Политика конфиденциальности

г. Москва УТВЕРЖДЕНО
Приказом Генерального директора
ООО «Кодиров Инвест Торг»
от 01.10.2023 г. № 1/10-23

ПОЛОЖЕНИЕ
ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ
«КОДИРОВ ИНВЕСТ ТОРГ»
О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
(далее – «Общество»)

1. ОБЩЕЕ ПОЛОЖЕНИЯ
1.1. Целью данного Положения является защита персональных данных Пользователей, как этот термин определен в Пользовательском соглашении Общества и сотрудников Общества от несанкционированного доступа, неправомерного их использования или утраты.
1.2. Настоящее Положение разработано на основании Конституции РФ, Кодекса об административных правонарушениях РФ, Гражданского Кодекса РФ, Уголовного Кодекса РФ, а также Федерального закона «Об информации, информатизации и защите информации» и Пользовательского соглашения.
1.3. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.
1.4. Настоящее Положение утверждается и вводится в действие приказом Генерального директора и является обязательным для исполнения всеми работниками Общества, самим Обществом и всеми Пользователями согласно Пользовательском соглашении Общества, имеющими доступ или обладающими персональными данными.

2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЯ
2.1. Персональные данные - информация, необходимая Обществу в связи с гражданско-правовыми отношениями, возникающими между Пользователем и Обществом при заключении договор услуг, которые оказывает Общества, в том числе с использованием сети Интернет. Под информацией о Пользователе понимаются сведения о фактах, событиях и обстоятельствах жизни Пользователя, позволяющие идентифицировать его личность.
2.2. В состав персональных данных Пользователя входят:
- анкетные и биографические данные;
- образование;
- сведения о трудовом и общем стаже;
- сведения о составе семьи;
- паспортные данные;
- сведения о воинском учете;
- сведения о заработной плате сотрудника;
- имуществе и доходах Пользователя
- специальность,
- занимаемая должность;
- наличие судимостей;
- адрес места жительства;
- домашний телефон;
- место работы или учебы членов семьи и родственников;
- характер взаимоотношений в семье;
- содержание трудового договора;
- состав декларируемых сведений о наличии материальных ценностей;
- содержание декларации, подаваемой в налоговую инспекцию;
- подлинники и копии приказов по личному составу;
- личные дела и трудовые книжки сотрудников;
- копии отчетов, направляемые в органы статистики;
- и иная информация и документы, которые действующим законодательством РФ относится к персональным данным.
2.3. Данные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится.

