POSIZIONE
sulla protezione dei dati personali
Clienti (abbonati)
in LLC Ortes-Finance
Termini e definizioni
1.1. Dati personali- qualsiasi informazione relativa a una persona specifica (soggetta a dati personali) definita o determinata sulla base di tali informazioni, inclusi cognome, nome, secondo nome, anno, mese, data e luogo di nascita, indirizzo, indirizzo e-mail, numero di telefono, famiglia , sociale, stato della proprietà, istruzione, professione, reddito, altre informazioni.
1.2. Elaborazione di dati personali- azioni (operazioni) con dati personali, inclusi raccolta, sistematizzazione, accumulazione, conservazione, chiarimento (aggiornamento, modifica), uso, distribuzione (compreso il trasferimento), depersonalizzazione, blocco.
1.3. Riservatezza dei dati personali- l'obbligo di conformarsi alla persona responsabile designata che ha ottenuto l'accesso ai dati personali è un obbligo di non consentire la loro diffusione senza il consenso del soggetto o altra base giuridica.
1.4. Diffusione dei dati personali- azioni finalizzate al trasferimento di dati personali a una determinata cerchia di persone (trasferimento di dati personali) o alla conoscenza di dati personali di una cerchia di persone illimitata, compresa la divulgazione di dati personali nei media, la pubblicazione di informazioni e reti di telecomunicazione o la fornitura dell'accesso ai dati personali mediante i quali in qualsiasi altro modo.
1.5. Utilizzo dei dati personali- azioni (operazioni) con dati personali commessi al fine di prendere decisioni o intraprendere altre azioni che danno origine a conseguenze legali in relazione ai soggetti dei dati personali o che incidono in altro modo sui loro diritti e libertà o sui diritti e le libertà altrui.
1.6. Blocco dei dati personali- sospensione temporanea della raccolta, sistematizzazione, accumulazione, uso, diffusione dei dati personali, compreso il loro trasferimento.
1.7. Distruzione di dati personali- azioni a seguito delle quali è impossibile ripristinare il contenuto dei dati personali nel sistema di informazione dei dati personali o a seguito della quale i vettori materiali di dati personali vengono distrutti.
1.8. Anonimizzazione dei dati personali- azioni, a seguito delle quali è impossibile senza l'uso di informazioni aggiuntive per determinare la proprietà dei dati personali a un soggetto specifico.
1.9. Dati personali disponibili al pubblico- dati personali, accesso a una cerchia illimitata di persone alle quali viene fornito il consenso del soggetto o alle quali, in conformità con le leggi federali, non si applica il requisito della riservatezza.
1.10. informazioni- informazioni (messaggi, dati) indipendentemente dalla forma della loro presentazione.
1.11. Cliente (soggetto dei dati personali)- un singolo consumatore dei servizi di Ortes-Finance LLC, di seguito denominato "Organizzazione".
1.12. operatore- un ente statale, un ente municipale, una persona fisica o giuridica, indipendentemente o congiuntamente con altre persone, che organizza e (o) elabora i dati personali, nonché determina le finalità del trattamento dei dati personali, la composizione dei dati personali da elaborare, le azioni (operazioni) eseguite con dati personali. Ai sensi del presente regolamento, l'operatore è la società a responsabilità limitata Ortes-Finance;
2. Disposizioni generali.
2.1. Il presente regolamento sul trattamento dei dati personali (di seguito - il regolamento) è sviluppato in conformità con la Costituzione della Federazione Russa, il Codice civile della Federazione Russa, la Legge federale "Informazioni, tecnologie dell'informazione e protezione delle informazioni", Legge federale 152-ФЗ "Dati personali", altro leggi federali.
2.2. Lo scopo dell'elaborazione del regolamento è determinare il trattamento e la protezione dei dati personali di tutti i clienti dell'organizzazione i cui dati devono essere elaborati, in base all'autorità dell'operatore; assicurare la protezione dei diritti e delle libertà dell'uomo e dei cittadini nel trattamento dei suoi dati personali, compresa la tutela dei diritti alla privacy, dei segreti personali e familiari, nonché stabilire la responsabilità dei funzionari con accesso ai dati personali per il mancato rispetto dei requisiti delle norme che regolano il trattamento e protezione dei dati personali.
2.3. L'ordine di entrata in vigore e le modifiche al regolamento
2.3.1. Il presente regolamento entra in vigore dopo la sua approvazione da parte del direttore generale dell'Organizzazione e ha validità indefinita, fino a quando non viene sostituito da un nuovo regolamento.
2.3.2. Le modifiche al regolamento vengono apportate sulla base degli ordini del direttore generale dell'organizzazione.
3. La composizione dei dati personali.
3.1. La composizione dei dati personali dei clienti, tra cui:
3.1.1. Cognome, nome, patronimico.
3.1.2. Anno di nascita
3.1.3. Mese di nascita
3.1.4. Data di nascita
3.1.5. Luogo di nascita
3.1.6. Dati del passaporto
3.1.7. Indirizzo email
3.1.8. Numero di telefono (casa, cellulare).
3.2. I seguenti documenti e informazioni possono essere creati (creati, creati, raccolti) e archiviati nell'organizzazione, anche in formato elettronico, contenenti dati sui clienti:
3.2.1. Domanda di esame sulla possibilità di collegare un individuo.
3.2.2. Contratto (offerta pubblica).
3.2.3. Conferma dell'adesione al contratto.
3.2.5. Copie di documenti di identità, nonché di altri documenti forniti dal Cliente e contenenti dati personali.
3.2.6. Dati di pagamento per ordini (beni / servizi) contenenti pagamento e altri dettagli del Cliente.
4. Lo scopo del trattamento dei dati personali.
4.1. Lo scopo del trattamento dei dati personali è l'implementazione di una serie di azioni volte a raggiungere l'obiettivo, tra cui:
4.1.1. Fornitura di servizi di consulenza e informazione.
4.1.2. Altre transazioni non vietate dalla legge, nonché una serie di azioni con dati personali necessari per l'esecuzione delle transazioni di cui sopra.
