POZYCJA
o ochronie danych osobowych
Klienci (abonenci)
w LLC „Ortes-Finance”
Warunki i definicje
1.1. Dane osobiste- wszelkie informacje dotyczące osoby fizycznej (podmiotu danych osobowych) zidentyfikowanej lub ustalonej na podstawie tych informacji, w tym jej nazwisko, imię, nazwisko, rok, miesiąc, data i miejsce urodzenia, adres, adres e-mail, numer telefonu, rodzina, stan społeczny, stan majątkowy, wykształcenie, zawód, dochód, inne informacje.
1.2. Przetwarzanie danych osobowych- działania (operacje) na danych osobowych, w tym gromadzenie, systematyzacja, gromadzenie, przechowywanie, wyjaśnianie (aktualizacja, zmiana), wykorzystywanie, dystrybucja (w tym przekazywanie), depersonalizacja, blokowanie.
1.3. Poufność danych osobowych- obowiązkowy wymóg przestrzegania przez wyznaczoną osobę odpowiedzialną, który uzyskał dostęp do danych osobowych, wymóg zapobiegania ich rozpowszechnianiu bez zgody podmiotu lub inna podstawa prawna.
1.4. Rozpowszechnianie danych osobowych- działania mające na celu przekazanie danych osobowych określonemu kręgowi osób (przekazanie danych osobowych) lub zapoznanie się z danymi osobowymi nieograniczonej liczby osób, w tym ujawnienie danych osobowych w mediach środki masowego przekazu, umieszczanie w sieciach informacyjnych i telekomunikacyjnych lub inny sposób udostępniania danych osobowych.
1.5. Wykorzystywanie danych osobowych- działania (operacje) na danych osobowych w celu podjęcia decyzji lub innych czynności, które generują skutki prawne w stosunku do osób, których dane dotyczą lub w inny sposób wpływają na ich prawa i wolności lub prawa i wolności innych osób.
1.6. Blokowanie danych osobowych- czasowe wstrzymanie zbierania, systematyzacji, gromadzenia, wykorzystywania, rozpowszechniania danych osobowych, w tym ich przekazywania.
1.7. Niszczenie danych osobowych- działania, w wyniku których niemożliwe jest przywrócenie treści danych osobowych w systemie informacji osobowych lub w wyniku których ulegają zniszczeniu materialne nośniki danych.
1.8. Anonimizacja danych osobowych- działania, w wyniku których niemożliwe jest ustalenie przynależności danych osobowych do konkretnego podmiotu bez wykorzystania dodatkowych informacji.
1.9. Publicznie dostępne dane osobowe- dane osobowe, do których dostęp nieograniczonej liczby osób uzyskuje za zgodą podmiotu lub wobec których zgodnie z ustawami federalnymi nie obowiązuje wymóg poufności.
1.10... Informacja- informacje (komunikaty, dane) niezależnie od formy ich prezentacji.
1.11. Klient (podmiot danych osobowych)- indywidualny konsument usług LLC „Ortes-Finance”, zwany dalej „Organizacją”.
1.12. Operator- organ państwowy, organ gminy, osoba prawna lub osoba fizyczna, samodzielnie lub wspólnie z innymi osobami organizującymi i (lub) prowadzącymi przetwarzanie danych osobowych, a także określającymi cele przetwarzania danych osobowych, skład przetwarzanych danych, czynności (operacje) wykonywane z dane osobiste. W ramach niniejszego Regulaminu Operatorem jest Ortes-Finance Spółka z ograniczoną odpowiedzialnością;
2. Postanowienia ogólne.
2.1. Niniejsze rozporządzenie o przetwarzaniu danych osobowych (dalej - Rozporządzenie) zostało opracowane zgodnie z Konstytucją Federacja Rosyjska, Kodeks cywilny Federacji Rosyjskiej, ustawa federalna „O informacjach, technologia informacyjna oraz o ochronie informacji ”, ustawa federalna 152-FZ„ O danych osobowych ”, inne ustawy federalne.
2.2. Celem opracowania Rozporządzenia jest określenie trybu przetwarzania i ochrony danych osobowych wszystkich Klientów Organizacji, których dane podlegają przetwarzaniu, na podstawie uprawnień operatora; zapewnienie ochrony praw i wolności człowieka i obywatela przy przetwarzaniu jego danych osobowych, w tym ochrony prawa do prywatności, tajemnicy osobistej i rodzinnej, a także ustalenie odpowiedzialności funkcjonariuszy, którzy mają dostęp do danych osobowych, za nieprzestrzeganie wymagań przepisów regulujących przetwarzanie oraz ochrona danych osobowych.
2.3. Procedura wprowadzania w życie i zmiany Regulaminu.
2.3.1. Niniejsze rozporządzenie wchodzi w życie z chwilą jego zatwierdzenia przez Dyrektora Generalnego Organizacji i obowiązuje na czas nieokreślony do czasu zastąpienia go nowym regulaminem.
2.3.2. Zmiany Regulaminu dokonywane są na podstawie zarządzeń Dyrektora Generalnego Organizacji.
3. Skład danych osobowych.
3.1. Dane osobowe Klientów, w tym:
3.1.1. Pełne imię i nazwisko.
3.1.2. Rok urodzenia.
3.1.3. Miesiąc urodzenia.
3.1.4. Data urodzenia.
3.1.5. Miejsce urodzenia.
3.1.6. Dane paszportowe
3.1.7. Adres e-mail.
3.1.8. Numer telefonu (domowy, komórkowy).
3.2. Organizacja może tworzyć (tworzyć, gromadzić) i przechowywać następujące dokumenty i informacje, w tym w formacie elektronicznymzawierające dane o Klientach:
3.2.1. Wniosek o ankietę na temat możliwości podłączenia osoby.
3.2.2. Umowa (oferta publiczna).
3.2.3. Potwierdzenie przystąpienia do umowy.
3.2.5. Kopie dokumentów tożsamości, a także innych dokumentów dostarczonych przez Klienta i zawierających dane osobowe.
3.2.6. Dane o płatnościach za zamówienia (towary / usługi) zawierające płatność i inne dane Klienta.
4. Cel przetwarzania danych osobowych.
4.1. Celem przetwarzania danych osobowych jest realizacja zestawu działań zmierzających do osiągnięcia celu, w tym:
4.1.1. Świadczenie usług doradczych i informacyjnych.
