ООО «ТаланИнвест» от «29» декабря 2022г. No 105
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика конфиденциальности использования сайтов http://talan.kata.agency и https://i.talan.kata.agency/ и обработки персональных данных (далее — Политика) действует в отношении всей информации, которую ООО «ТаланИнвест» (ИНН 1841096768, ОГРН 1201800024480) (далее – Организация/ Оператор) может получить о пользователе во время использования им сайтов (сервисов) http://talan.kata.agency и https://i.talan.kata.agency/ (далее при совместном упоминании – сайтов), а также в отношении всех персональных данных, которые обрабатывает Организация.
1.2. Настоящая Политика устанавливает условия доступа и использования сайтов, в части неурегулированной и непротиворечащей Правилам инвестиционной платформы ТаланИнвест. Использование сервисов означает безоговорочное согласие пользователя с настоящей Политикой и указанными в ней условиями, в случае несогласия с этими условиями пользователь должен воздержаться от использования сервисов.
1.3. Политика применяется только к сайтам поименованным в п. 1.1. настоящей Политики и не регулирует сайты третьих лиц, на которые пользователь может перейти по ссылкам, доступным на сервисах.
1.4. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.5. В рамках настоящей Политики используются следующие основные понятия: — персональные данные — любая информация, относящаяся прямо или косвенно к
определенному или определяемому физическому лицу (субъекту персональных данных); — обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств
автоматизации или без их использования; — оператор персональных данных (оператор) — государственный орган,
муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
— пользователь – лицо, направившее Организации персональные данные, посредством заполнения специальной формы на сайте;
— пользователь платформы: 1) физическое лицо, физическое лицо в статусе индивидуального предпринимателя,
намеренное получить доступ к Платформе для инвестирования (в статусе Инвестора); 2) физическое лицо, действующее в качестве уполномоченного представителя юридического лица, которое намеренно получить доступ к Платформе для инвестирования
(в статусе Инвестора); 3) физическое лицо, действующее в качестве уполномоченного представителя
юридического лица, или индивидуальный предприниматель, которое намеренно получить доступ к Платформе в целях привлечения инвестиций (в статусе Лица, привлекающего инвестиции).
— посетитель – лицо, осуществившее переход на страницу сайта Организации, но не передавшее персональные данные Организации;
— заказчик – лицо, с которым Организация вступила в договорные отношения или лицо, непосредственно связанное с лицом, вступившим в договорные отношения с Организацией;
— автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
— распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
— предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
— блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
— уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
— информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2. ОБЪЕМ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ. СУБЪЕКТЫ ОБРАБОТКИ
2.1. Оператор может обрабатывать персональные данные следующих категорий субъектов
персональных данных. 2.1.1. Кандидаты для приема на работу к Оператору – для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
- — фамилия, имя, отчество;
- — пол;
- — гражданство;
- — дата и место рождения;
- — контактные данные;
- — сведения об образовании, опыте работы, квалификации;
- — иные персональные данные, сообщаемые кандидатами в резюме, сопроводительных письмах и в ходе интервью.
2.1.2. Работники и бывшие работники Оператора, контролирующие лица Оператора, имеющие право распоряжаться более чем 10 процентами голосов – для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ними отношений:
— фамилия, имя, отчество; — пол; — гражданство; — дата и место рождения; — изображение (фотография); — контактные данные;
— сведения об образовании, опыте работы, квалификации, повышении квалификации; — паспортные данные; — адрес регистрации по месту жительства;
— адрес фактического проживания;
— индивидуальный номер налогоплательщика; — страховой номер индивидуального лицевого счета (СНИЛС); — семейное положение, наличие детей, родственные связи; — сведения о трудовой деятельности, наличии поощрений, награждений и (или) дисциплинарных взысканий; — данные о регистрации брака; — сведения о воинском учете; — сведения об инвалидности; — сведения об удержании алиментов; — сведения о доходе на предыдущих местах работы; — сведения об обязательствах по исполнительным документам; — номера расчетного счета, банковской карты; — сведения о состоянии здоровья (в случаях, предусмотренных законодательством); — сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (в случаях, предусмотренных законодательством); — сведения о наличии (отсутствии) назначения административного наказания в виде дисквалификации; — государственные номера и иные регистрационные данные транспортных средств; — данные, перечисленные в пункте
2.2. настоящей Политики; — иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства, законодательства о противодействии легализации доходов, полученных преступным путем, финансирования терроризма и распространения оружия массового уничтожения, законодательства о привлечении инвестиций с использованием инвестиционных платформ и иных нормативных требований Банка России.
