1. Общие положения

1.1. Политика об обработке персональных данных в ООО «ФБК Поволжье» (далее – Политика) действует в отношении всех персональных данных для обрабатываемых в ООО «ФБК Поволжье» и определяет основные цели, принципы, условия и способы обработки и хранения персональных данных, объем и категории, обрабатываемых в ООО «ФБК Поволжье» (далее – Фирма) персональных данных, права субъектов персональных данных, а также определяет основные меры, реализуемые Фирмой для обеспечения защиты персональных данных.
1.2. Настоящая Политика разработано с учетом требований Конституции Российской Федерации, законодательных и иных нормативных актов Российской Федерации, в том числе Гражданского кодекса, Трудового кодекса, федеральных законов «О персональных данных», «Об информации, информационных технологиях и о защите информации», а также иных внутренних нормативных документов Фирмы.
1.3. Являясь оператором персональных данных, Фирма несет ответственность за обеспечение безопасности персональных данных, защиты прав и свобод субъектов при обработке их персональных данных и выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных».
1.4. Политика распространяется на отношения в области обработки персональных данных, возникшие у Фирмы как до, так и после утверждения настоящей Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите персональных данных, полученных до ее утверждения.
1.5. Настоящая Политика является общедоступным документом, декларирующим концептуальные основы деятельности Фирмы при обработки персональных данных, и подлежит размещению на официальном сайте Фирмы.

2. Основные определения

Сотрудник - физическое лицо, вступившее в трудовые отношения с Фирмой;
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Субъекты персональных данных – физическое или юридическое лицо, сотрудник, а также иные лица, чьи персональные данные стали известны Фирме в процессе аудиторской деятельности;
Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Специальные категории персональных данных - персональные данные субъектов персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости;
Информационная система персональных данных - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Конфиденциальность персональных данных - обязательное для соблюдения оператором требование по нераскрытию третьим лицам и недопущению распространения персональных данных без согласия субъектов персональных данных или наличия иного законного основания;
Защита персональных данных - деятельность оператора, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные;
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Иные термины и положения в настоящей Политике используются в соответствии с их значениями, определенными в Федеральном законе «О персональных данных».

3. Общие принципы и цели обработки персональных данных

3. Общие принципы и цели обработки персональных данных

3.1. Обработка персональных данных в Фирме осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом «О персональных данных», и учитывает необходимость обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайны:
- обработка осуществляется на законной и справедливой основе;
- обработка ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только те персональные данные, которые отвечают целям обработки;
- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, не допускается обработка данных, избыточных по отношению к заявленным целям;
- при обработке обеспечиваются точность и достаточность персональных данных и при необходимости актуальность по отношению к целям обработки. Фирма принимает меры по удалению или уточнению неполных или неточных данных либо обеспечивает принятие таких мер;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом «О персональных данных».
3.2. Обработка персональных данных осуществляется в объеме и в целях, указанных в согласии субъекта персональных данных или предписанных законодательством Российской Федерации.
Персональные данные обрабатываются в следующих целях:

Физические лица, являющиеся пользователями услуг Фирмы или состоящие в договорных и иных гражданско-правовых отношениях с Фирмой

в целях исполнения договоров, заключенных с такими лицами, а также в целях противодействия коррупции, легализации доходов, полученных преступным путем и финансированию терроризма

Физические лица, являющиеся по отношению к юридическим лицам – пользователям услуг Фирмы, их представителями, бенефициарными владельцами, аффилированными лицами, выгодоприобретателями

в целях исполнения договоров, заключенных с юридическими лицами – пользователями или состоящими в договорных и иных гражданско-правовых отношениях, а также в целях противодействия коррупции, легализации доходов, полученных преступным путем и финансированию терроризма

Сотрудники Фирмы, в том числе уволенные, физические лица, претендующие на вакансии Фирмы, лица, проходящие учебную практику в Фирме, посетители Фирмы, члены семей сотрудников Фирмы - в случаях, когда согласно законодательству сведения о них предоставляются работником, иные физические лица (при наличии согласия на обработку персональных данных)

в целях обеспечения выполнения договорных соглашений с сотрудниками, обеспечения им установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, обучения и должностного роста, обеспечения их личной безопасности и членов их семьи, сохранности принадлежащего им имущества, обеспечения кадровой работы, формирования кадрового резерва, учета результатов выполнения работниками должностных обязанностей, а также в целях противодействия коррупции

Физические лица, являющиеся аффилированными лицами (руководитель, участник, бенефициарный владелец и т.д.) по отношению к Фирме

в целях соблюдения требований Федеральных законов и иных нормативных правовых актов.