4.1.3. Al fine di rispettare i requisiti della legislazione della Federazione Russa.
4.2. La cessazione del trattamento dei dati personali è la liquidazione dell'Organizzazione, nonché il corrispondente requisito del Cliente.
5. Raccolta, elaborazione e protezione dei dati personali.
5.1. La procedura per ottenere (raccogliere) dati personali:
5.1.1. Tutti i dati personali del Cliente devono essere ottenuti da lui personalmente con il suo consenso scritto, ad eccezione dei casi specificati nelle clausole 5.1.4 e 5.1.6 del presente regolamento e in altri casi previsti dalle leggi della Federazione Russa.
5.1.2. Il consenso del cliente all'utilizzo dei suoi dati personali è archiviato nell'organizzazione in formato cartaceo e / o elettronico.
5.1.3. Il consenso del soggetto al trattamento dei dati personali è valido per l'intera durata del contratto, nonché per 5 annidalla data di cessazione del rapporto contrattuale del Cliente con l'Organizzazione. Dopo la scadenza del periodo specificato, il consenso è considerato prorogato per i prossimi cinque anni in assenza di informazioni sul suo ritiro.
5.1.4. Se i dati personali del Cliente possono essere ottenuti solo da una terza parte, il Cliente deve essere preventivamente informato e il consenso scritto deve essere ottenuto da lui. Una terza parte che fornisce i dati personali del Cliente deve avere il consenso dell'interessato al trasferimento dei dati personali dell'Organizzazione. L'organizzazione è obbligata a ricevere la conferma da una terza parte che trasmette i dati personali del Cliente che i dati personali vengono trasmessi con il suo consenso. L'organizzazione è tenuta, in collaborazione con terze parti, a concludere un accordo con loro sulla riservatezza delle informazioni relative ai dati personali dei clienti.
5.1.5. L'organizzazione è tenuta a informare il Cliente in merito agli obiettivi, alle presunte fonti e ai metodi per ottenere i dati personali, nonché alla natura dei dati personali da ricevere e alle conseguenze del rifiuto dei dati personali da parte del Cliente di dare il consenso scritto a riceverli.
5.1.6. Il trattamento dei dati personali dei clienti senza il loro consenso viene effettuato nei seguenti casi:
5.1.6.1. I dati personali sono disponibili al pubblico.
5.1.6.2. Su richiesta di enti statali autorizzati nei casi previsti dalla legge federale.
5.1.6.3. Il trattamento dei dati personali viene effettuato sulla base della legge federale che stabilisce il suo scopo, le condizioni per ottenere i dati personali e la cerchia di entità i cui dati personali sono soggetti al trattamento, nonché determinare i poteri dell'operatore.
5.1.6.4. Il trattamento dei dati personali viene effettuato al fine di concludere ed eseguire un contratto, una delle parti delle quali è oggetto di dati personali: il Cliente.
5.1.6.5. Il trattamento dei dati personali viene effettuato a fini statistici, subordinatamente alla spersonalizzazione obbligatoria dei dati personali.
5.1.6.6. Negli altri casi previsti dalla legge.
5.1.7. L'organizzazione non ha il diritto di ricevere ed elaborare dati personali del Cliente in merito alla sua razza, nazionalità, opinioni politiche, convinzioni religiose o filosofiche, stato di salute, vita intima.
5.2. La procedura per il trattamento dei dati personali:
5.2.1. L'interessato fornisce all'organizzazione informazioni attendibili su se stesso.
5.2.2. Solo i dipendenti dell'Organizzazione a cui è consentito lavorare con i dati personali del Cliente e che hanno firmato il Contratto sulla non divulgazione dei dati personali del Cliente possono avere accesso al trattamento dei dati personali dei Clienti.
5.2.3. Il diritto di accedere ai dati personali del Cliente all'interno dell'Organizzazione è:
Direttore Generale dell'Organizzazione;
Dipendenti responsabili dei calcoli finanziari (manager, contabile).
Dipendenti del dipartimento Rapporti con i clienti (responsabile vendite, responsabile).
Dipendenti IT (direttore tecnico, amministratore di sistema).
Il cliente, in quanto soggetto di dati personali.
5.2.3.1. L'elenco dei dipendenti dell'organizzazione con accesso ai dati personali dei clienti è determinato per ordine del direttore generale dell'organizzazione.
5.2.4. Il trattamento dei dati personali del Cliente può essere effettuato esclusivamente per le finalità stabilite dal Regolamento e rispetto delle leggi e di altri atti normativi della Federazione Russa.
5.2.5. Nel determinare il volume e il contenuto dei dati personali trattati, l'Organizzazione deve essere guidata dalla Costituzione della Federazione Russa, dalla legge sui dati personali e da altre leggi federali.
5.3. Protezione dei dati personali:
5.3.1. La protezione dei dati personali del Cliente implica una serie di misure (organizzative, amministrative, tecniche, legali) volte a prevenire l'accesso non autorizzato o accidentale ad essi, distruzione, modifica, blocco, copia, distribuzione di dati personali di entità, nonché da altre azioni illegali.
5.3.2. La protezione dei dati personali del Cliente viene effettuata a spese dell'Organizzazione secondo le modalità previste dalla legge federale della Federazione Russa.