2.1.3. Члены семьи работников Оператора – для целей исполнения законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
— фамилия, имя, отчество; — степень родства; — дата рождения; — иные персональные данные, предоставляемые в соответствии с требованиями законодательства, а также предоставляемые в целях реализации корпоративных программ мотивации работников.
2.1.4. Клиенты, бенефициары клиентов, представители клиентов и контрагенты Оператора – для целей оказания услуг, исполнения договоров, соблюдения требований законодательства о противодействии легализации доходов, полученных преступным путем, финансирования терроризма и распространения оружия массового уничтожения, законодательства о привлечении инвестиций с использованием инвестиционных платформ и иных нормативных требований Банка России:
— фамилия, имя, отчество; — пол; — гражданство; — дата и место рождения; — паспортные данные;
— изображение (фотография) в составе скан-образа документа, удостоверяющего личность;
— контактные данные (номер телефона, электронная почта); — сведения о занимаемой должности; — сведения о бенефициарах; — сведения об образовании, опыте работы, квалификации, повышении квалификации (если такое предоставление обусловлено заявлением клиента о присвоении статуса квалифицированного инвестора);
— сведения, подтверждающие наличие имущества и (или) определенных видов имущества (если такое предоставление обусловлено заявлением клиента о присвоении статуса квалифицированного инвестора); — адрес регистрации по месту жительства;
— индивидуальный номер налогоплательщика; — страховой номер индивидуального лицевого счета (СНИЛС); — реквизиты расчетного счета; — сведения о кредитной истории; — родственные связи; — данные, перечисленные в пункте
2.2. настоящей Политики; — иные персональные данные, предоставляемые в соответствии с требованиями
законодательства о противодействии легализации доходов, полученных преступным путем, финансирования терроризма и распространения оружия массового уничтожения, законодательства о привлечении инвестиций с использованием инвестиционных платформ и иных нормативных требований Банка России, а также в целях исполнения соглашений с Оператором.
2.2. Оператором обрабатываются данные файлов cookie и иных технологий отслеживания. Данные, которые автоматически передаются Организации сервисами в процессе их использования с помощью установленного на устройстве программного обеспечения, в том числе информация из cookie, информация об устройстве пользователя/посетителя:
— адрес интернет-протокола компьютера пользователя/посетителя (например, IPадрес); — тип браузера, версия браузера; — страницы сервисов, время посещения пользователя/посетителя, время,
потраченное на эти страницы; — уникальные идентификаторы устройств и другие диагностические данные, тип
мобильного устройства, IP-адрес мобильного устройства, мобильная операционная система, тип мобильного интернет-браузера;
— иные данные файлов cookie.
2.2.1. Данные файлов cookie (сookie-файлы) и аналогичные технологии отслеживания Организация использует для отслеживания активности и хранения информации. Сookieфайлы представляют собой файлы с небольшим количеством данных, которые могут включать анонимный уникальный идентификатор. Cookie-файлы отправляются в браузер с веб-сайта и хранятся на устройстве пользователя/посетителя. Технологии отслеживания, которые также используются, — это маяки, теги и сценарии для сбора и отслеживания информации, а также для улучшения сервисов. Пользователь/посетитель может отказаться от всех cookie-файлов (при изменении настроек браузера, а также при изменении настроек сервиса при наличии технической возможности). При отказе от использования cookie-файлов пользователь/посетитель соглашается с тем, что некоторые части (функции) сервисов могут быть ему недоступны для использования.
