные данные получены не от субъекта персональных данных, за исключением случаев, предусмотренных 152-ФЗ «О персональных данных», до начала обработки таких персональных данных Компании обязан предоставить субъекту персональных данных следующую информацию:

-      наименование и адрес местонахождения Компании;

-      цель обработки персональных данных и ее правовое основание;

-      перечень персональных данных;

-      предполагаемые пользователи персональных данных;

-      права субъекта персональных данных;

-      источник получения персональных данных;

- при сборе персональных данных обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в 152-ФЗ «О персональных данных»;

- разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения;

- принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

- выполнять обязанности, предусмотренные для операторов персональных данных, при получении запросов и/или обращений по вопросам персональных данных от субъекта персональных данных и/или его представителя и/или уполномоченного органа;

- осуществлять обработку запросов субъектов персональных данных в соответствии с порядком, установленным в п. 13 настоящей Политики;

- устранять нарушения законодательства, допущенные при обработке персональных данных, а также выполнять обязанности по уточнению, блокированию и уничтожению персональных данных;

- выполнять иные обязанности, предусмотренные законодательством Российской Федерации.

4.2.         Компания имеет право:

- в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить их обработку без согласия субъекта персональных данных при наличии правовых оснований, установленных законодательством Российской Федерации;

- получить персональные данные от лица, не являющегося субъектом персональных данных, при условии предоставления Компании подтверждения наличия правовых оснований, установленных законодательством Российской Федерации.

- отказать субъекту персональных данных в предоставлении сведений об обработке его персональных данных в случаях, предусмотренных законодательством

- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством Российской Федерации;

- реализовывать иные права, предусмотренные законодательством Российской Федерации.

 

5.              Цели обработки персональных данных

 

5.1.         Обработка персональных данных в Компании осуществляется в заранее определенных целях. Для каждой цели обработки персональных данных в Компании определены:

- соответствующие категории и перечень обрабатываемых персональных данных;

- категории Субъектов персональных данных, персональные данные которых обрабатываются Компанией;

- способы и сроки обработки и хранения персональных данных.

5.2.         Компания осуществляет обработку персональных данных субъектов персональных данных в следующих целях:

- обеспечение соблюдения трудового законодательства.

- обеспечение соблюдение налогового, пенсионного законодательства и требований кадрового и бухгалтерского учета.

- командирование работников и осуществление взаимодействия с третьими лицами/партнерами Компании (в том числе иностранными) по вопросам заключения договоров и в рамках предоставления продуктов, сервисов и услуг Компании клиентам.

- анализ посещаемости сайта для улучшения его работы и определения предпочтений пользователя.

- подбор персонала (соискателей) на вакантные должности оператора.

- подготовка, заключение и исполнение и прекращение гражданско-правового договора.

- добровольное медицинское страхование;

- обеспечение соблюдения законодательства РФ о рынке ценных бумаг;

- обеспечение соблюдения законодательства РФ об обществах с ограниченной ответственностью;

- обеспечение соблюдения валютного законодательства РФ;

- получение образования и продвижение по службе;

- участие лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

- обеспечение соблюдения законодательства РФ о противодействии отмыванию доходов и финансированию терроризма;

- взаимодействие с субъектами персональных данных;

- формирование внутренних справочников.

5.3.         Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

6.      Категории и состав обрабатываемых персональных данных

 

6.1.          В зависимости от целей обработки, Компания может обрабатывать следующие персональные данные:

- персональные данные, необходимые Компании для заключения, исполнения и расторжения, прекращения договоров с субъектом персональных данных и/или юридическими лицами, представителем и/или контактным лицом которых является субъект персональных данных (включая ФИО, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, доходы, пол, адрес электронной почты,  номер телефона, адрес регистрации, адрес места жительства, сведения, необходимые для проверки добросовестности контрагента, данные доверенности, информация об отсутствии конфликтов интересов, подпись и иные персональные данные, обрабатываемые в рамках подготовки, заключения и исполнения договора).