5.3.3. L'organizzazione, pur proteggendo i dati personali dei Clienti, adotta tutte le misure organizzative, amministrative, legali e tecniche necessarie, tra cui:
Protezione antivirus.
Analisi di sicurezza.
Rilevazione e prevenzione delle intrusioni.
Controllo degli accessi.
Registrazione e contabilità.
Garantire l'integrità.
Organizzazione di atti normativi e metodologici locali che regolano la protezione dei dati personali.
5.3.4. L'organizzazione generale per la protezione dei dati personali dei clienti è svolta dal direttore generale dell'organizzazione.
5.3.5. L'accesso ai dati personali del Cliente viene fornito ai dipendenti dell'Organizzazione che necessitano di dati personali in relazione allo svolgimento delle loro mansioni lavorative.
5.3.6. Tutti i dipendenti associati alla ricezione, al trattamento e alla protezione dei dati personali dei clienti sono tenuti a firmare un accordo sulla non divulgazione dei dati personali dei clienti.
5.3.7. La procedura per ottenere l'accesso ai dati personali del Cliente comprende:
Familiarizzazione dell'impiegato contro firma con il presente regolamento. In presenza di altri atti normativi (ordini, istruzioni, istruzioni, ecc.) Che regolano il trattamento e la protezione dei dati personali del Cliente, anche questi atti vengono rivisti con la firma.
Richiesta al dipendente (ad eccezione del Direttore Generale) di un obbligo scritto di mantenere la riservatezza dei dati personali dei Clienti e di rispettare le regole per il loro trattamento in conformità con le normative locali interne dell'organizzazione che regolano la sicurezza delle informazioni riservate.
5.3.8. Un dipendente dell'organizzazione che ha accesso ai dati personali dei clienti in relazione all'esercizio delle funzioni lavorative:
Fornisce l'archiviazione di informazioni contenenti dati personali del Cliente, escluso l'accesso a terzi.
In assenza di un dipendente sul posto di lavoro, non dovrebbero esserci documenti contenenti dati personali dei clienti.
Quando va in vacanza, durante un viaggio d'affari e in altri casi di una prolungata assenza di un dipendente sul posto di lavoro, è obbligato a trasferire documenti e altri media contenenti dati personali dei Clienti alla persona che verrà assegnata per adempiere al suo atto locale della Società (ordine, ordine) mansioni lavorative.
Se tale persona non viene nominata, i documenti e altri media contenenti i dati personali dei Clienti vengono trasferiti a un altro dipendente che ha accesso ai dati personali dei Clienti come indicato dal Direttore Generale dell'Organizzazione.
In caso di licenziamento di un dipendente che ha accesso ai dati personali dei clienti, i documenti e altri media contenenti dati personali dei clienti vengono trasferiti a un altro dipendente che ha accesso ai dati personali dei clienti come indicato dal Direttore Generale.
Al fine di svolgere l'attività assegnata e sulla base di una nota con una risoluzione positiva del Direttore Generale, l'accesso ai dati personali del Cliente può essere fornito a un altro dipendente. È vietata l'ammissione ai dati personali del Cliente di altri dipendenti dell'Organizzazione che non hanno un accesso progettato in modo adeguato.
5.3.9. Il responsabile delle risorse umane fornisce:
Familiarizzazione dei dipendenti contro firma con il presente regolamento.
Esigere dai dipendenti l'obbligo scritto di mantenere la riservatezza dei dati personali del Cliente (accordo di non divulgazione) e di rispettare le regole per il loro trattamento.
Controllo generale sull'osservanza da parte dei dipendenti delle misure di protezione dei dati personali del Cliente.
5.3.10. La protezione dei dati personali dei clienti archiviati nelle banche dati elettroniche dell'Organizzazione da accessi non autorizzati, distorsione e distruzione di informazioni, nonché da altre azioni illegali, è fornita dall'amministratore di sistema.
5.4. Conservazione dei dati personali:
5.4.1. I dati personali dei clienti su carta sono archiviati in cassette di sicurezza.
5.4.2. I dati personali dei clienti sono archiviati elettronicamente nella rete informatica locale dell'organizzazione, in cartelle e file elettronici nei personal computer del direttore generale e dipendenti autorizzati a trattare i dati personali dei clienti.
5.4.3. I documenti contenenti dati personali dei Clienti sono archiviati in armadietti (cassette di sicurezza) che forniscono protezione contro l'accesso non autorizzato. Alla fine della giornata lavorativa, tutti i documenti contenenti dati personali dei Clienti sono collocati in armadietti (cassette di sicurezza) che forniscono protezione contro l'accesso non autorizzato.
5.4.4. L'accesso ai database elettronici contenenti i dati personali dei clienti è protetto da:
Utilizzo di programmi antivirus e anti-hacker autorizzati che non consentono l'accesso non autorizzato alla rete locale dell'organizzazione.
Differenziazione dei diritti di accesso tramite un account.
Sistema di password in due passaggi: a livello di rete di computer locale ea livello di database. Le password sono impostate dall'amministratore di sistema dell'organizzazione e sono comunicate individualmente ai dipendenti che hanno accesso ai dati personali dei clienti.
5.4.4.1. L'accesso non autorizzato al PC, che contiene i dati personali dei Clienti, è bloccato da una password impostata dall'amministratore di sistema e non è soggetta a divulgazione.
5.4.4.2. Tutte le cartelle e i file elettronici contenenti dati personali dei Clienti sono protetti da una password, impostata dal dipendente dell'Organizzazione responsabile per il PC e comunicata all'amministratore di sistema.