Примеры файлов cookie, которые использует Организация: — session Cookies — для управления сервисами; — preference Cookies — для запоминания предпочтений и различных настроек
пользователя/посетителя; — security Cookies — для обеспечения безопасности.
2.3. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации, а также не применяется Оператором для идентификации личности стороны.
2.4. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.
3. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ
3.1 Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
— Конституция Российской Федерации;
— Гражданский кодекс Российской Федерации;
— Трудовой кодекс Российской Федерации;
— Налоговый кодекс Российской Федерации;
— Федеральный закон от 08.02.1998 N 14-ФЗ «Об обществах с ограниченной
ответственностью»;
— Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»;
— Федеральный закон от 15.12.2001 N 167-ФЗ «Об обязательном пенсионном
страховании в Российской Федерации»; — Федеральный закон от 07.08.2001 N 115-ФЗ «О противодействии легализации
(отмыванию) доходов, полученных преступным путем, и финансированию терроризма»; — Федеральный закон от 02.08.2019 N 259-ФЗ «О привлечении инвестиций с использованием инвестиционных платформ и о внесении изменений в отдельные
законодательные акты Российской Федерации»; — Федеральный закон от 22.04.1996 N 39-ФЗ «О рынке ценных бумаг»; — иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
3.2. Правовым основанием обработки персональных данных также являются:
— устав ООО «ТаланИнвест»; — правила инвестиционной платформы ТаланИнвест; — договоры, заключаемые между оператором и субъектами персональных данных; — согласие субъектов персональных данных на обработку их персональных данных.
3.3. Организация собирает и хранит только ту персональную информацию, которая
необходима для предоставления сервисов или исполнения соглашений и договоров, осуществления деятельности с субъектами персональных данных с согласия на обработку
персональных данных, за исключением случаев, когда законодательством предусмотрено обязательное хранение персональной информации в течение определенного законом срока. 3.4. Организация осуществляет обработку персональной информации пользователя, включая сбор, получение, запись, систематизацию, накопление, хранение, уточнение, (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение как с использованием средств автоматизации, так и без использования таких средств, а также путем смешанной обработки в следующих целях:
— идентификация субъектов персональных данных;
— предоставление информации об услугах Организации, информации об Организации;
— предоставление пользователю доступа к персонализированным ресурсам сервисов;
— уведомление пользователя о важных событиях, направление пользователю информационной и новостной рассылки некоммерческого характера;
— установление с пользователем обратной связи, включая направление уведомлений, запросов, обработку запросов и заявок от пользователя;
— исполнение договоров сторонами;
— определение места нахождения пользователя для обеспечения безопасности, предотвращения мошенничества;
— подтверждение достоверности и полноты персональных данных, предоставленных пользователем;
— предоставление пользователю эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием сервисов;
— мониторинг использования сервисов;
— направление рекламных сообщений с согласия пользователя, предоставление пользователю персонифицированных предложений, дополнительных возможностей и услуг, при условии соблюдения требований Федерального закона «О рекламе» от
13.03.2006 N 38-ФЗ; — соблюдение требований законодательства о противодействии легализации
доходов, полученных преступным путем, финансирования терроризма и распространения оружия массового уничтожения;
— соблюдение законодательства о привлечении инвестиций с использованием инвестиционных платформ;
— улучшение пользовательского опыта, качества обслуживания и работы сервисов, удобства их использования, разработка новых сервисов и услуг;
— анализ пользовательских данных, проведение статистических и иных исследований взаимодействия пользователя с Организацией и третьими лицами;
— в иных целях, которые могут быть предусмотрены согласием на обработку персональных данных, договором между Организацией и пользователем, а также законодательством Российской Федерации.
4. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ ПОЛЬЗОВАТЕЛЕЙ И ЕЁ ПЕРЕДАЧИ ТРЕТЬИМ ЛИЦАМ
4.1. Обработка и хранение персональной информации пользователей осуществляется в
соответствии с требованиями законодательства о Российской Федерации.