4.1.2. Inne transakcje nie zabronione przez prawo, a także zbiór działań z danymi osobowymi niezbędnymi do wykonania powyższych transakcji.
4.1.3. W celu spełnienia wymagań ustawodawstwa Federacji Rosyjskiej.
4.2. Warunkiem zakończenia przetwarzania danych osobowych jest likwidacja Organizacji, a także stosowne żądanie Klienta.
5. Gromadzenie, przetwarzanie i ochrona danych osobowych.
5.1. Procedura pozyskiwania (zbierania) danych osobowych:
5.1.1. Wszelkie dane osobowe Klienta należy pozyskać od niego osobiście za jego pisemną zgodą, z wyjątkiem przypadków określonych w punktach 5.1.4 i 5.1.6 niniejszego Regulaminu oraz w innych przypadkach przewidzianych przez przepisy prawa Federacji Rosyjskiej.
5.1.2. Zgoda Klienta na wykorzystanie jego danych osobowych przechowywana jest w Organizacji w formie papierowej i / lub elektronicznej.
5.1.3. Zgoda podmiotu na przetwarzanie danych osobowych jest ważna przez cały czas trwania umowy, jak również przez 5 latod dnia rozwiązania stosunku umownego między Klientem a Organizacją. Po upływie wskazanego terminu zgodę uważa się za przedłużoną na kolejne pięć lat w przypadku braku informacji o jej cofnięciu.
5.1.4. Jeżeli dane osobowe Klienta można uzyskać tylko od osoby trzeciej, należy o tym uprzedzić Klienta i uzyskać od niego pisemną zgodę. Podanie danych osobowych Klienta przez podmiot trzeci musi mieć zgodę podmiotu na przekazanie danych osobowych Organizacji. Organizacja jest zobowiązana do uzyskania potwierdzenia od osoby trzeciej przekazującej dane osobowe Klienta, że \u200b\u200bdane osobowe są przekazywane za jego zgodą. Organizacja jest zobowiązana w kontaktach z osobami trzecimi do zawarcia z nimi umowy o zachowaniu poufności informacji dotyczących danych osobowych Klientów.
5.1.5. Organizacja zobowiązana jest do poinformowania Klienta o celach, zamierzonych źródłach i sposobach pozyskiwania danych osobowych, a także o charakterze otrzymywanych danych osobowych oraz konsekwencjach odmowy wyrażenia przez Klienta pisemnej zgody na ich otrzymanie.
5.1.6. Przetwarzanie danych osobowych Klientów bez ich zgody odbywa się w następujących przypadkach:
5.1.6.1. Dane osobowe są publicznie dostępne.
5.1.6.2. Na wniosek uprawnionych organów państwowych w przypadkach przewidzianych przez prawo federalne.
5.1.6.3. Przetwarzanie danych osobowych odbywa się na podstawie ustawy federalnej określającej jego cel, warunki pozyskiwania danych osobowych oraz krąg podmiotów, których dane osobowe są przetwarzane, a także określające uprawnienia operatora.
5.1.6.4. Przetwarzanie danych osobowych odbywa się w celu zawarcia i wykonania umowy, której podmiotem danych osobowych jest jedna ze stron - Klient.
5.1.6.5. Przetwarzanie danych osobowych odbywa się w celach statystycznych, z zastrzeżeniem obowiązkowej depersonalizacji danych osobowych.
5.1.6.6. W innych przypadkach przewidzianych przez prawo.
5.1.7. Organizacja nie ma prawa do przyjmowania i przetwarzania danych osobowych Klienta dotyczących jego rasy, narodowości, poglądów politycznych, przekonań religijnych lub filozoficznych, stanu zdrowia, życia intymnego.
5.2. Procedura przetwarzania danych osobowych:
5.2.1. Przedmiot danych osobowych dostarcza Organizacji rzetelnych informacji o sobie.
5.2.2. Dostęp do przetwarzania danych osobowych Klientów mają wyłącznie pracownicy Organizacji, którzy zostali dopuszczeni do pracy z danymi osobowymi Klienta i podpisali Umowę o zachowaniu poufności danych osobowych Klienta.
5.2.3. Prawo dostępu do danych osobowych Klienta w Organizacji ma:
Dyrektor Generalny Organizacji;
Pracownicy odpowiedzialni za przeprowadzanie obliczeń finansowych (kierownik, księgowy).
Pracownicy Działu Obsługi Klienta (kierownik działu sprzedaży, kierownik).
Pracownicy IT (dyrektor techniczny, administrator systemu).
Klient jako podmiot danych osobowych.
5.2.3.1. Listę pracowników Organizacji, którzy mają dostęp do danych osobowych Klientów określa zarządzenie Dyrektora Generalnego Organizacji.
5.2.4. Przetwarzanie danych osobowych Klienta może odbywać się wyłącznie w celach określonych w Rozporządzeniu oraz zgodnie z przepisami prawa i innymi regulacyjnymi aktami prawnymi Federacji Rosyjskiej.
5.2.5. Ustalając ilość i zawartość przetwarzanych danych osobowych, Organizacja kieruje się Konstytucją Federacji Rosyjskiej, ustawą o danych osobowych oraz innymi ustawami federalnymi.
5.3. Ochrona danych osobowych:
5.3.1. Przez ochronę danych osobowych Klienta rozumie się zespół środków (organizacyjnych i administracyjnych, technicznych, prawnych), których celem jest zapobieżenie dostępowi do nich osobom nieuprawnionym lub przypadkowym, zniszczeniu, zmianie, blokowaniu, kopiowaniu, rozpowszechnianiu danych osobowych podmiotów, a także innym działaniom niezgodnym z prawem.