5.4.4.3. La modifica delle password da parte dell'amministratore di sistema viene effettuata almeno 1 volta in 3 mesi.
5.4.5. La copia e l'estrazione di dati personali del Cliente è consentita esclusivamente a scopi ufficiali con l'autorizzazione scritta del Direttore Generale dell'Organizzazione.
5.4.6. Le risposte a richieste scritte di altre organizzazioni e istituzioni in merito ai dati personali dei Clienti sono fornite solo con il consenso scritto del Cliente stesso, salvo diversamente disposto dalla legge. Le risposte sono formulate per iscritto, sulla carta intestata dell'Organizzazione e nella misura in cui ciò consente di non divulgare l'eccessiva quantità di dati personali del Cliente.
6. Blocco, depersonalizzazione, distruzione dei dati personali
6.1. La procedura per bloccare e sbloccare i dati personali:
6.1.1. Il blocco dei dati personali dei clienti viene effettuato con un'applicazione scritta del cliente.
6.1.2. Il blocco dei dati personali implica:
6.1.2.2. Il divieto di distribuzione di dati personali con qualsiasi mezzo (e-mail, comunicazioni mobili, mezzi tangibili).
6.1.2.4. La rimozione di documenti cartacei relativi al Cliente e contenenti i suoi dati personali dalla gestione interna dei documenti dell'Organizzazione e il divieto del loro utilizzo.
6.1.3. Il blocco dei dati personali del Cliente può essere temporaneamente revocato se è necessario rispettare la legislazione della Federazione Russa.
6.1.4. Lo sblocco dei dati personali del Cliente viene effettuato con il suo consenso scritto (se è necessario ottenere il consenso) o l'applicazione del Cliente.
6.1.5. Il consenso ripetuto del Cliente al trattamento dei suoi dati personali (se necessario per ottenerlo) comporta lo sblocco dei suoi dati personali.
6.2. La procedura per la spersonalizzazione e la distruzione dei dati personali:
6.2.1. La depersonalizzazione dei dati personali del Cliente avviene su una domanda scritta del Cliente, a condizione che tutti i rapporti contrattuali siano stati completati e siano trascorsi almeno 5 anni dalla data della fine dell'ultimo contratto.
6.2.2. In caso di spersonalizzazione, i dati personali nei sistemi di informazione sono sostituiti da un set di caratteri, in base al quale è impossibile determinare se i dati personali appartengono a un cliente specifico.
6.2.3. I documenti cartacei quando vengono resi anonimi i dati personali vengono distrutti.
6.2.4. L'organizzazione è obbligata a garantire la riservatezza dei dati personali se è necessario testare i sistemi di informazione sul territorio dello sviluppatore e depersonalizzare i dati personali nei sistemi di informazione trasmessi allo sviluppatore.
6.2.5. La distruzione dei dati personali del Cliente implica la cessazione di qualsiasi accesso ai dati personali del Cliente.
6.2.6. Nel distruggere i dati personali del Cliente, i dipendenti dell'Organizzazione non possono accedere ai dati personali del soggetto nei sistemi di informazione.
6.2.7. I documenti cartacei vengono distrutti durante la distruzione dei dati personali, i dati personali nei sistemi di informazione vengono depersonalizzati. I dati personali non possono essere ripristinati.
6.2.8. L'operazione di distruzione dei dati personali è irreversibile.
6.2.9. Il periodo dopo il quale è possibile l'operazione di distruzione dei dati personali del Cliente è determinato entro la fine del periodo specificato nella clausola 7.3 del presente Regolamento.
7. Trasferimento e archiviazione di dati personali
7.1. Trasferimento di dati personali:
7.1.1. Il trasferimento di dati personali di un soggetto implica la diffusione di informazioni attraverso canali di comunicazione e su mezzi tangibili.
7.1.2. Durante il trasferimento di dati personali, i dipendenti dell'organizzazione devono soddisfare i seguenti requisiti:
7.1.2.1. Non divulgare i dati personali del Cliente a fini commerciali.
7.1.2.2. Non divulgare i dati personali del Cliente a terzi senza il consenso scritto del Cliente, ad eccezione dei casi stabiliti dalla legge federale della Federazione Russa.
7.1.2.3. Avvertire le persone che ricevono i dati personali del Cliente che tali dati possono essere utilizzati solo per gli scopi per i quali vengono comunicati e richiedere la conferma da parte di queste persone che questa regola è stata rispettata;
7.1.2.4. Consentire l'accesso ai dati personali dei Clienti solo a persone appositamente autorizzate, mentre queste persone dovrebbero avere il diritto di ricevere solo i dati personali dei Clienti necessari per svolgere specifiche funzioni.
7.1.2.5. Effettuare il trasferimento di dati personali del Cliente all'interno dell'Organizzazione in conformità con il presente Regolamento, la documentazione normativa e tecnologica e le descrizioni delle mansioni.
7.1.2.6. Fornire al cliente l'accesso ai propri dati personali quando si contatta o al ricevimento di una richiesta del cliente. L'organizzazione è obbligata a informare il Cliente della disponibilità di dati personali su di lui, nonché a fornire l'opportunità di conoscerli entro dieci giorni lavorativi dal momento del contatto.
7.1.2.7. Trasferire i dati personali del Cliente ai rappresentanti del Cliente secondo le modalità previste dalla legge e dalla documentazione normativa e tecnologica e limitare queste informazioni solo ai dati personali della materia che sono necessari ai rappresentanti specificati per svolgere le loro funzioni.
7.2. Conservazione e utilizzo dei dati personali:
7.2.1. La conservazione dei dati personali si riferisce all'esistenza di registri nei sistemi di informazione e sui supporti fisici.