3.3. При обработке персональных данных Фирма обязана обеспечить их конфиденциальность.

4. Категории субъектов персональных данных

4.1. Категории субъектов персональных данных установлены в п. 3.2 настоящей Политики.

5. Объем и категории персональных данных, обрабатываемых в Фирме

5.1. Категории персональных данных, обрабатываемых в Фирме, и их объем определяется в соответствии с законодательством Российской Федерации и внутренними документами Фирмы с учетом общих принципов и целей обработки персональных данных, указанных в разделе 3 настоящей Политики и в соответствии с Уведомлением об обработке персональных данных, направляемым в уполномоченный орган по защите прав субъектов персональных данных.
5.2. Персональные данные специальных категорий могут обрабатываться Фирмой в случаях, предусмотренных законодательством и нормативными актами Российской Федерации.

6. Условия обработки персональных данных в Фирме

6.1. До начала обработки персональных данных Фирма обязана уведомить Роскомнадзор о намерении осуществлять обработку персональных данных.
6.2. Персональные данные получаются и обрабатываются на основании федеральных законов и иных нормативно-правовых актов Российской Федерации, а в необходимых случаях – при наличии согласия на обработку субъекта персональных данных.
6.3. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящей Политики.
6.4. Обработка персональных данных включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, и может осуществляться, в том числе, посредством:
- получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
- предоставления субъектами персональных данных оригиналов необходимых документов или заверенных в установленном порядке копий документов, содержащих персональные данные, или копирования оригиналов документов;
- получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации;
- получения персональных данных из общедоступных источников;
- фиксации (регистрации) персональных данных в информационных системах и других формах, установленными внутренними нормативными документами Фирмы.
6.5. Обработка персональных данных без согласия субъекта персональных данных допускается для достижения целей, предусмотренных законодательством Российской Федерации, а также для осуществления и выполнения функций, полномочий и обязанностей, возложенных законодательством Российской Федерации, или в иных случаях, установленных законодательством Российской Федерации.
6.6. Фирма предоставляет обрабатываемые ею персональные данные государственным органам и иным организациям, имеющим в соответствии с законодательством Российской Федерации право на получение соответствующих персональных данных.
6.7. Передача персональных данных третьим лицам допускается с письменного согласия субъектов персональных данных, за исключением случаев, установленных законодательством Российской Федерации.
При передаче персональных данных третьим лицам в соответствии с заключенными договорами Фирма обеспечивает обязательное выполнение требований законодательства Российской Федерации и внутренних нормативных документов в области персональных данных.
Трансграничная передача персональных данных Фирмой не осуществляется.
6.8. Фирма вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица обеспечивать конфиденциальность и безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных.
6.9. Фирма не осуществляет обработку и хранение персональных данных, не предусмотренные целями их сбора. По достижении целей обработки или в случае утраты необходимости в их достижении по окончании сроков обработки и хранения персональных данных обработанные персональные данные уничтожаются или обезличиваются.
Сроки обработки и хранения персональных данных устанавливаются в соответствии с Федеральным законом «О персональных данных», сроком согласия, предоставленным субъектом персональных данных на их обработку, сроками хранения, установленными внутренними нормативными документами, а также иными сроками, установленными в соответствии с требованиями законодательства Российской Федерации.
6.10. Обработка персональных данных может осуществляться:
- с использованием средств вычислительной техники (автоматизированная обработка);
- без использования средств вычислительной техники (неавтоматизированная обработка).
6.11. К обработке персональных данных допускаются только те сотрудники Фирмы, в должностные обязанности которых входит обработка персональных данных. Указанные сотрудники имеют право получать только те персональные данные, которые необходимы им для выполнения возложенных на них функций и должностных обязанностей.