5.3.2. Ochrona danych osobowych Klienta odbywa się na koszt Organizacji w sposób określony przez federalne prawo Federacji Rosyjskiej.
5.3.3. Organizacja chroniąc dane osobowe Klientów podejmuje wszelkie niezbędne środki organizacyjne, administracyjne, prawne i techniczne, w tym:
Ochrona antywirusowa.
Analiza bezpieczeństwa.
Wykrywanie i zapobieganie włamaniom.
Kontrola dostępu.
Rejestracja i księgowość.
Zapewnienie integralności.
Organizacja lokalnych aktów regulacyjnych i metodologicznych regulujących ochronę danych osobowych.
5.3.4. Ogólną organizację ochrony danych osobowych Klientów prowadzi Dyrektor Generalny Organizacji.
5.3.5. Dostęp do danych osobowych Klienta mają pracownicy Organizacji, którzy potrzebują danych osobowych w związku z wykonywaniem obowiązków służbowych.
5.3.6. Wszyscy pracownicy zajmujący się pozyskiwaniem, przetwarzaniem i ochroną danych osobowych Klientów są zobowiązani do podpisania Umowy o zachowaniu poufności danych osobowych Klientów.
5.3.7. Procedura uzyskania dostępu do danych osobowych Klienta obejmuje:
Zapoznanie pracownika przed podpisem z niniejszym rozporządzeniem. Jeżeli istnieją inne akty normatywne (zarządzenia, instrukcje, instrukcje itp.) Regulujące przetwarzanie i ochronę danych osobowych Klienta, również te akty są weryfikowane pod kątem podpisu.
Żądanie od pracownika (za wyjątkiem Dyrektora Generalnego) pisemnego zobowiązania do zachowania poufności danych osobowych Klientów i przestrzegania zasad ich przetwarzania zgodnie z wewnętrznymi lokalnymi aktami Organizacji, regulującymi bezpieczeństwo poufna informacja.
5.3.8. Pracownik Organizacji mający dostęp do danych osobowych Klientów w związku z wykonywaniem obowiązków służbowych:
Zapewnia przechowywanie informacji zawierających dane osobowe Klienta, z wyłączeniem dostępu do nich osób trzecich.
W przypadku nieobecności pracownika na stanowisku pracy nie powinno być dokumentów zawierających dane osobowe Klientów.
Wyjeżdżając na wakacje, w podróż służbową oraz w innych przypadkach dłuższej nieobecności pracownika w miejscu pracy, jest on zobowiązany do przekazania dokumentów i innych nośników zawierających dane osobowe Klientów osobie, której wykonanie tego powierza lokalna ustawa Spółki (zlecenie, zamówienie) odpowiedzialność zawodowa.
W przypadku nie powołania takiej osoby, wówczas dokumenty i inne nośniki zawierające dane osobowe Klientów są przekazywane innemu pracownikowi, który ma dostęp do danych osobowych Klientów na polecenie Dyrektora Generalnego Organizacji.
Z chwilą zwolnienia pracownika, który ma dostęp do danych osobowych Klientów, dokumenty i inne nośniki zawierające dane osobowe Klientów są przekazywane innemu pracownikowi, który ma dostęp do danych osobowych Klientów na polecenie Dyrektora Generalnego.
W celu wykonania powierzonego zadania i na podstawie notatki z pozytywną uchwałą Dyrektora Generalnego dostęp do danych osobowych Klienta może zostać udostępniony innemu pracownikowi. Zabrania się udostępniania danych osobowych Klienta innym pracownikom Organizacji, którzy nie mają odpowiednio sformalizowanego dostępu.
5.3.9. Menedżer HR zapewnia:
Zapoznanie pracowników przed podpisaniem z niniejszym Regulaminem.
Żądanie od pracowników pisemnego zobowiązania do poszanowania poufności danych osobowych Klienta (Umowa o zachowaniu poufności) i przestrzegania zasad ich przetwarzania.
Ogólna kontrola przestrzegania przez pracowników środków ochrony danych osobowych Klienta.
5.3.10. Ochronę danych osobowych Klientów przechowywanych w elektronicznych bazach danych Organizacji przed nieuprawnionym dostępem, zniekształceniem i zniszczeniem informacji oraz innymi bezprawnymi działaniami zapewnia Administrator Systemu.
5.4. Przechowywanie danych osobowych:
5.4.1. Dane osobowe Klientów w formie papierowej przechowywane są w sejfach.
5.4.2. Dane osobowe Klientów są przechowywane elektronicznie w lokalnym śieć komputerowa Organizacje, w elektronicznych folderach i plikach w formacie komputery osobiste Dyrektor Generalny i pracownicy dopuszczeni do przetwarzania danych osobowych Klientów.
5.4.3. Dokumenty zawierające dane osobowe Klientów przechowywane są w skrytkach (sejfach), które zapewniają ochronę przed nieuprawnionym dostępem. Pod koniec dnia roboczego wszystkie dokumenty zawierające dane osobowe Klientów umieszczane są w szafkach (sejfach), które zapewniają ochronę przed nieuprawnionym dostępem.
5.4.4. Ochronę dostępu do elektronicznych baz danych zawierających dane osobowe Klientów zapewniają:
Korzystanie z licencjonowanych programów antywirusowych i hakerskich, które zapobiegają nieautoryzowanemu dostępowi sieć lokalna Organizacje.
Zróżnicowanie praw dostępu za pomocą konta.
Dwustopniowy system haseł: na poziomie lokalnej sieci komputerowej oraz na poziomie bazy danych. Hasła ustalane są przez Administratora Systemu Organizacji i przekazywane indywidualnie pracownikom mającym dostęp do danych osobowych Klientów.
5.4.4.1. Nieautoryzowany dostęp do komputerów PC zawierających dane osobowe Klientów jest blokowany hasłem ustawionym przez Administratora Systemu i nie podlega ujawnieniu.
5.4.4.2. Wszystkie elektroniczne foldery i pliki zawierające dane osobowe Klientów chronione są hasłem, które jest ustalane przez pracownika Organizacji odpowiedzialnej za komputer i zgłaszane Administratorowi Systemu.