7.2.2. I dati personali dei clienti vengono elaborati e archiviati in sistemi di informazione, nonché su supporto cartaceo all'interno dell'Organizzazione. I dati personali dei clienti vengono inoltre archiviati in formato elettronico: nella rete informatica locale dell'organizzazione, in cartelle e file elettronici nel PC del direttore generale e dipendenti autorizzati al trattamento dei dati personali dei clienti.
7.2.3. L'archiviazione dei dati personali del Cliente può essere effettuata non più a lungo di quanto richiesto dagli obiettivi di elaborazione, se non diversamente previsto dalle leggi federali della Federazione Russa.
7.3. Termini di conservazione dei dati personali:
7.3.1. Il periodo di archiviazione per i contratti civili contenenti dati personali dei Clienti, nonché relativo alla loro conclusione, esecuzione di documenti - 5 anni dalla data di risoluzione dei contratti.
7.3.2. Durante il periodo di conservazione, i dati personali non possono essere resi anonimi o distrutti.
7.3.3. Dopo la scadenza del periodo di conservazione, i dati personali possono essere depersonalizzati in sistemi di informazione e distrutti su carta secondo le modalità specificate nel regolamento e nella legislazione attuale della Federazione Russa. (Appendice Act sulla distruzione dei dati personali)
8. Diritti del gestore dei dati personali
L'organizzazione ha il diritto:
8.1. Difendi i tuoi interessi in tribunale.
8.2. Fornire dati personali dei Clienti a terzi, se richiesto dalla legge applicabile (fiscalità, forze dell'ordine, ecc.).
8.3. Rifiutare di fornire dati personali nei casi previsti dalla legge.
8.4. Utilizzare i dati personali del Cliente senza il suo consenso, nei casi previsti dalla legislazione della Federazione Russa.
9. Diritti dei clienti
Il cliente ha il diritto:
9.1. Chiedere chiarimenti sui propri dati personali, sul loro blocco o distruzione nel caso in cui i dati personali siano incompleti, obsoleti, inesatti, ottenuti illegalmente o non necessari ai fini dichiarati del trattamento, nonché adottare misure prescritte dalla legge per proteggere i loro diritti;
9.2. Richiede un elenco di dati personali elaborati disponibili nell'organizzazione e l'origine della ricevuta.
9.3. Ricevi informazioni sui tempi di elaborazione dei dati personali, incluso il tempo di conservazione.
9.4. Richiedere la notifica a tutte le persone a cui in precedenza erano stati forniti dati personali errati o incompleti su tutte le eccezioni, correzioni o aggiunte apportate a tali dati.
9.5. Ricorso all'organismo autorizzato per la protezione dei diritti dei soggetti di dati personali o nell'ambito di un procedimento giudiziario relativo ad azioni o omissioni illecite nel trattamento dei suoi dati personali.
10. Responsabilità per violazione delle norme che regolano il trattamento e la protezione dei dati personali
10.1. I dipendenti dell'Organizzazione colpevoli di violare le norme che disciplinano la ricezione, l'elaborazione e la protezione dei dati personali sono responsabili di responsabilità disciplinare, amministrativa, civile o penale in conformità con la legislazione corrente della Federazione Russa e gli atti locali interni dell'Organizzazione.
Marina Prokhorova, editor di dati personali
Natalya Samoilova, avvocato della società InfoTehnoProekt
Il quadro giuridico che si è sviluppato finora nel campo del trattamento dei dati personali, documenti che devono ancora essere adottati per un'organizzazione più efficiente del lavoro per proteggere i dati personali nelle organizzazioni, gli aspetti tecnici della preparazione dei sistemi di informazione degli operatori dei dati personali: questi sono gli argomenti recentemente affrontati in molti giornali e pubblicazioni su riviste in materia di dati personali. In questo articolo, vorrei soffermarmi su un aspetto dell'organizzazione del lavoro degli istituti bancari e creditizi come la protezione "non tecnica" dei dati personali trattati in tali organizzazioni
Cominciamo con un esempio concreto.
Questa è una revisione giudiziaria del caso sulla protezione dei dati personali, avviata contro Sberbank nel giugno 2008. L'essenza del processo è stata la seguente. È stato concluso un accordo di garanzia tra il cittadino e la banca, in base al quale il cittadino ha accettato l'obbligo di essere responsabile nei confronti della banca per l'adempimento da parte del mutuatario degli obblighi previsti dal contratto di prestito. Quest'ultimo non ha adempiuto ai propri obblighi entro il periodo di tempo stabilito dall'accordo di prestito, le informazioni sul garante in quanto cliente inaffidabile sono state inserite nel sistema informativo automatizzato della banca di arresto, che a sua volta è stata la base per rifiutarsi di concedergli un prestito. Allo stesso tempo, la banca non ha nemmeno notificato al cittadino l'adempimento improprio da parte del mutuatario dei suoi obblighi ai sensi del contratto di prestito. Inoltre, l'accordo di garanzia non indicava che in caso di inadempimento da parte del mutuatario dei propri obblighi, la banca ha il diritto di inserire le informazioni sul garante nel sistema informativo della lista di arresto. Pertanto, la banca ha elaborato i dati personali del cittadino includendo le informazioni su di lui nel sistema informativo della Stop List senza il suo consenso, il che viola i requisiti della Parte 1 dell'Art. 9 della legge federale n. 152-ФЗ del 27 luglio 2006 "Informazioni sui dati personali", in base al quale l'interessato decide di fornire i propri dati personali e accetta il loro trattamento per sua volontà e interesse. Inoltre, secondo le modalità previste dalla Parte 1 dell'Art. 14 della stessa legge, un cittadino ha presentato alla banca una richiesta per fornirgli l'opportunità di familiarizzare con le informazioni inserite nel sistema informativo della Lista di arresto su di lui, nonché di bloccare tali informazioni e di distruggerle. La banca ha rifiutato di soddisfare le esigenze di un cittadino.