4.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации. 4.3. В отношении всей персональной информации пользователя сохраняется ее конфиденциальность и обеспечивается безопасность, кроме случаев добровольного предоставления пользователем информации о себе для общего доступа неограниченному кругу лиц.
4.4. Обработка персональных данных для каждой цели их обработки, указанных в п. 2.1. настоящей Политики, осуществляется Оператором следующими способами:
— неавтоматизированная обработка персональных данных;
— автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
— смешанная обработка персональных данных. 4.5. Обработка персональных данных для каждой цели их обработки, указанных в п. 2.1. настоящей Политики, осуществляется Оператором следующим путем:
— получения персональных данных в электронной, письменной или устной форме непосредственно от субъектов персональных данных, путем использования сайтов;
— получения персональных данных в электронной, письменной или устной форме непосредственно от субъектов персональных данных, с применением иных каналов связи;
— внесения и хранения персональных данных в базы данных Оператора, занесения в журналы и иные реестры, ведение которых предусмотрено законодательством Российской Федерации;
— использования иных допустимых способов обработки персональных данных. 4.6. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных. Контроль за соблюдением порядка обработки осуществляет Ответственный сотрудник за организацию обработки персональных данных в ООО «ТаланИнвест». 4.7. Организация вправе передать персональную информацию пользователя и/или поручить ее обработку третьим лицам в следующих случаях:
— пользователь выразил согласие на такие действия;
— передача необходима для использования пользователем сервисов либо для исполнения договора с пользователем;
— в целях обеспечения возможности защиты прав и законных интересов Организации;
— передача предусмотрена российским или иным применимым законодательством в рамках установленной процедуры.
Представители органов государственной власти (в том числе, контролирующих, надзорных, правоохранительных, дознания и следствия и иных уполномоченных органов по основаниям, предусмотренным действующим законодательством Российской Федерации) получают доступ к персональным данным, обрабатываемым в Организации, в объеме и порядке, установленном законодательством Российской Федерации. 4.8. Сервисы могут содержать ссылки на другие сайты, которые не управляются Организацией. Если пользователь переходит по ссылке, то он попадет на сайт третьей стороны. Организация настоятельно рекомендует пользователю ознакомиться с политикой конфиденциальности на каждом сайте, который он посещает. Организация не контролирует и не берет на себя никакой ответственности за контент, политику конфиденциальности или действия сторонних сайтов или услуг третьих лиц.
4.9. Обработка и хранение персональных данных субъектов осуществляется в пределах срока дачи согласия на обработку персональных данных, либо в пределах сроков установленных договором между сторонами, при не установлении таких сроков обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.9.1 Персональные данные на бумажных носителях хранятся Оператором в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
4.9.2 Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях. 4.10. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
4.11. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, в установленные законодательством Российской Федерации сроки:
— если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
— если Организация не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом No152-ФЗ или иными федеральными законами;
— если иное не предусмотрено иным соглашением между Организацией и субъектом персональных данных.
4.12. Условия обработки персональной информации в соответствии с регламентом GDPR. 4.12.1. Организация при осуществлении совей деятельности руководствуется законодательством Российской Федерации, а также принимает во внимание условия и принципы Регламента 2016/679 Европейского парламента и Совета Европейского союза от 26 апреля 2016 года о защите физических лиц при обработке персональных данных и о свободном движении персональных данных, и об отмене Директивы 95/46/EC (далее Регламент GDPR).