5.4.4.3. Administrator systemu zmienia hasła przynajmniej raz na 3 miesiące.
5.4.5. Kopiowanie i sporządzanie wyciągów z danych osobowych Klienta jest dozwolone wyłącznie w celach służbowych za pisemną zgodą Dyrektora Generalnego Organizacji.
5.4.6. Odpowiedzi na pisemne zapytania innych organizacji i instytucji dotyczące danych osobowych Klientów udzielane są wyłącznie za pisemną zgodą samego Klienta, chyba że przepisy prawa stanowią inaczej. Odpowiedzi udzielane są w formie pisemnej, na papierze firmowym Organizacji oraz w zakresie, który pozwala nie ujawniać nadmiernej ilości danych osobowych Klienta.
6. Blokowanie, depersonalizacja, niszczenie danych osobowych
6.1. Procedura blokowania i odblokowywania danych osobowych:
6.1.1. Blokowanie danych osobowych Klientów następuje na pisemny wniosek Klienta.
6.1.2. Blokowanie danych osobowych oznacza:
6.1.2.2. Zakaz rozpowszechniania danych osobowych w jakikolwiek sposób (e-mail, komórkowy, nośniki materiałów).
6.1.2.4. Usunięcie dokumentów papierowych dotyczących Klienta i zawierających jego dane osobowe z wewnętrznego obiegu dokumentów Organizacji i zakaz ich wykorzystywania.
6.1.3. Zablokowanie danych osobowych Klienta może zostać tymczasowo usunięte, jeśli jest to wymagane zgodnie z ustawodawstwem Federacji Rosyjskiej.
6.1.4. Odblokowanie danych osobowych Klienta następuje za jego pisemną zgodą (jeżeli zachodzi potrzeba uzyskania zgody) lub na wniosek Klienta.
6.1.5. Ponowna zgoda Klienta na przetwarzanie jego danych osobowych (w razie potrzeby na ich uzyskanie) wiąże się z odblokowaniem jego danych osobowych.
6.2. Procedura anonimizacji i niszczenia danych osobowych:
6.2.1. Depersonalizacja danych osobowych Klienta następuje na pisemne żądanie Klienta pod warunkiem uzupełnienia wszystkich stosunków umownych i minęło co najmniej 5 lat od zakończenia ostatniej umowy.
6.2.2. Podczas anonimizacji danych osobowych w systemy informacyjneah zastępowane są zestawem symboli, za pomocą których nie można określić przynależności danych osobowych do konkretnego Klienta.
6.2.3. Podczas anonimizacji danych osobowych niszczone są papierowe nośniki dokumentów.
6.2.4. Organizacja zobowiązana jest do zachowania poufności w stosunku do danych osobowych, w razie potrzeby do testowania systemów informatycznych na terytorium dewelopera oraz do depersonalizacji danych osobowych w systemach informatycznych przekazanych deweloperowi.
6.2.5. Niszczenie danych osobowych Klienta oznacza zaprzestanie dostępu do danych osobowych Klienta.
6.2.6. W przypadku zniszczenia danych osobowych Klienta pracownicy Organizacji nie mogą uzyskać dostępu do danych osobowych podmiotu w systemach informatycznych.
6.2.7. Niszczenie danych osobowych powoduje zniszczenie papierowych nośników dokumentów, depersonalizację danych osobowych w systemach informatycznych. Dane osobowe nie mogą zostać przywrócone.
6.2.8. Operacja zniszczenia danych osobowych jest nieodwracalna.
6.2.9. Okres, po którym możliwa jest operacja zniszczenia danych osobowych Klienta, wyznacza się do końca okresu wskazanego w punkcie 7.3 niniejszego Regulaminu.
7. Przekazywanie i przechowywanie danych osobowych
7.1. Przekazywanie danych osobowych:
7.1.1. Przez przekazanie danych osobowych podmiotu rozumie się rozpowszechnianie informacji kanałami komunikacji i na nośnikach materialnych.
7.1.2. Przekazując dane osobowe, pracownicy Organizacji muszą spełnić następujące wymagania:
7.1.2.1. Nie udostępniaj danych osobowych Klienta w celach komercyjnych.
7.1.2.2. Nie ujawniać danych osobowych Klienta osobom trzecim bez pisemnej zgody Klienta, z wyjątkiem przypadków przewidzianych przez prawo federalne Federacji Rosyjskiej.
7.1.2.3. Ostrzec osoby otrzymujące dane osobowe Klienta, że \u200b\u200bdane te mogą być wykorzystane wyłącznie do celów, dla których zostały przekazane oraz zażądać od tych osób potwierdzenia przestrzegania tej zasady;
7.1.2.4. Daj dostęp do danych osobowych Klientów tylko osobom specjalnie do tego upoważnionym, przy czym osoby te powinny mieć prawo do otrzymania tylko tych danych osobowych Klientów, które są niezbędne do wykonywania określonych funkcji.
7.1.2.5. Przekazywanie danych osobowych Klienta w ramach Organizacji zgodnie z niniejszym rozporządzeniem, dokumentacją regulacyjną i technologiczną oraz opisami stanowisk.
7.1.2.6. Zapewnić Klientowi dostęp do jego danych osobowych podczas kontaktu lub na żądanie Klienta. Organizacja zobowiązana jest do poinformowania Klienta o dostępności danych osobowych na jego temat, a także zapewnienia możliwości zapoznania się z nimi w ciągu dziesięciu dni roboczych od dnia kontaktu.
7.1.2.7. Przekazywanie danych osobowych Klienta przedstawicielom Klienta w sposób określony przepisami prawa oraz dokumentacją regulacyjną i techniczną oraz ograniczanie tych informacji tylko do tych danych osobowych podmiotu, które są niezbędne wskazanym przedstawicielom do wykonywania ich funkcji.
7.2. Przechowywanie i wykorzystywanie danych osobowych:
7.2.1. Przez przechowywanie danych osobowych rozumie się istnienie zapisów w systemach informatycznych i na nośnikach materialnych.