Sulla base dei risultati del processo, il tribunale del distretto Leninsky di Vladivostok ha concesso le richieste dell'Ufficio del Territorio di Roskomnadzor Primorsky a Sberbank in Russia per la protezione dei diritti dei cittadini violati e ha ordinato alla banca di distruggere le informazioni sui cittadini dal sistema informativo della lista di arresto.
Come è indicativo questo esempio? Le banche, archiviando i dati personali di un numero significativo dei loro clienti, senza esitazione, li spostano da un database all'altro, il più delle volte informando l'oggetto dei dati personali al riguardo, per non parlare di ottenere il suo consenso a tali azioni con i suoi dati personali. Naturalmente, il settore bancario ha una serie di funzioni e spesso i dati personali dei clienti vengono utilizzati non solo per adempiere agli accordi conclusi dalla banca, ma anche per monitorare l'adempimento della banca da parte del cliente dei suoi obblighi, ma ciò significa che il consenso del loro soggetto è già richiesto per eventuali manipolazioni con dati personali .
Difficoltà nell'interpretazione delle disposizioni
Perché non rendere legali eventuali operazioni con dati personali? Naturalmente, per questo, molto probabilmente, richiederà il coinvolgimento di specialisti di terze parti, poiché anche gli avvocati dei dipartimenti legali delle grandi banche sono professionisti di prima classe solo in una determinata area e devono conoscere le specifiche del lavoro nel campo dei dati personali praticamente da zero. Quindi la soluzione migliore è quella di coinvolgere le aziende specializzate nella fornitura di servizi di gestione dei dati personali per organizzare un sistema di protezione dei dati personali, compresi quelli in grado di condurre un audit per determinare se le misure di protezione non tecniche sono conformi ai requisiti del legislatore.
I risultati degli studi analitici ci consentono di concludere che l'interpretazione di quali disposizioni della legge federale n. 152-FZ "sui dati personali" causa le maggiori difficoltà.
Ai sensi dell'articolo 22, parte 1, del presente documento normativo, l'operatore è tenuto a notificare all'organismo autorizzato il trattamento dei dati personali. Tra le eccezioni c'è il caso in cui i dati personali trattati sono stati ottenuti in relazione alla conclusione di un accordo di cui l'interessato è parte ... e sono utilizzati dall'operatore esclusivamente per eseguire detto accordo sulla base della clausola 2 della parte 2 dell'articolo 22 della Legge federale n. 152-ФЗ "О" dati personali ". Basandosi proprio su questa disposizione, alcune banche non notificano il trattamento dei dati personali e molte non si considerano operatori, il che è fondamentalmente sbagliato.
Inoltre, un altro errore comune delle banche come operatori di dati personali relativi al contratto è il seguente. Secondo l'art. 6 della suddetta legge, il trattamento dei dati personali può essere effettuato dall'operatore con il consenso dei soggetti dei dati personali, ad eccezione dei casi, tra cui il trattamento ai fini dell'esecuzione di un accordo, uno dei quali è oggetto di dati personali. Pertanto, molti istituti bancari spiegano la loro mancanza di consenso dell'interessato proprio dal fatto di aver concluso un tale accordo.
Ma pensiamoci, la banca, essendo l'operatore, non utilizza i dati personali del soggetto ottenuti alla conclusione del contratto, ad esempio, per inviare notifiche di nuovi servizi, per tenere "Stop list"? Ciò significa che il trattamento dei dati personali viene effettuato non solo allo scopo di adempiere al contratto, ma anche per altri scopi, il cui conseguimento è di interesse commerciale per le banche, pertanto:
- le banche sono tenute a presentare un avviso sul trattamento dei dati personali all'organismo autorizzato;
- le banche dovrebbero trattare i dati personali solo con il consenso del soggetto.
Ciò significa che le banche devono organizzare un sistema per lavorare con i dati personali dei propri clienti, ovvero fornire una protezione non tecnica di tali dati.
Consenso scritto al trattamento dei dati personali
Per quanto riguarda il consenso dei dati personali soggetti al trattamento dei dati personali, la legge federale n. 152-ФЗ "sui dati personali" richiede agli operatori di ottenere il consenso scritto al trattamento dei dati personali solo nei casi previsti dalla legge. Allo stesso tempo, in conformità con la Parte 3 dell'Art. 9 l'obbligo di provare il consenso del soggetto al trattamento dei suoi dati personali incombe all'operatore. Al fine, se necessario, di non perdere tempo a raccogliere tali prove (ad esempio, alla ricerca di testimoni), a nostro avviso, è comunque meglio ottenere il consenso scritto dei soggetti.
Ecco un altro argomento per il trattamento scritto dei dati personali. Spesso le attività delle banche prevedono il trasferimento di dati (anche personali) nel territorio di uno stato straniero. In questa occasione, parte 1 dell'articolo 12 della legge federale n. 152-ФЗ "Sui dati personali" stabilisce che prima di iniziare il trasferimento transfrontaliero di dati personali, l'operatore deve assicurarsi che lo stato straniero nel cui territorio viene effettuato il trasferimento di dati personali offra un'adeguata protezione dei diritti degli interessati. Se tale protezione non viene fornita, il trasferimento transfrontaliero di dati personali è possibile solo con il consenso scritto dell'oggetto dei dati personali. Si può presumere che per un dipendente di una banca sia più facile ottenere il consenso scritto del cliente per elaborare i dati personali che stabilire il grado di adeguatezza della propria protezione in un paese straniero.