4.12.2. Учитывая критерии и сферу применения Регламента GDPR, Организация сообщает следующее:
— Организация не учреждена на территории Европейского Союза и не имеет представительства на его территории;
— Организация в своей деятельности не направлена на предложение продуктов и услуг, вне зависимости от необходимости оплаты таких товаров и услуг субъектом персональных данных, субъектам персональных данных на территории Европейского Союза;
— Организация не осуществляет мониторинг поведения находящихся на территории ЕС субъектов в том смысле, в котором это обстоятельство определяет применимость Регламента GDPR к организациям, осуществляющим деятельность за пределами ЕС. Учитывая вышеизложенное, Регламент GDPR к деятельности Организации не применим. 4.12.3. Вместе с тем, Организация принимает все необходимые и достаточные правовые, организационные и технические меры для обеспечения конфиденциальности персональных данных, безопасности персональных данных при их обработке в соответствии с общими принципами и правилами обработки персональных данных и применимым законодательством Российской Федерации. 4.13. Трансграничная передача персональных данных осуществляется Оператором исключительно в исполнения договора между Оператором и субъектом персональных данных, а также при наличии согласия на такую передачу и в иных предусмотренных законодательством Российской Федерации случаях.
5. ПОРЯДОК БЛОКИРОВАНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Оператор блокирует персональные данные в порядке и на условиях,
предусмотренных законодательством в области персональных данных. 5.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон. 5.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
5.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления неправомерной обработки. 5.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Оператором, либо если Оператор не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
5.6. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней. 5.7. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иное соглашение между ним и Оператором. Кроме того, персональные данные уничтожаются в указанный срок, если Оператор не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
5.8. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные,
которые подлежат уничтожению, осуществляют сотрудники Оператора, обрабатывающие персональные данные. 5.9. Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора.
5.9.1. Комиссия составляет акт с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению. 5.9.2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации. 5.9.3. Непосредственно после уничтожения персональных данных оформляется акт об их уничтожении. Форма акта утверждается приказом генерального директора.
6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ. ПРОЦЕДУРЫ, НАПРАВЛЕННЫЕ НА ПРЕДОТВРАЩЕНИЕ И ВЫЯВЛЕНИЕ НАРУШЕНИЙ ЗАКОНОДАТЕЛЬСТВА, УСТРАНЕНИЕ ПОСЛЕДСТВИЙ ТАКИХ НАРУШЕНИЙ
6.1. Для защиты персональных данных субъект персональных данных Оператор обязан
соблюдать следующие правила:
— ограничение состава лиц, функциональные обязанности которых требуют доступа к
информации, содержащей персональные данные;
— избирательное и обоснованное распределение документов и информации,
содержащих персональные данные субъектов персональных данных, между лицами, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;
— в помещениях Оператора должны быть обеспечены необходимые условия для работы с конфиденциальными документами и базами данных, в том числе содержащих персональные данные (в частности, для хранения документов, содержащих персональные данные, должны использоваться специально оборудованные шкафы или сейфы, которые запираются на ключ);
— должен быть организован порядок уничтожения информации, содержащей персональные данные субъекта персональных данных, если законодательством не установлены требования по хранению соответствующих данных (в частности, бумажные носители, содержащие персональные данные должны уничтожаться путем использования шредера или иным аналогичным способом);
— с работниками должна производиться разъяснительная работа по предупреждению утраты сведений при работе с конфиденциальными документами (в том числе, документами, содержащими персональные данные);
— личные дела работников могут выдаваться только специально уполномоченным должностным лицам;
— персональные компьютеры, на которых содержатся персональные данные, должны быть защищены паролями доступа;
— соблюдение порядка приема, учета и контроля деятельности посетителей на территории работодателя;
— контроль соблюдения требований по обеспечению безопасности персональных данных (путем проведения внутренних проверок, установления специальных средств мониторинга и др.);
— расследование случаев несанкционированного доступа или разглашения персональных данных и привлечение виновных лиц к ответственности;
— иные требования, предусмотренные законодательством.
6.2. Без письменного согласия субъекта персональных данных Оператор не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
6.2.1. Запрещено раскрытие и распространение персональных данных субъектов персональных данных по телефону.
6.3. С целью защиты персональных данных в Организации приказами генерального директора назначается (утверждаются):
— работник, ответственный за организацию обработки персональных данных;
— форма согласия на обработку персональных данных, форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, форма согласия на передачу персональных данных работника третьей стороне, форма обязательства о неразглашении персональных данных;
— форма согласия для участников инвестиционной платформы ТаланИнвест содержится в Правилах инвестиционной платформы и является неотъемлемой частью договора между участником платформы и Оператором;
— иные локальные нормативные акты, принятые в соответствии с требованиями законодательства в области персональных данных.