7.2.2. Dane osobowe Klientów są przetwarzane i przechowywane w systemach informatycznych, a także w formie papierowej w Organizacji. Dane osobowe Klientów przechowywane są również w formie elektronicznej: w lokalnej sieci komputerowej Organizacji, w folderach i plikach elektronicznych na komputerze Dyrektora Generalnego oraz pracowników dopuszczonych do przetwarzania danych osobowych Klientów.
7.2.3. Przechowywanie danych osobowych Klienta może trwać nie dłużej niż wymaga tego cel przetwarzania, chyba że przepisy federalne Federacji Rosyjskiej stanowią inaczej.
7.3. Okresy przechowywania danych osobowych:
7.3.1. Okres przechowywania umów cywilnoprawnych zawierających dane osobowe Klientów, a także towarzyszących ich zawieraniu, wykonywaniu dokumentów - 5 lat od dnia wygaśnięcia umów.
7.3.2. W okresie przechowywania danych osobowych nie można zanonimizować ani zniszczyć.
7.3.3. Po upływie okresu przechowywania dane osobowe mogą zostać zdepersonalizowane w systemach informatycznych oraz zniszczone w formie papierowej zgodnie z procedurą określoną w Rozporządzeniu i obowiązującym ustawodawstwie Federacji Rosyjskiej. (Załącznik do ustawy o niszczeniu danych osobowych)
8. Prawa operatora danych osobowych
Organizacja ma prawo:
8.1. Broń swoich interesów w sądzie.
8.2. Udostępnianie danych osobowych Klientów podmiotom trzecim, o ile przewidują to obowiązujące przepisy prawa (organy podatkowe, organy ścigania itp.).
8.3. Odmówić podania danych osobowych w przypadkach przewidzianych prawem.
8.4. Wykorzystywanie danych osobowych Klienta bez jego zgody, w przypadkach przewidzianych przez ustawodawstwo Federacji Rosyjskiej.
9. Prawa klienta
Klient ma prawo:
9.1. Żądać doprecyzowania swoich danych osobowych, ich zablokowania lub zniszczenia, jeżeli dane osobowe są niekompletne, nieaktualne, nierzetelne, nielegalnie pozyskane lub nie są niezbędne do wskazanego celu przetwarzania, a także podjęcia przewidzianych prawem środków w celu ochrony ich praw;
9.2. Wymagać wykazu przetwarzanych danych osobowych dostępnych w Organizacji oraz źródła ich otrzymania.
9.3. Otrzymuj informacje o czasie przetwarzania danych osobowych, w tym o czasie ich przechowywania.
9.4. Wymagać powiadomienia wszystkich osób, którym wcześniej przekazano nieprawidłowe lub niekompletne dane osobowe, o wszystkich wprowadzonych wyjątkach, poprawkach lub uzupełnieniach.
9.5. Wniesienia odwołania do uprawnionego organu w celu ochrony praw osób, których dane dotyczą, lub w postępowaniu sądowym przeciwko bezprawnym działaniom lub zaniechaniu przetwarzania danych osobowych.
10. Odpowiedzialność za naruszenie zasad przetwarzania i ochrony danych osobowych
10.1. Pracownicy Organizacji winni naruszenia zasad dotyczących odbioru, przetwarzania i ochrony danych osobowych ponoszą odpowiedzialność dyscyplinarną, administracyjną, cywilną lub karną zgodnie z obowiązującym ustawodawstwem Federacji Rosyjskiej oraz wewnętrznymi lokalnymi aktami Organizacji.
Marina Prokhorova, redaktor czasopisma „Dane osobowe”
Natalia Samoilova, prawnik firmy "InfoTechnoProekt"
Dotychczasowe ramy prawne w zakresie przetwarzania danych osobowych, dokumenty, które nie zostały jeszcze przyjęte dla efektywniejszej organizacji prac nad ochroną danych osobowych w organizacjach, techniczne aspekty przygotowania systemów informatycznych dla operatorów danych osobowych - to tematy, które w ostatnim czasie były poruszane w wielu gazetach. oraz publikacje w czasopismach poświęcone problematyce danych osobowych. W tym artykule chciałbym zająć się takim aspektem organizacji pracy instytucji bankowych i kredytowych, jak „nietechniczna” ochrona danych osobowych przetwarzanych w tych organizacjach.
Zacznijmy od konkretnego przykładu
Mowa o kontroli sądowej sprawy dotyczącej ochrony danych osobowych wszczętej przeciwko Sberbank w czerwcu 2008 roku. Istota sporu była następująca. Między obywatelem a bankiem została zawarta umowa poręczenia, zgodnie z którą obywatel zobowiązał się do udzielenia bankowi odpowiedzi za wykonanie zobowiązań kredytobiorcy wynikających z umowy kredytowej. Ten ostatni nie wywiązał się ze swoich zobowiązań w terminie wyznaczonym umową kredytu, informacja o poręczycielu jako nierzetelnym kliencie została wprowadzona do zautomatyzowanego systemu informatycznego banku Stop List, co z kolei było podstawą odmowy udzielenia mu kredytu. Jednocześnie bank nie powiadomił nawet obywatela o nienależytym wywiązywaniu się przez pożyczkobiorcę z zobowiązań wynikających z umowy kredytowej. Ponadto w umowie poręczenia nie określono, że w przypadku nienależytego wykonania przez pożyczkobiorcę swoich zobowiązań, bank ma prawo wprowadzić informację o poręczycielu do systemu informacyjnego Stop List. Tym samym bank przetwarzał dane osobowe obywatela, umieszczając informacje o nim w systemie informacyjnym Stop-List bez jego zgody, co narusza wymogi części 1 art. 9 ustawy federalnej nr 152-FZ z dnia 27 lipca 2006 r. „O danych osobowych”, zgodnie z którym podmiot danych osobowych decyduje się na udostępnienie swoich danych osobowych i wyraża zgodę na ich przetwarzanie z własnej woli i we własnym interesie. Ponadto, w sposób określony w części 1 art. 14 tej samej ustawy obywatel wystąpił do banku z żądaniem zapewnienia mu możliwości zapoznania się z informacjami o nim wpisanymi w systemie informacyjnym Stop List, a także zablokowania tych informacji i ich zniszczenia. Bank odmówił spełnienia wymagań obywatela.