Attiriamo la vostra attenzione sul fatto che le informazioni che devono essere contenute nel consenso scritto sono elencate nella Parte 4 dell'Art. 9 della suddetta legge federale, e questo elenco è esaustivo. E la firma sotto la frase, ad esempio, in un contratto di prestito: "Acconsento all'uso dei miei dati personali", in conformità con la legge federale n. 152-FZ "sui dati personali", non è il consenso al loro trattamento!
Sembrerebbe che ci siano solo alcuni punti della legge e quante complicazioni, fino al contenzioso, possano causare la loro errata interpretazione. Inoltre, oggi, quando i dati personali delle entità diventano spesso beni in concorrenza con varie strutture, la corretta risoluzione delle questioni relative alla loro protezione, garantendo la sicurezza dei sistemi informativi degli istituti bancari e creditizi sta diventando una garanzia per mantenere la reputazione e il nome onesto di qualsiasi organizzazione.
Ogni giorno aumenta la consapevolezza dei cittadini sulle possibili conseguenze negative della diffusione dei loro dati personali, il che è facilitato dall'emergere di pubblicazioni specializzate. Ci sono risorse informative di varie aziende. Alcuni di essi nel loro insieme coprono una vasta gamma di questioni relative al concetto di "sicurezza delle informazioni", altri sono dedicati alla revisione delle misure e dei mezzi di protezione tecnica, mentre qualcuno, al contrario, si concentra su problemi relativi alla protezione non tecnica. In altre parole, le informazioni sulla protezione dei dati personali stanno diventando più accessibili, il che significa che i cittadini saranno più esperti nel campo della protezione dei loro diritti.
controllo sull'attuazione delle norme necessarie. Elenco di letteratura usata:
1. Legge federale "Su banche e attività bancarie"
2. www.Grandars.ru [Risorsa elettronica] Modalità di accesso: http://www.grandars.ru/student/finansy/vozniknovenie-bankov.html (Data di accesso: 05/05/2016)
3. In-bank.ru [Risorsa elettronica] Modalità di accesso: http://journal.ib-bank.ru/post/411 (Data di accesso: 05/05/2016)
Khlestova Daria Robertovna
E-mail: [e-mail protetta]
PECULIARITÀ DI PROTEZIONE DEI DATI PERSONALI NELLA SFERA BANCARIA
astratto
Questo articolo discute le caratteristiche di protezione dei dati personali di un cliente nel settore bancario. Una serie di atti normativi sono elencati sulla base dei quali dovrebbe essere creato un sistema per il trattamento e la protezione dei dati personali in una banca. È stato messo in evidenza un elenco di misure per l'organizzazione della sicurezza dei dati negli istituti bancari.
parole
Dati personali, sicurezza bancaria, sicurezza delle informazioni,
protezione dei dati personali
La protezione dei dati personali nell'era dell'informatica è diventata particolarmente rilevante. Ci sono sempre più casi in cui gli aggressori ottengono l'accesso a qualsiasi informazione riservata attaccando i sistemi informativi delle organizzazioni. Indubbiamente, gli attacchi non aggirano il settore bancario. Poiché i sistemi bancari contengono un gran numero di dati personali dei clienti, la loro sicurezza dovrebbe essere sotto la stretta attenzione dello stato e dei proprietari degli istituti di credito e finanziari stessi.
Per cominciare, vale la pena capire quali dati personali una persona può diventare disponibile per la banca se diventa suo cliente. Quindi, questo è obbligatorio: cognome, nome e patronimico; data e luogo di nascita; la cittadinanza; luogo di registrazione e residenza effettiva; tutti i dati del passaporto (serie, numero, quando e da chi è stato rilasciato il documento); numero di telefono mobile e di casa; luogo di lavoro, posizione ricoperta. Nella maggior parte dei casi, le istituzioni chiedono ulteriori informazioni alla persona, ma senza di essa è impressionante un elenco di dati di cui una persona si fida la banca. Naturalmente, il cliente spera che i suoi dati personali durante l'elaborazione e l'archiviazione siano protetti in modo affidabile.
Affinché gli enti creditizi e finanziari siano in grado di organizzare un sistema di qualità per l'elaborazione e la protezione dei dati personali, è necessario identificare un elenco di atti giuridici su cui la banca dovrebbe fare affidamento quando lavora con i dati personali dei clienti: la Costituzione della Federazione Russa è il documento più importante del paese; Codice del lavoro della Federazione Russa; Codice civile e codice penale della Federazione Russa; Legge federale n. 152 "Informazioni sui dati personali"; legge federale n. 149 “On
informazione, tecnologia dell'informazione e protezione delle informazioni ”; Legge federale n. 395-1 "Sulle banche e attività bancarie". Inoltre, durante la creazione di un sistema per l'elaborazione e l'archiviazione di dati personali, le banche creano una serie di documenti locali che forniscono un ulteriore controllo sul lavoro con i dati.
Al ricevimento dei suoi dati personali da parte di un cliente, un'organizzazione bancaria si assume la responsabilità di attuare tutte le misure organizzative e tecniche per proteggere le informazioni che le vengono affidate da accessi non autorizzati (accidentali o intenzionali), bloccare, modificare, distruggere e altre azioni illegali. Vale la pena sottolineare una serie di misure per l'organizzazione di alta qualità del trattamento e della protezione dei dati personali nelle banche: la nomina dei responsabili del trattamento e della sicurezza dei dati nel sistema informativo della banca; attuazione di misure di controllo e familiarizzazione dei dipendenti con il quadro normativo pertinente e documenti interni su cui si basa il sistema di sicurezza dei dati della banca; identificazione delle minacce nel trattamento dei dati personali in banca e misure per contrastarle; valutazione dell'efficacia delle misure organizzative e tecniche applicate per garantire la protezione dei dati, prima dell'introduzione del sistema di protezione; contabilità di tutti i vettori di macchine di dati personali; stabilire regole per l'accesso al sistema di elaborazione e protezione dei dipendenti; in caso di accesso non autorizzato ai dati protetti, adottare misure per eliminare la minaccia e recuperare i dati persi. E un evento obbligatorio per le banche con un sistema esistente di archiviazione e protezione dei dati personali del cliente è il costante monitoraggio e miglioramento del sistema di sicurezza.