6.4. Работники и иные лица которые занимают должности, либо осуществляют, обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении.
6.5. Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ. Помещения Оператора, в которых они размещаются, оборудуются запирающими устройствами.
6.6. Доступ к персональной информации, содержащейся в информационных системах Оператора, осуществляется по индивидуальным паролям.
6.7. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Организации определяются и применяются с учетом установленных уровней защищенности персональных данных при их обработке в информационных системах персональных данных в соответствии с Постановлением Правительства Российской Федерации от 01.11.2012 No 1119.
6.8. Защита персональных данных при их обработке в информационных системах персональных данных Организации от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, обеспечивается применением взаимосвязанной совокупности мер и средств защиты, в частности:
— определяются угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
— применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, предназначенные для нейтрализации актуальных угроз безопасности;
— осуществляется оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
— осуществляется учет машинных носителей персональных данных;
— проводятся мероприятия по обнаружению фактов несанкционированного доступа к персональным данным и принятию соответствующих мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
— обеспечивается возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— устанавливаются правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных,
— обеспечивается регистрация и учет действий, совершаемых с персональными данными в информационной системе персональных данных;
— осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных.
6.9. В Организации проводятся внутренние расследования в следующих ситуациях: — при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных
данных; — в иных случаях, предусмотренных законодательством в области персональных
данных.
6.10. Работник, ответственный за организацию обработки персональных данных, осуществляет внутренний контроль:
— за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов;
— соответствием указанных актов, требованиям законодательства в области персональных данных.
6.11. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее — инцидент).
6.11.1. В случае инцидента Оператор в течение 24 часов уведомляет Роскомнадзор:
— об инциденте;
— его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;
— принятых мерах по устранению последствий инцидента;
— представителе Оператора, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом. 6.11.2. В течение 72 часов Оператор обязан сделать следующее:
— уведомить Роскомнадзор о результатах внутреннего расследования;
— предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).
6.12. В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней. Оператор уведомляет в письменном виде субъекта персональных данных (его
представителя) о внесенных изменениях и сообщает (по электронной почте) о них третьим лицам, которым были переданы персональные данные.
6.13. Оператор уведомляет субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных. Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос.
6.13.1.В случае уничтожения персональных данных, которые неправомерно обрабатывались, уведомление направляется в соответствии с п. 6.10 настоящей Политики.
6.14. В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Оператор уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде. Оператор уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.
6.15. Порядок оценки вреда, который может быть причинен субъектам персональных данных.
6.16. Результаты оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований законодательства в области персональных данных, оформляются протоколом по результатам проведения внутреннего расследования.
6.17. Критерии отнесения к категориям риска должны учитывать тяжесть потенциальных негативных последствий возможного несоблюдения требований законодательства в сфере персональных данных и принимаемыми в соответствии с ними иными нормативными правовыми актами, законами и иными нормативными правовыми актами субъектов Российской Федерации, и вероятность несоблюдения обязательных требований.
6.18. Оценка тяжести потенциальных негативных последствий возможного несоблюдения обязательных требований проводится с учетом возможной степени тяжести потенциальных случаев причинения вреда и (или) возможной частоты возникновения и масштаба распространения потенциальных негативных последствий в рамках подобных случаев причинения вреда и (или) с учетом трудности преодоления возникших в их результате негативных последствий возможного несоблюдения обязательных требований.
6.19. При оценке вероятности несоблюдения Оператором обязательных требований анализируется имеющаяся информация о результатах ранее проведенных проверок и принятых мерах для соблюдения обязательных требований.