Na podstawie wyników rozpatrzenia sprawy Leninski Sąd Rejonowy we Władywostoku zaspokoił roszczenia Dyrekcji Roskomnadzor dla Terytorium Primorskiego przeciwko Sbierbankowi Rosji o ochronę naruszonych praw obywatela i nakazał bankowi zniszczenie informacji o obywatelach z systemu informacyjnego Stop List.
W jaki sposób ten przykład ma znaczenie? Banki przechowując dane osobowe znacznej liczby swoich klientów bez wahania przenoszą je z jednej bazy do drugiej, a najczęściej bez informowania o tym podmiotu danych osobowych, nie mówiąc już o uzyskaniu przez niego zgody na takie działania z jego dane osobowe. Oczywiście działalność bankowa ma szereg cech, a często dane osobowe klientów są wykorzystywane nie tylko do realizacji zawartych przez bank umów, ale także do monitorowania banku w zakresie wypełniania zobowiązań klienta, ale to oznacza, że \u200b\u200bwszelkie manipulacje danymi osobowymi wymagają już zgody ich podmiotu. ...
Trudności w interpretacji przepisów
Dlaczego nie dokonać legalnych transakcji z danymi osobowymi? Oczywiście najprawdopodobniej będzie to wymagało zaangażowania zewnętrznych specjalistów, ponieważ nawet prawnicy działów prawnych dużych banków są najwyższej klasy profesjonalistami tylko w określonej dziedzinie i muszą zapoznać się ze specyfiką pracy w zakresie danych osobowych praktycznie od podstaw. Najlepszym więc wyjściem jest zaangażowanie w prace nad uporządkowaniem systemu ochrony danych osobowych firm specjalizujących się w świadczeniu usług w zakresie organizacji pracy z danymi osobowymi, w tym zdolnych do przeprowadzenia audytu zgodności podejmowanych przez Państwa nietechnicznych środków ochrony z wymogami ustawodawcy.
Wyniki badań analitycznych pozwalają stwierdzić, że interpretacja przepisów ustawy federalnej nr 152-FZ „O danych osobowych” sprawia największe trudności.
Zgodnie z częścią 1 art. 22 niniejszego regulaminu, operator jest zobowiązany do powiadomienia upoważnionego organu o przetwarzaniu danych osobowych. Do wyjątków należy przypadek, gdy przetwarzane dane osobowe zostały pozyskane w związku z zawarciem umowy, której stroną jest podmiot danych osobowych ... i są wykorzystywane przez operatora wyłącznie w celu wykonania określonej umowy na podstawie art. 22 ust. 2 części 2 art. 22 ustawy federalnej nr 152-FZ „W sprawie dane osobiste ". Działając z tym samym przepisem, niektóre banki nie zgłaszają przetwarzania danych osobowych, a wiele z nich nie uważa się za operatorów, co jest fundamentalnie błędne.
Kolejny częsty błąd banków, jako operatorów danych osobowych, związany z umową, jest następujący. Zgodnie z art. 6 w / w ustawy przetwarzanie danych osobowych może być dokonywane przez operatora za zgodą podmiotów danych osobowych, z wyłączeniem przypadków, w tym przetwarzania w celu wykonania umowy, której jedna ze stron jest podmiotem danych osobowych. Dlatego też wiele instytucji bankowych brak zgody podmiotu danych osobowych tłumaczy właśnie faktem zawarcia takiej umowy.
Ale zastanówmy się, czy bank jako operator nie wykorzystuje danych osobowych podmiotu pozyskanych przy zawarciu umowy np. Do wysyłania powiadomień o nowych usługach, do prowadzenia „List Stop”? Oznacza to, że przetwarzanie danych osobowych odbywa się nie tylko w celu wykonania umowy, ale także w innych celach, których osiągnięcie leży w interesie handlowym banków, a zatem:
- banki są zobowiązane do powiadomienia o przetwarzaniu danych osobowych upoważnionego organu;
- banki powinny przetwarzać dane osobowe wyłącznie za zgodą podmiotu.
A to oznacza, że \u200b\u200bbanki muszą zorganizować system pracy z danymi osobowymi swoich klientów, czyli zapewnić nietechniczną ochronę tych danych.
Pisemna zgoda na przetwarzanie danych osobowych
W zakresie zgody podmiotu danych osobowych na przetwarzanie danych osobowych ustawa federalna nr 152-FZ „O danych osobowych” zobowiązuje operatorów do uzyskania pisemnej zgody na przetwarzanie danych osobowych tylko w przypadkach określonych przepisami prawa. Jednocześnie, zgodnie z częścią 3 art. 9 obowiązek udowodnienia otrzymania zgody podmiotu na przetwarzanie jego danych osobowych spoczywa na operatorze. Aby w razie potrzeby nie tracić czasu na zbieranie takich dowodów (np. Poszukiwanie świadków), naszym zdaniem w każdym przypadku lepiej jest uzyskać zgodę badanych na piśmie.
Podajmy jeszcze jeden argument za pisemną formą przetwarzania danych osobowych. Często działalność banków obejmuje przekazywanie danych (w tym osobowych) na terytorium innego państwa. Z tej okazji część 1 art. 12 ustawy federalnej nr 152-FZ „O danych osobowych” stanowi, że przed rozpoczęciem transgranicznego przekazywania danych osobowych operator musi upewnić się, że państwo obce, na którego terytorium następuje przekazanie danych osobowych, odpowiednio chroni prawa podmiotów danych osobowych. W przypadku braku takiej ochrony transgraniczne przekazywanie danych osobowych jest możliwe tylko za pisemną zgodą podmiotu danych osobowych. Można przypuszczać, że pracownikowi banku łatwiej jest uzyskać pisemną zgodę klienta na przetwarzanie danych osobowych, niż określić stopień adekwatności ich ochrony w obcym kraju.