Pertanto, vale la pena notare che il trattamento, la conservazione e la protezione dei dati personali nelle banche dovrebbero essere effettuati sulla base delle condizioni stabilite dal quadro normativo della Federazione Russa. Ogni istituzione finanziaria deve: rispettare il principio di legalità nell'organizzazione della protezione dei dati personali dei propri clienti; attuare una gamma completa di misure per la protezione dei dati organizzativi e tecnici; quando si creano documenti locali relativi alla sicurezza delle informazioni, fare affidamento sulle migliori pratiche russe e internazionali in questo campo; rispettare tutti i requisiti delle autorità di regolamentazione (FSTEC, Roskomnadzor, FSB) per garantire la protezione dei dati personali dei clienti.
Elenco di letteratura usata:
1. Khlestova D.R., Popov K.G. "Sugli aspetti legali della protezione dei dati personali"
2. Legge federale "Su banche e attività bancarie"
3. Bank of Russia [Risorsa elettronica] Modalità di accesso: http://www.cbr.ru/ (Data di accesso: 05.06.2016)
© Khlestova D.R., Popov K.G., 2016
Khlestova Daria Robertovna
Studente del 2 ° anno dell'Università statale di Bashkir, Ufa, Russia E-mail: [e-mail protetta] Popov Kirill Gennadevich Ph.D., Professore associato, Dipartimento di sicurezza delle informazioni, BashSU, Ufa, Russia
E-mail: [e-mail protetta]
ESPLORAZIONE DI AFFARI COME MODO PIÙ GIURIDICO DI OTTENERE INFORMAZIONI
astratto
L'articolo discute i metodi di business intelligence. È inoltre giustificato il motivo per cui la business intelligence è un'attività legale negli affari. Evidenziati i principi di base ai quali dovresti aderire,
Documenti simili
Quadro giuridico per la protezione dei dati personali. Classificazione delle minacce alla sicurezza delle informazioni. Database di dati personali. Il dispositivo e le minacce della LAN dell'impresa. Il principale PC di protezione software e hardware. Politica di sicurezza di base.
tesi, aggiunta il 10.06.2011
Prerequisiti per la creazione di un sistema di sicurezza dei dati personali. Minacce alla sicurezza delle informazioni. Fonti di accesso non autorizzato a ISPDn. I sistemi informativi del dispositivo di dati personali. Strumenti di sicurezza delle informazioni. Politica di sicurezza.
term paper, aggiunto il 10/07/2016
Analisi della struttura di un sistema informativo distribuito e dei dati personali trattati al suo interno. La scelta di misure e mezzi di base per garantire la sicurezza dei dati personali dalle attuali minacce. Determinazione dei costi di creazione e supporto del progetto.
tesi, aggiunta il 07/01/2011
Sistema di controllo e gestione degli accessi presso l'azienda. Analisi delle informazioni elaborate e classificazione di ISPDn. Sviluppo di un modello di minacce alla sicurezza dei dati personali durante il loro trattamento nel sistema di informazione dei dati personali dei sistemi di controllo dell'accesso di OJSC MMZ.
tesi, aggiunta il 04/11/2012
Descrizione delle principali soluzioni tecniche per dotare un sistema di informazioni di dati personali situato in un'aula di computer. Sottosistema di protezione antivirus. Misure per preparare l'attuazione degli strumenti di sicurezza delle informazioni.
term paper, aggiunto il 30/09/2013
Segretezza e sicurezza delle informazioni documentate. I tipi di dati personali utilizzati nelle attività dell'organizzazione. Sviluppo della legislazione nel campo della garanzia della loro protezione. Metodi per garantire la sicurezza delle informazioni della Federazione Russa.
presentazione aggiunta il 15/11/2016
Analisi dei rischi della sicurezza delle informazioni. Valutazione dei rimedi esistenti e previsti. Una serie di misure organizzative per garantire la sicurezza delle informazioni e la protezione delle informazioni aziendali. Un caso di prova per l'implementazione del progetto e la sua descrizione.
tesi, aggiunta il 12.12.2012
Documenti normativi nel settore della sicurezza delle informazioni in Russia. Analisi delle minacce dei sistemi di informazione. Descrizione dell'organizzazione del sistema di protezione dei dati personali della clinica. Implementazione di un sistema di autenticazione tramite chiavi elettroniche.
tesi, aggiunta il 10.3.2016
Informazioni generali sulle attività dell'impresa. Oggetti di sicurezza delle informazioni nell'azienda. Misure e mezzi di protezione delle informazioni. Copia i dati su un supporto rimovibile. Installazione di un server di backup interno. L'efficacia del miglioramento del sistema di sicurezza delle informazioni.
test, aggiunto il 29/08/2013
Principali minacce alle informazioni. Concetti, metodi e modi per garantire la protezione dei dati. Requisiti di sistema di sicurezza. Il meccanismo di autorizzazione nella infobase per determinare il tipo di utente. L'amministratore lavora con il sistema di sicurezza.