6.20. Категории тяжести определяются в соответствии со следующей таблицей:
| Вероятность | Последствия | ||
|---|---|---|---|
| Незначительные | Умеренно значимые | Серьезные | |
| Маловероятно | 1 Малозначимая |
2 Малая |
3 Умеренная |
| Вероятно | 2 Малая |
3 Умеренная |
4 Значительная |
| Высокая вероятность | 3 Умеренная |
4 Значительная |
5 Недопустимая |
6.21. В таблице принято три уровня серьезности последствий и три уровня вероятности возникновения вреда. Сначала определяется серьезность последствий, причиненных несоблюдением, с помощью трёх разных позиций в верхней строке таблицы, после этого оценивается вероятность причиненного вреда с помощью первого столбца. На пересечении
трёх выбранных направлений указана величина найденной категории риска. Величины риска различаются от минимальной — значение «1» (малозначимый риск), до максимальной, значение «5» (недопустимый риск). За итоговую категорию тяжести принимается максимальная категория из выявленных при проведении внутреннего контроля (аудита) соответствия обработки персональных данных требованиям к защите персональных данных.
6.22. Действия по снижению вреда, который может быть причинен субъектам персональных данных определяется в зависимости от категории тяжести в соответствии с настоящей Политикой.
| Категория тяжести | Действия по снижению вреда |
|---|---|
| Малозначимая | Не требуются дополнительные действия. Необходимо поддержание соблюдения обязательных требований в рабочем состоянии, проведение мониторинга. |
| Малая | Не требуются дополнительные действия. Оператору необходимо провести мероприятия, которые позволяют убедиться, что соблюдения обязательных требований поддерживаются в рабочем состоянии. Необходимо дальнейшее поддержание соблюдения обязательных требований в рабочем состоянии, проведение мониторинга. |
| Умеренная | Оператору необходимо запланировать мероприятия по снижению риска несоблюдения обязательных требований и определить сроки выполнения данных мероприятий. Мероприятия должны быть выполнены в установленные сроки. Возможно, должны быть выделены ресурсы на дополнительные меры. |
| Значительная | Необходимы значительные улучшения в средствах соблюдения обязательных требований, чтобы риск был снижен до умеренного уровня. Работа должна быть остановлена до тех пор, пока не будут приведены в действие средства соблюдения обязательных требований, снижающие величину риска до умеренного и ниже. Если соблюдение обязательных требований невозможно, работа должна быть запрещена. |
| Недопустимая | Категорически запрещается работа в данных условиях до тех пор, пока уровень соблюдения обязательных требований не станет умеренным и ниже. |
7. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ, УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
7.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого
Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
7.2. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
7.3. Запрос должен содержать: — номер основного документа, удостоверяющего личность субъекта персональных
данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
— сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, номер телефона аккаунта пользователя платформы и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
— подпись субъекта персональных данных или его представителя.
7.4. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
7.5. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
7.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
7.7. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. 7.8. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
7.9. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
7.10. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
— в течение 24 часов — уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
— в течение 72 часов — уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
7.11. Порядок уничтожения персональных данных Оператором.
7.11.1. Условия и сроки уничтожения персональных данных Оператором: — достижение цели обработки персональных данных либо утрата необходимости
достигать эту цель — в течение 30 дней; — достижение максимальных сроков хранения документов/файлов, содержащих
персональные данные, — в течение 30 дней; — предоставление субъектом персональных данных (его представителем)
подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, — в течение семи рабочих дней;
— отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, — в течение 30 дней.
7.11.2.При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
— иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
— Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
— иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
8. ПРАВА И ОБЯЗАННОСТИ СТОРОН
8.1. Пользователь обязан:
8.1.1. Предоставлять Организации достоверную персональную информацию пользователя, необходимую для использования сервисов.
8.1.2. Не осуществлять незаконное использование и копирование контента, без получения согласия правообладателя соответствующего контента сайта.
8.2. Оператор обязан:
8.2.1. Использовать полученную персональную информацию пользователя исключительно для целей, указанных в настоящей политике конфиденциальности и согласии на обработку персональных данных.