Zwracamy uwagę na fakt, że informacje, które muszą być zawarte w pisemnej zgodzie, są wymienione w części 4 art. 9 wspomnianej ustawy federalnej, a ta lista jest wyczerpująca. A podpis pod wyrażeniem np. W umowie pożyczki: „Wyrażam zgodę na przetwarzanie moich danych osobowych” zgodnie z ustawą federalną nr 152-FZ „O danych osobowych” nie oznacza zgody na ich przetwarzanie!
Wydawałoby się, że jest tylko kilka punktów prawa, a ile komplikacji, aż do sporu, może spowodować ich błędną interpretację. Dodatkowo, dziś, gdy dane osobowe podmiotów często stają się towarem w walce konkurencyjnej różnych struktur, pomyślne rozwiązanie kwestii ich ochrony, zapewnienia bezpieczeństwa systemów informatycznych instytucji bankowych i kredytowych staje się gwarancją utrzymania reputacji i uczciwej nazwy każdej organizacji.
Z każdym dniem rośnie świadomość obywateli o możliwych negatywnych konsekwencjach upowszechniania ich danych osobowych, czemu sprzyja pojawianie się specjalistycznych publikacji. Tam są zasoby informacyjne różne firmy. Niektóre z nich obejmują na ogół szeroki zakres zagadnień związanych z koncepcją „ bezpieczeństwo informacji", inni poświęcają się przeglądom środków i środków ochrony technicznej, ktoś przeciwnie, skupia się na problemach związanych z ochroną nietechniczną. Innymi słowy, informacje o ochronie danych osobowych stają się coraz bardziej dostępne, co oznacza, że \u200b\u200bobywatele będą bardziej świadomi." w zakresie ochrony ich praw.
kontrola nad wdrażaniem niezbędnych zasad. Lista wykorzystanej literatury:
1. Ustawa federalna „O bankach i działalności bankowej”
2. www.Grandars.ru [Zasoby elektroniczne] Tryb dostępu: http://www.grandars.ru/student/finansy/vozniknovenie-bankov.html (data dostępu: 05.05.2016)
3. In-bank.ru [Zasoby elektroniczne] Tryb dostępu: http://journal.ib-bank.ru/post/411 (data dostępu: 05.05.2016)
Khlestova Daria Robertovna
E-mail: [email chroniony]
SZCZEGÓLNOŚCI OCHRONY DANYCH OSOBOWYCH W OBSZARZE BANKOWOŚCI
adnotacja
W artykule omówiono cechy ochrony danych osobowych klientów w sektorze bankowym. Wymieniono szereg normatywnych aktów prawnych, na podstawie których należy zbudować system przetwarzania i ochrony danych osobowych w banku. Podkreślono listę środków porządkujących bezpieczeństwo danych w instytucjach bankowych.
Dane osobowe, bezpieczeństwo w bankach, bezpieczeństwo informacji,
ochrona danych osobowych
Ochrona danych osobowych w dobie technologii informacyjnej nabrała szczególnego znaczenia. Coraz więcej jest przypadków, w których cyberprzestępcy uzyskują dostęp do jakichkolwiek poufnych informacji, atakując systemy informacyjne organizacji. Niewątpliwie ataki nie omijają też sektora bankowego. Ponieważ systemy bankowe zawierają dużą liczbę danych osobowych klientów, ich bezpieczeństwo powinno znajdować się pod ścisłą kontrolą państwa i samych właścicieli instytucji finansowych.
Na początek warto się zastanowić, jakie dane osobowe osoby mogą zostać udostępnione bankowi, jeśli zostanie jego klientem. Tak więc jest to obowiązkowe: nazwisko, imię i nazwisko rodowe; Data i miejsce urodzenia; obywatelstwo; miejsce zameldowania i faktyczne miejsce zamieszkania; wszystkie dane paszportowe (seria, numer, kiedy i przez kogo dokument został wydany); numer telefonu komórkowego i domowego; miejsce pracy, zajmowane stanowisko. W większości przypadków instytucje pytają osobę i dodatkowe informacje, ale nawet bez tego lista danych, którym dana osoba ufa bankowi, jest imponująca. Oczywiście klient ma nadzieję, że jego dane osobowe będą rzetelnie chronione podczas przetwarzania i przechowywania.
Aby instytucje finansowe mogły sprawnie zorganizować system przetwarzania i ochrony danych osobowych, konieczne jest nakreślenie listy regulacyjnych aktów prawnych, na których bank powinien się opierać przy pracy z danymi osobowymi klientów: Konstytucja Federacji Rosyjskiej jest najważniejszym dokumentem kraju; Kodeks pracy Federacji Rosyjskiej; Kodeks cywilny i kodeks karny Federacji Rosyjskiej; Ustawa federalna nr 152 „O danych osobowych”; ustawa federalna nr 149 „On
informacje, technologie informacyjne i ochrona informacji ”; Ustawa federalna nr 395-1 „O bankach i działalności bankowej”. Również w bankach przy tworzeniu systemu do przetwarzania i przechowywania danych osobowych powstaje szereg dokumentów lokalnych, które zapewniają dodatkową kontrolę nad pracą z danymi.
Otrzymując dane osobowe od klienta, organizacja bankowa zobowiązuje się do podjęcia wszelkich środków organizacyjnych i technicznych w celu ochrony powierzonych jej informacji przed nieuprawnionym dostępem (przypadkowym lub umyślnym), blokowaniem, modyfikacją, zniszczeniem i innymi nielegalnymi działaniami. Warto zwrócić uwagę na szereg działań służących wysokiej jakości organizacji przetwarzania i ochrony danych osobowych w bankach: wyznaczenie osób odpowiedzialnych za przetwarzanie i zapewnienie bezpieczeństwa danych w systemie informatycznym banku; wdrożenie środków kontrolnych i zapoznanie pracowników z odpowiednimi ramami regulacyjnymi i dokumentami wewnętrznymi, na których oparty jest system bezpieczeństwa danych banku; identyfikacja zagrożeń przy przetwarzaniu danych osobowych w banku i środki przeciwdziałania im; ocena skuteczności zastosowanych środków organizacyjnych i technicznych zapewniających ochronę danych przed wprowadzeniem systemu ochrony do eksploatacji; rozliczanie wszystkich maszynowych nośników danych osobowych; ustalanie zasad dostępu do systemu przetwarzania i ochrony pracowników; w przypadku nieuprawnionego dostępu do chronionych danych podjęcie działań w celu wyeliminowania zagrożenia i przywrócenia utraconych danych. Oraz obowiązkowe wydarzenie dla banków z systemem operacyjnym do przechowywania i ochrony danych osobowych klient - stały kontrola i doskonalenie systemu bezpieczeństwa.