- персональные данные, необходимые Компании для исполнения требований применимого права, включая 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», 224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации»;

- персональные данные, необходимые для осуществления прав и законных интересов Компании или третьих лиц;

- персональные данные, предоставленные субъектом персональных данных при регистрации в каналах Компании или  для использования продуктов и сервисов Компании, такие как ФИО, наименование учетной записи пользователя, адрес электронной почты, номер телефона, адрес и возраст;

- технические (аналитические) данные, обрабатываемые в целях анализа посещаемости сайта для улучшения его работы и определения предпочтений пользователя, формируемые устройствами субъекта персональных данных при взаимодействии с сетью «Интернет» (HTTP-заголовки, IP-адрес, файлы cookie, веб-маяки/пиксельные теги, данные об идентификаторе браузера, информация об аппаратном и программном обеспечении, данные сети wi-fi); дата и время осуществления доступа к сайтам и/или продуктам и сервисам Компании; Информация об активности субъекта персональных данных во время использования сайтов и/или продуктов и сервисов Компании;

 

- информация о субъекте персональных данных, которую Компания получает от партнеров в соответствии с условиями соглашений, заключенных между субъектом персональных данных и соответствующим партнером, и соглашений, заключенных между Компанией и партнером;

- персональные данные, разрешенные субъектом персональных данных для распространения, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном 152-ФЗ «О персональных данных»;

- иные персональные данные, для обработки которых у Компании есть необходимые правовые основания в соответствии с целями сбора таких данных, в том числе иная информация о субъекте персональных данных, необходимая для обработки в соответствии с условиями, регулирующими использование конкретных продуктов или сервисов Компании.

6.2.         Компания целенаправленно не собирает специальные категории персональных данных («чувствительную персональную информацию», такую как расовое происхождение, национальное происхождение, политические взгляды, религиозные или философские убеждения, информация о здоровья, интимной жизни) и сведения, которые характеризуют физиологические и биологические особенности человека (биометрические персональные данные), за исключением случаев, предусмотренных пользовательскими соглашениями отдельных продуктов и сервисов. Тем не менее, субъект персональных данных может самостоятельно предоставить их Компании, и в таком случае Компания будет обрабатывать их в рамках предоставления субъекту персональных данных продуктов и сервисов.

7.              Правовые основания обработки персональных данных

 

7.1.         Правовыми основаниями обработки персональных данных Компании являются:

- согласие субъекта персональных данных на обработку его персональных данных;

- необходимость достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Компанию функций, полномочий и обязанностей, включая, но не ограничиваясь, положениями следующих нормативных актов:

- Гражданский кодекс Российской Федерации;

- Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;

- Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ;

- Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ;

- Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ;

- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете в Российской Федерации»;

- Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

- Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;

- Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;

- Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;

- Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;

- Федеральный закон от 26.02.1997 № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации»;

- Федеральный закон от 26.12.1995 N 208-ФЗ «Об акционерных обществах»;

- Федеральный закон от 08.08.2001 N 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»;

- Федеральный закон от 07.08.2001 N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;

- необходимость исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

- необходимость защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

- необходимость осуществления прав и законных интересов Компании или третьих лиц, в том числе для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

- обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;

- легитимный интерес Компании и другие правовые основания, предусмотренные применимым правом, в отношении персональных данных, обработка которых подпадает под обязательное действие нормативно-правовых актов иных стран кроме РФ, например, Общий регламент защиты персональных данных (GDPR) Европейского союза.

 

8.               Порядок и условия обработки персональных данных

 

8.1.         Для каждой из целей, указанной в п. 5 настоящей Политики предусмотрены следующие способы обработки персональных данных:

- неавтоматизированная обработка персональных данных;

- автоматизированная обработка персональных данных;

- смешанная обработка персональных данных.

8.2.         Компания осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление и уничтожение персональных данных.

8.3.         Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

8.4.          Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с учетом наличия условий и запретов в отношении передаваемых персональных данных.

8.5.          Сбор и дальнейшая обработка персональных данных, разрешенных субъектом персональных данных для распространения, допускается только в целях, указанных в согласии субъекта персональных данных, либо в иных целях, в соответствии с положениями ч. 1 ст. 6 ФЗ-152 «О персональных данных».

 

9.     Сроки обработки и хранения персональных данных

 

9.1.         Сроки обработки и хранения персональных данных для каждой указанной в п. 5  настоящей Политики цели обработки персональных данных устанавливаются с учетом соблюдения требований, в том числе условий обработки персональных данных, определенных законодательством Российской Федерации, и/или с учетом положений договора, стороной, выгодоприобретателем или поручителем по которому выступает субъект персональных данных, и/или согласия субъекта персональных данных на обработку его персональных данных, при этом обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено законодательством Российской Федерацией.