8.2.2. Обеспечить хранение конфиденциальной информации в тайне, не разглашать без предварительного письменного разрешения пользователя, а также не осуществлять продажу, обмен, опубликование либо разглашение иными возможными способами переданных персональных данных пользователя, за исключением предусмотренных настоящей Политикой.
8.2.3. Принимать меры предосторожности для защиты конфиденциальности персональных данных пользователя согласно порядку, обычно используемому для защиты такого рода информации в существующем деловом обороте.
8.2.4. В установленном порядке взаимодействовать с госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, в том числе уведомлять о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.
8.2.5. Осуществить блокирование персональных данных, относящихся к соответствующему пользователю, с момента обращения или запроса пользователя или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки в случае выявления недостоверных персональных данных или неправомерных действий.
8.2.6. Уничтожить персональные данные в случае отзыва согласия на их обработку пользователем, если иное не предусмотрено законом или соглашением, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
8.2.7. Сообщить по запросу пользователя информацию об осуществляемой им обработке персональных данных такого пользователя.
8.2.8. Отправлять пользователю от своего имени самостоятельно или с привлечением технических партнеров информационные, в том числе сервисные и рекламные сообщения (при наличии согласия пользователя), на электронную почту пользователя, мобильный телефон или через используемые им сервисы (социальные сети, мессенджеры и иные).
8.3. Пользователь вправе:
8.3.1. Получать от Организации информацию, касающуюся обработки его персональных данных, в том числе содержащую:
— подтверждение факта обработки персональных данных Организацией; — правовые основания и цели обработки персональных данных; — цели и применяемые Организацией способы обработки персональных данных; — наименование и место нахождения Организации, сведения о лицах (за
исключением работников), которые имеют доступ к персональным данным или которым могут быть переданы или раскрыты персональные данные на основании договора с Организацией или на основании федерального закона;
— перечень и категории обрабатываемых персональных данных, относящихся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
— сроки обработки персональных данных, в том числе сроки их хранения;
— порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом No152-ФЗ;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Организации, если Обработка поручена или будет поручена такому лицу;
— иные сведения, предусмотренные законом.
8.3.2. Отозвать свое согласие на обработку персональных данных путем направления соответствующего запроса оператору по контактным данным, указанным на сайте и согласно порядку, указанному в правилах инвестиционной Платформы.
8.3.3. Потребовать исправить свои персональные данные в случае обнаружения неточностей в составе персональных данных, которые обрабатываются Организацией, а также внести дополнения в персональные данные, в том числе посредством предоставления дополнительного заявления.
8.3.4. Потребовать удалить свои персональные данные из систем Организации, если персональные данные больше не требуются для целей, в которых они были получены, и у Организации отсутствуют имеющиеся законные основания для обработки его данных. 8.3.5. Отказаться от получения рекламной и другой информации без объяснения причин отказа. Отказ от получения рекламной и иной информации осуществляется путем обращения пользователя.
8.4. В случае неисполнения Организацией своих обязанностей в отношении обработки персональных данных, несет ответственность за реальные, подтвержденные документально убытки пользователя, возникшие в результате неправомерного использования персональных данных Организацией в соответствии с законодательством Российской Федерации.
8.5. В случае утраты или разглашения персональных данных пользователя Организация не несет ответственности, если указанные персональные данные:
— стали общедоступными до их утраты или разглашения; — были получены от третьей стороны до момента их получения Организацией; — были разглашены с согласия пользователя.
9. ДОПОЛНИТЕЛЬНЫЕ УСЛОВИЯ
9.1. Организация вправе вносить изменения в Политику без уведомления пользователя. Пользователь обязуется периодически просматривать Политику на предмет любых изменений. В том числе в форму согласия на обработку персональных данных, являющуюся неотъемлемой частью правил инвестиционной Платформы.
9.2. В целях исполнения обязанности Оператора обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных, Оператор публикует в открытом и постоянном доступе на своих сайтах настоящую Политику.
9.3. В случае принятия Оператором Политики в новой редакции, такая Политика вступает в силу с момента ее размещения на сайтах Организации, если иное не предусмотрено новой редакцией Политики.