W związku z tym należy zauważyć, że przetwarzanie, przechowywanie i ochrona danych osobowych w bankach powinno odbywać się na warunkach określonych przez ramy regulacyjne Federacji Rosyjskiej. Każda instytucja finansowa musi: przestrzegać zasady legalności przy organizowaniu ochrony danych osobowych swoich klientów; przeprowadzić pełen zakres środków organizacyjnych i technicznych w zakresie ochrony danych; tworząc dokumenty lokalne związane z bezpieczeństwem informacji, korzystaj z najlepszych praktyk rosyjskich i międzynarodowych w tym zakresie; przestrzegać wszystkich wymagań organów regulacyjnych (FSTEC, Roskomnadzor, FSB) w celu zapewnienia ochrony danych osobowych klienta.
Lista wykorzystanej literatury:
1. Khlestova D.R., Popov K.G. „W kwestii prawnych aspektów ochrony danych osobowych”
2. Ustawa federalna „O bankach i działalności bankowej”
3. Bank Rosji [Zasoby elektroniczne] Tryb dostępu: http://www.cbr.ru/ (data dostępu: 05.06.2016)
© Khlestova D.R., Popov K.G., 2016
Khlestova Daria Robertovna
Student II roku IUBP BashSU, Ufa, RF E-mail: [email chroniony] Popov Kirill Gennadievich Kandydat nauk ekonomicznych, profesor nadzwyczajny Wydziału Bezpieczeństwa Informacji, Bashkir State University, Ufa, RF
E-mail: [email chroniony]
BUSINESS INTELLIGENCE JAKO NAJBARDZIEJ PRAWNA METODA UZYSKANIA INFORMACJI
adnotacja
W artykule omówiono metody analizy biznesowej. Wyjaśnia również, dlaczego wywiad gospodarczy jest legalną działalnością gospodarczą. Podkreślone podstawowe zasady, których należy przestrzegać,
Podobne dokumenty
Podstawa prawna ochrony danych osobowych. Klasyfikacja zagrożeń bezpieczeństwa informacji. Baza danych osobowych. Korporacyjne urządzenie LAN i zagrożenia. Podstawowe oprogramowanie i sprzęt do ochrony komputerów osobistych. Podstawowa polityka bezpieczeństwa.
praca dyplomowa, dodano 06/10/2011
Warunki niezbędne do stworzenia systemu bezpieczeństwa danych osobowych. Zagrożenia bezpieczeństwa informacji. Źródła nieautoryzowanego dostępu do ISPD. Urządzenie systemów informatycznych danych osobowych. Narzędzia bezpieczeństwa informacji. Polityka bezpieczeństwa.
praca semestralna dodana 10.07.2016
Analiza struktury rozproszonego systemu informatycznego i przetwarzanych w nim danych osobowych. Dobór podstawowych środków i środków zapewniających bezpieczeństwo danych osobowych przed aktualnymi zagrożeniami. Określenie kosztów powstania i wsparcia projektu.
praca dyplomowa, dodano 07.01.2011
System kontroli dostępu w przedsiębiorstwie. Analiza przetwarzanych informacji i klasyfikacja ISPD. Opracowanie modelu zagrożeń bezpieczeństwa danych osobowych podczas ich przetwarzania w systemie informacyjnym danych osobowych ACS OJSC „MMZ”.
praca dyplomowa, dodano 11.04.2012
Opis głównych rozwiązań technicznych wyposażenia systemu informacji o danych osobowych znajdującego się w sali komputerowej. Podsystem ochrony antywirusowej. Środki przygotowujące do wprowadzenia narzędzi bezpieczeństwa informacji.
praca semestralna dodano 30.09.2013
Poufność i bezpieczeństwo udokumentowanych informacji. Rodzaje danych osobowych wykorzystywanych w działalności organizacji. Rozwój ustawodawstwa w zakresie zapewnienia ich ochrony. Metody zapewnienia bezpieczeństwa informacyjnego Federacji Rosyjskiej.
prezentacja dodana 15.11.2016
Analiza ryzyka bezpieczeństwa informacji. Ocena istniejących i planowanych środków zaradczych. Zestaw środków organizacyjnych zapewniających bezpieczeństwo informacji i ochronę informacji przedsiębiorstwa. Przypadek testowy realizacji projektu i jego opis.
praca dyplomowa, dodano 19.12.2012
Dokumenty prawne z zakresu bezpieczeństwa informacji w Rosji. Analiza zagrożeń dla systemów informatycznych. Charakterystyka organizacji systemu ochrony danych osobowych poradni. Wdrożenie systemu uwierzytelniania z wykorzystaniem kluczy elektronicznych.
praca dyplomowa, dodano 31.10.2016
Informacje ogólne o działalności przedsiębiorstwa. Obiekty bezpieczeństwa informacji w przedsiębiorstwie. Środki i środki bezpieczeństwa informacji. Kopiowanie danych na nośniki wymienne. Instalowanie wewnętrznego serwera kopii zapasowych. Skuteczność poprawy systemu bezpieczeństwa informacji.
test, dodano 29.08.2013
Główne zagrożenia dla informacji. Koncepcje, metody i sposoby zapewnienia ochrony danych. Wymagania dotyczące systemu ochrony. Mechanizm autoryzacji w baza informacji do określenia typu użytkownika. Praca administratora z systemem bezpieczeństwa.