9.2.         Персональные данные субъектов персональных данных хранятся как на электронных, так и на бумажных носителях персональных данных.

9.3.         Бумажные носители персональных данных хранятся только в местах, определенных в перечне мест хранения бумажных носителей персональных данных Компании.

9.4.         Документы на бумажных носителях хранятся в папках в надежно запираемых сейфах/шкафах в помещениях Компании, электронные носители хранятся в специально выделенных помещениях, доступ к которым предоставляется работникам в соответствии с исполняемыми должностными обязанностями.

9.5.         Сроки обработки персональных данных устанавливаются с учетом соблюдения требований, в том числе условий обработки персональных данных, определенных 152-ФЗ «О персональных данных» в соответствии с:

- целями обработки персональных данных;

- приказом Росархива от 20.12.2019 №236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;

- договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;

 

10. Порядок уничтожения персональных данных

 

10.1.      Уничтожение персональных данных, обработка которых осуществляется в рамках целей, указанных в п.5 производится в следующих случаях:

- при достижении цели (целей) обработки персональных данных или в случае утраты необходимости в достижении цели (целей) обработки персональных данных, если иное не установлено законодательством и/или иными применимыми нормативными правовыми актами РФ;

- при выявлении факта неправомерной обработки персональных данных в соответствии с порядком, указанным в п. 13.8. настоящей Политики;

- при отзыве субъектом персональных данных согласия на обработку персональных данных в соответствии с порядком, предусмотренным п. 13.10. настоящей Политики, если Компания не вправе осуществлять обработку персональных данных без согласия субъекта на основаниях, предусмотренных 152-ФЗ «О персональных данных» или иными федеральными законами;

- при предъявлении субъектом персональных данных требования о прекращении обработки персональных данных в соответствии с п. 13.11. настоящей Политики, если иное не установлено законодательством.

10.2.      В случае отсутствия у Компании правовых оснований на обработку персональных данных (условий обработки персональных данных) Компания в порядке, установленном законодательством, производит уничтожение персональных данных или обеспечивает их уничтожение (если обработка персональных данных осуществляется лицом, действующим по поручению Компании). Уничтожение производится посредством осуществления действий, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных. По результатам проведенного уничтожения составляется акт об уничтожении персональных данных и формируется запись в электронном журнале регистрации событий в информационной системе персональных данных, в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, к документированию уничтожения персональных данных, или, в случае утраты силы, признания недействующим указанных требований полностью или в части, в соответствии с положениями законодательства РФ.

10.3.      Способы уничтожения персональных данных определяются локальными актами Компании по вопросам обработки и защиты персональных данных в зависимости от способов обработки персональных данных и материальных носителей персональных данных, на которых осуществляется запись и хранение персональных данных.

 

11.           Условия передачи персональных данных

 

11.1.      Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого договора.

11.2.      Лицо, осуществляющее обработку персональных данных по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные 152-ФЗ «О персональных данных» и настоящей Политикой, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законодательством.

11.3.      В соответствии с требованиями 152-ФЗ «О персональных данных» в договорах с лицами, осуществляющими обработку персональных данных по поручению Компании, должен быть определен перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, установлены обязанности такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 152-ФЗ «О персональных данных», обязанность лица, осуществляющего обработку персональных данных по поручению Компании в течение срока действия поручения по запросу последней, в том числе до начала обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Компании требований, установленных 152-ФЗ «О персональных данных», обязанность обеспечивать безопасность персональных данных при их обработке, а также  должны быть указаны требования к защите обрабатываемых персональных в соответствии с статьей 19 152-ФЗ «О персональных данных», в том числе требование об уведомлении Компании о случаях, предусмотренных частью 3.1 статьи 21 152-ФЗ «О персональных данных».

11.4.      Персональные данные субъектов персональных данных могут передаваться следующим третьим лицам:

Партнеры, контрагенты и иные лица (при наличии правовых оснований на подобную передачу) и при условии соблюдения требований законодательства Российской Федерации. Указанные перечни могут быть скорректированы в случае изменения состава.