7. Права субъектов персональных данных

7.1. Права субъектов персональных данных определяются в строгом соответствии с законодательством Российской Федерации. В том числе, но не исключительно, субъект персональных данных имеет право:
- требовать от Фирмы уточнения, блокирования или уничтожения своих персональных данных, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также в случаях, предусмотренных законодательством Российской Федерации;
- получать полную информацию, касающуюся обработки в Фирме его персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
- требовать исправления неверных либо неполных персональных данных, а также данных, обрабатываемых с нарушением требований законодательства Российской Федерации;
- отозвать согласие на обработку своих персональных данных;
- принимать предусмотренные законодательством Российской Федерации меры по защите своих прав и законных интересов, в том числе обжаловать действия или бездействие оператора при обработке своих персональных данных в соответствии с законодательством Российской Федерации;
- требовать извещения всех лиц, которым ранее были сообщены его неверные или неполные персональные данные, обо всех произведенных в них изменениях;
- осуществлять иные права, предусмотренные законодательством Российской Федерации.
7.2. Сведения предоставляются субъекту персональных данных либо его законному представителю при обращении или получении письменного запроса. Обращение или запрос могут быть направлены письменно или в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации.

8. Права и обязанности ООО «ФБК Поволжье»

8.1. Обязанности Фирмы при обработке персональных данных:
- принимать необходимые меры для выполнения обязанностей Фирмы как оператора, предусмотренных законодательством Российской Федерации в сфере обработки и защиты персональных данных;
- назначить лицо, ответственное за организацию обработки и защиты персональных данных;
- разъяснять субъекту персональных данных юридические последствия отказа предоставить персональные данные, если это является обязательным в соответствии с законодательством Российской Федерации;
- осуществлять блокирование неправомерно обрабатываемых персональных данных;
- осуществлять прекращение обработки персональных данных в соответствии с законодательством Российской Федерации;
- уничтожать или обезличивать персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;
- уведомлять субъекта персональных данных об устранении допущенных нарушений или уничтожении его персональных данных;
- предоставлять по просьбе субъекта персональных данных или его представителя информацию, касающуюся обработки его персональных данных, в порядке, установленном законодательством Российской Федерации и нормативными актами;
- обеспечить неограниченный доступ к настоящей Политике посредством опубликования на сайте Фирмы;
- осуществлять ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальных нормативных документов Фирмы в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных сотрудников;
- иные обязанности, предусмотренные законодательством Российской Федерации в области персональных данных.
8.2. Права Фирмы:
- защищать свои интересы в судебном порядке;
- представлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством Российской Федерации;
- отказывать в представлении персональных данных в случаях, предусмотренных законодательством Российской Федерации;
- привлекать третьих лиц для обработки персональных данных и поручать обработку персональных данных третьим лицам в соответствии с законодательством Российской Федерации и согласием на обработку персональных данных;
- принимать организационные и/или технические меры защиты персональных данных и конфиденциальной информации;
− принимать меры по защите от несанкционированного доступа конфиденциальной информации и персональных данных;
− принимать меры для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных;
- иные права, предусмотренные законодательством Российской Федерации в области персональных данных.