11.5.      Трансграничная передача персональных данных осуществляется с учетом условий и ограничений, установленных законодательством. До начала трансграничной передачи персональных данных проводится оценка мер, принимаемых третьим лицом/иным лицом (если применимо), которому планируется трансграничная передача персональных данных, по обеспечению конфиденциальности и безопасности персональных данных. О планируемой трансграничной передаче персональных данных Компания уведомляет уполномоченный орган по защите персональных данных в порядке, предусмотренном законодательством Российской Федерации.

 

12.           Обеспечение конфиденциальности и безопасности персональных данных при их обработке

 

12.1.      Безопасность персональных данных, обрабатываемых Компанией, обеспечивается принятием правовых, организационных и технических мер, определенных действующим законодательством Российской Федерации, а также внутренними нормативными документами Компании в области защиты информации.

12.2.      Обеспечение Компанией защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных достигается, в частности, следующими принятыми мерами:

- назначение лица, ответственного за организацию обработки персональных данных;

- назначение лица, ответственного за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных;

- определение перечня работников, имеющих доступ к персональным данным; 

- разработка и утверждение организационно-распорядительных документов, определяющих порядок обработки персональных данных;

- определение перечня мест хранения материальных носителей персональных данных;

- организация порядка уничтожения персональных данных по истечении срока их обработки;

- учет машинных носителей персональных данных;

- определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

- проведение внутренних проверок за соблюдением требований по обеспечению безопасности персональных данных;

- ознакомление работников Компании, осуществляющих обработку персональных данных, с требованиями законодательства Российской Федерации, организационно-распорядительными документами Компании, определяющими порядок обработки и обеспечения безопасности персональных данных;

- повышение уровня осведомленности работников о требованиях по обеспечению безопасности персональных данных;

- проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ «О персональных данных»;

- физическая защита помещений, в которых осуществляется обработка персональных данных (пропускной режим, электронная система доступа в помещения, видеонаблюдение);

- обеспечение антивирусной защиты информационных систем персональных данных;

- обновление программного обеспечения на регулярной основе;

- защита сетевой инфраструктуры (разграничение доступа, межсетевое экранирование);

- обеспечение отказоустойчивости и резервного копирования;

- определение правил доступа к персональным данным, обрабатываемых в информационных системах персональных данных;

- регистрация и учет событий информационной безопасности;

- определение порядка реагирования на инциденты информационной безопасности;

- проведение внешних тестирований на проникновение;

- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.

12.3.      Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, достигается путем исключения несанкционированного, в том числе случайного доступа к персональным данным.

12.4.      Обмен персональными данными при их обработке в информационных системах персональных данных осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и применения программных и технических средств в соответствии со ст. 19 152-ФЗ «О персональных данных».

12.5.      В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных Компанией принимаются меры по установлению причин нарушений и их устранению с момента обнаружения таких нарушений.

12.6.      Обеспечение конфиденциальности персональных данных, обрабатываемых Компанией, является обязательным требованием для всех работников Компании, допущенных к обработке персональных данных в связи с исполнением трудовых обязанностей. Все работники, имеющие действующие трудовые отношения, деятельность которых связана с получением, обработкой и защитой персональных данных, подписывают соглашение о конфиденциальности, проходят инструктажи по обеспечению информационной безопасности под подпись и несут персональную ответственность за соблюдение требований по обработке и обеспечению безопасности персональных данных.

 

13.           Порядок рассмотрения запросов и/или обращений субъектов персональных данных. Актуализация, исправление, удаление и уничтожение персональных данных

 

13.1.      Запросы субъектов персональных данных или их представителей принимаются по адресу: Российская Федерация, г. Москва, ул. Удальцова, д. 1А., БЦ «Удальцова-Плаза», 8 этаж    mail@investnova.ru

13.2.      Предоставление информации и/или принятие мер в связи с поступлением обращений и/или запросов от субъектов персональных данных производится Компанией в объеме и сроки, предусмотренные законодательством Российской Федерации. Установленный 152-ФЗ «О персональных данных» срок ответа субъекту на обращение и/или запрос о предоставлении информации, касающейся обработки его персональных данных, может быть продлен на основании установленных законодательством ограничений с направлением в адрес субъекта персональных данных мотивированного уведомления, содержащего сведения о причинах продления срока предоставления запрашиваемой информации.

13.3.      Компания, получив обращение и/или запрос субъекта персональных данных и убедившись в его законности, предоставляет субъекту персональных данных и/или его представителю, обладающему полномочиями на представление интересов субъекта персональных данных, сведения, указанные в запросе, в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе, и/или принимает иные меры в зависимости от специфики (особенностей) обращения и/или запроса. Предоставляемые Компанией сведения не могут содержать персональные данные, принадлежащие другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

13.4.      Компания вправе отказать субъекту персональных данных в удовлетворении требований, указанных в обращении и/или запросе, путем направления субъекту персональных данных или его представителю мотивированного отказа, если у Компании в соответствии с законодательством Российской Федерации имеются законные основания отказать в выполнении/удовлетворении поступивших требований.

13.5.      Субъект персональных данных может повторно обратиться в Компанию для получения информации, касающейся обработки его (субъекта) персональных данных не ранее, чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса (в случае, если указанные сведения были предоставлены). В случае, если субъекту персональных данных была предоставлена информация не в полном объеме по результатам рассмотрения первоначального обращения, субъект может повторно обратиться в Компанию раньше установленного срока, указав обоснование направления повторного запроса.

13.6.      Компания вправе отказать субъекту персональных данных в выполнении повторного запроса в целях получения информации, касающейся обработки его персональных данных при наличии доказательств обоснованности отказа.

13.7.      В случае выявления неправомерной обработки персональных данных или неточных персональных данных Компания обеспечивает блокирование персональных данных (в том числе при обработке персональных данных другим лицом, действующим по поручению Компании) с момента получения Компанией такого обращения на период проведения проверки.

13.8.      В случае выявления неправомерной обработки персональных данных Компания в срок, не превышающий трех рабочих дней с даты этого выявления обеспечивает прекращение неправомерной обработки персональных данных (осуществляет блокирование указанных персональных данных) (в том числе при обработке персональных данных другим лицом, действующим по поручению Компании). В случае, если обеспечить правомерность обработки персональных данных невозможно, Компания обязана уничтожить такие персональные данные или обеспечить их уничтожение в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных. Об устранении допущенных нарушений или об уничтожении персональных данных Компания обязана уведомить субъекта персональных данных или его представителя, либо уполномоченный орган по защите прав субъектов персональных данных (при направлении запроса последним).

13.9.      В случае подтверждения факта неточности персональных данных Компания обеспечивает уточнение персональных данных (в том числе при обработке персональных данных другим лицом, действующим по поручению Компании), в течение семи рабочих дней со дня представления таких сведений.

13.10.   В случае отзыва субъектом персональных данных согласия на обработку его персональных данных, Компания обеспечивает уничтожение персональных данных (в том числе при обработке персональных данных третьим лицом, действующим по поручению Компании), в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Компанией и субъектом персональных данных, либо если Компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных 152-ФЗ «О персональных данных» или другими федеральными законами.

13.11.   В случае обращения субъекта персональных данных к Компании с требованием о прекращении обработки персональных данных, Компания в срок, не превышающий десяти рабочих дней с даты получения соответствующего требования, прекращает их обработку или обеспечивает прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных по поручению Компании), за исключением случаев, когда Компания вправе обрабатывать персональные данные субъекта на ином правовом основании.

13.12.   При поступлении в Компанию требования субъекта персональных данных о прекращении передачи его персональных данных, ранее разрешенных для распространения, Компания обязана прекратить передачу персональных данных в течение трех рабочих дней с момента получения указанного требования или в срок, указанный во вступившем в законную силу решении суда, если такой срок был указан.

13.13.   В случае отсутствия возможности уничтожения персональных данных в течение установленного срока, Компания обеспечивает блокирование таких персональных данных (в том числе при обработке персональных данных третьим лицом, действующим по поручению Компании), и обеспечивает уничтожение персональных данных в срок, предусмотренный законодательством Российской Федерации.

 

14.           Заключительные положения

 

14.1.      Настоящая Политика является общедоступным документом и подлежит размещению в общем доступе в офисе Компании

14.2.      В случае неисполнения положений настоящей Политики Компания несет ответственность в соответствии с законодательством Российской Федерации.

14.3.      Ответственность Работников Компании, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними нормативными и организационно-распорядительными документами Компании.