9. Обеспечение безопасности персональных данных

9.1. Обеспечение безопасности персональных данных при их обработке в Фирме осуществляется в соответствии с законодательством Российской Федерации.
9.2. В предусмотренных законодательством случаях обработка персональных данных осуществляется Фирмой с согласия субъекта персональных данных .
9.3. Фирма предпринимает необходимые правовые, организационные и технические меры для защиты персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий, в том числе:
- разработка и утверждение внутренних нормативных документов в области обработки и защиты персональных данных;
- назначение должностных лиц, ответственных за обеспечение безопасности персональных данных, в том числе в информационных системах;
- организацию обучения и проведение методической работы с сотрудниками, осуществляющими обработку персональных данных в Фирме;
- создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные;
- организацию учета материальных носителей персональных данных и информационных систем, в которых обрабатываются персональные данные;
- хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
- обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;
- обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;
- установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям и сети Интернет без применения установленных в Фирме мер по обеспечению безопасности персональных данных;
- обеспечение защиты документов, содержащих персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи;
- осуществление внутреннего контроля за соблюдением законодательства Российской Федерации и внутренних нормативных документов Фирмы в сфере обработки и защиты персональных данных.
9.4. Для обеспечения безопасности персональных данных при неавтоматизированной обработке предпринимаются следующие меры:
- определяются места хранения персональных данных;
- обособление персональных данных от иной информации;
- все действия при неавтоматизированной обработке персональных данных осуществляются только сотрудниками, уполномоченными соответствующими приказами и распоряжениями Генерального директора, и только в объеме, необходимом данным сотрудникам для выполнения ими возложенных на них функций и должностных обязанностей.
9.4.1. Обработка персональных данных при неавтоматизированной обработке осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
9.5. Для обеспечения безопасности персональных данных при автоматизированной обработке предпринимаются следующие меры:
- использование межсетевых экранов;
- использование средств антивирусной безопасности;
- использование безопасного серверного оборудования;
- использование средств шифрования и криптографии;
- использование резервного копирования и иных средств для предотвращения случайного повреждения или уничтожения персональных данных.
9.5.1. Обработка персональных данных при автоматизированной обработке осуществляется с соблюдением порядка, предусмотренного Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
9.6. В целях выполнения обязанностей Фирмы как оператора, предусмотренных законодательством Российской Федерации, Генеральный директор Фирмы назначает лицо, ответственное за организацию обработки и защиты персональных данных.
Лицо, ответственное за организацию обработки и защиты персональных данных, обязано:
- организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в Фирме, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- обеспечивать внутренний контроль за соблюдением в Фирме требований законодательства Российской Федерации и внутренних нормативных документов в области персональных данных, в том числе требований к защите персональных данных;
- организовывать доведение до сведения сотрудников Фирмы положения законодательства Российской Федерации в области персональных данных, внутренних нормативных документов по вопросам обработки персональных данных, а также требований к защите персональных данных;
- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений в Фирме.

10. Доступ к персональным данным

10.1. Доступ к обрабатываемым персональным данным имеют:
- лица, которым Фирма поручила обработку персональных данных на основании заключенного договора;
- лица, чьи персональные данные подлежат обработке;
- сотрудники, уполномоченные соответствующими приказами или распоряжениями Генерального директора.
10.2. Доступ сотрудников Фирмы к обрабатываемым персональным данным осуществляется в строгом соответствии с их функциями, должностными обязанностями и требованиями внутренних нормативных документов Фирмы.
10.3. Допущенные к обработке персональных данных сотрудники Фирмы под роспись знакомятся с настоящей Политикой, а также иными документами Фирмы, устанавливающими права и обязанности отдельных сотрудников.
10.4. Порядок доступа субъекта персональных данных к его персональным данным, обрабатываемым Фирмой, определяется в соответствии с законодательством и определяется внутренними нормативными документами Фирмы.

11. Заключительные положения

11.1. Настоящая Политика вступает в силу с даты его утверждения приказом Генерального директора и действует до его отмены приказом Генерального директора или до введения новой Политики.
11.2. Внесение изменений в настоящую Политику производится приказом Генерального директора. Изменения вступают в силу с момента подписания соответствующего приказа.
11.3. В случае если отдельные нормы настоящей Политики вступят в противоречие с нормами действующего законодательства, они утрачивают силу, и применяются соответствующие нормы законодательства. Недействительность отдельных норм настоящей Политики не влечет недействительности других норм и настоящей Политики в целом.
11.4. Настоящая Политика должно быть доступно и доведено до сведения каждого сотрудника Фирмы.
11.5. Ответственность за актуализацию настоящей Политики возлагается на лицо, ответственное за организацию обработки и защиты персональных данных.
11.6. Ответственность за нарушение требований законодательства Российской Федерации и внутренних нормативных документов Фирмы в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.