3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЯ
3.1. Под обработкой персональных данных работника понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных Пользователя при оказании услуг Обществом, в том числе с использование сети Интернет.
3.2. В целях обеспечения прав и свобод человека и гражданина Общество и его представители при обработке персональных данных Пользователя обязаны соблюдать следующие общие требования:
3.2.1. Обработка персональных данных Пользователя может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия Пользователям в при реализации прав и обязанностей по договорам, заключенным между Обществом и Пользователем, обеспечения личной безопасности Пользователя, контроля количества и качества оказываемых услуг и обеспечения сохранности имущества Пользователя и его персональных данных в безопасности.
3.2.2. При определении объема и содержания обрабатываемых персональных данных Пользователя Общество должен руководствоваться Конституцией Российской Федерации, Гражданским кодексом Российской Федерации и федеральными законами.
3.2.3. Получение персональных данных Пользователем может осуществляться как путем представления их самим Пользователем, так и путем получения их из иных источников, в том числе но не ограничиваясь этим путем предоставления персональной информации на сайте, принадлежащем Обществ и при использовании личного кабинета согласно Пользовательского соглашению.
3.2.4. Персональные данные возможно получать у Пользователя или его представителя, надлежащим образом уполномоченного нотариальной доверенностью. Если персональные данные Пользователя возможно получить только у третьей стороны, то Пользователь должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Общество должно сообщить Пользователю о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Пользователя дать письменное согласие на их получение.
3.2.5. Общество не имеет права получать и обрабатывать персональные данные Пользователя о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами гражданско-правовых отношений, возникающих из договоров, заключенным между Обществом и Пользователем, данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений при запросе соответствующей информации кредиторами) могут быть получены и обработаны Обществом только с письменного согласия Пользователя, в том числе предоставлено путем дачи такого согласия на сайте, принадлежащем Обществу.
3.2.6. Общество не имеет право получать и обрабатывать персональные данные Пользователя о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
3.3. К обработке, передаче и хранению персональных данных Пользователя могут иметь доступ сотрудники Общества в силу выполнениях своих должностных обязанностей:
- бухгалтерии;
- сотрудники службы безопасности Общества;
- Юридический отдел;
- сотрудники компьютерных отделов.
3.4. Использование персональных данных Пользователя возможно только в соответствии с целями, определившими их получение.
3.4.1. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда Пользователю, затруднения реализации прав и свобод Пользователя как гражданина Российской Федерации. Ограничение прав Пользователя как гражданам Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено в соответствии с законодательством Российской Федерации.
3.5. Передача персональных данных Пользователя возможна только с письменного согласия Пользователя, в том числе предоставлено путем дачи такого согласия на сайте, принадлежащем Обществу, или в случаях, прямо предусмотренных законодательством Российской Федерации.
3.5.1. При передаче персональных данных Пользователя Общество должно соблюдать следующие требования:
- не сообщать персональные данные Пользователя третьей стороне без письменного согласия Пользователя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Пользователя, а также в случаях, установленных законодательством Российской Федерации;
- не сообщать персональные данные Пользователя в коммерческих целях без его письменного согласия;
- предупредить лиц, в том числе, но не ограничиваясь этим, кредиторов, займодавцев, получающих персональные данные Пользователя, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные Пользователя, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными Пользователя в порядке, установленном законодательством Российской Федерации;
- разрешать доступ к персональным данным Пользователя только специально уполномоченным лицам, определенным приказом Генерального директора Общества, при этом указанные лица должны иметь право получать только те персональные данные Пользователя, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья Пользователя, за исключением тех сведений, которые относятся к вопросу о возможности предоставления Пользователю займов, кредитов;
- передавать персональные данные Пользователя в порядке, установленном законодательством Российской Федерации, и ограничивать эту информацию только теми персональными данными Пользователя, которые необходимы для выполнения указанными представителями их функций.
3.5.2. Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
3.5.3. При передаче персональных данных Пользователя кредиторам, займодавцам и иным третьим лицам для целей исполнения договора оказания услуг, заключенного между Пользователем и Обществом (в том числе и в коммерческих целях) за пределы Общества не должен сообщать эти данные третьей стороне без письменного согласия Пользователя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Пользователя или в случаях, установленных законодательством Российской Федерации;
3.6. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Пользователя распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
3.7. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.
3.8. Хранение персональных данных Пользователя должно происходить в порядке, исключающем их утрату или их неправомерное использование, в том числе, но не ограничиваясь этим, с использованием сайта в сети Интернет, принадлежащем Обществу.
3.9. При принятии решений, затрагивающих интересы Пользователя, Общество не имеет права основываться на персональных данных Пользователя, полученных исключительно в результате их автоматизированной обработки или электронного получения.

4. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ ПОЛЬЗОВАТЕЛЯ
4.1. Внутренний доступ (доступ внутри Общества).
4.1.1. Право доступа к персональным данным Пользователя имеют:
- Генеральный директор Общества;
- руководители структурных подразделений Общества по направлению деятельности;
- сам Пользователь, носитель данных.
- другие сотрудники Общества при выполнении ими своих служебных обязанностей.
4.1.2. Перечень лиц, имеющих доступ к персональным данным Пользователя, определяется приказом Генерального директора Общества.
4.2. Внешний доступ.
4.2.1. К числу массовых потребителей персональных данных вне Общества относятся государственные и негосударственные функциональные структуры:
- налоговые инспекции;
- правоохранительные органы;
- органы статистики;
- страховые агентства;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- подразделения муниципальных органов управления;
- следственные органы;
- органы прокуратуры;
- иные государственные органы.
4.2.2. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.
4.2.3. Организации, в которые Пользователь может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным Пользователя только в случае его письменного разрешения.
4.2.4. Другие организации.
Сведения о Пользователе или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления Пользователя.
Персональные данные Пользователя могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого Пользователя.

5. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЯ
5.1. Под угрозой или опасностью утраты персональных данных Пользователя понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
5.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
5.3. Защита персональных данных Пользователя представляет собой подробно регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности Общества.
5.4. Защита персональных данных Пользователя от неправомерного их использования или утраты должна быть обеспечена Обществом за счет его средств в порядке, установленном законодательством Российской Федерации.
5.5. "Внутренняя защита".
5.5.1. Регламентация доступа персонала Общества к персональным данным Пользователя сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и специалистами Общества.
5.5.2. Для обеспечения внутренней защиты персональных данных Пользователя необходимо соблюдать ряд мер:
- ограничение и регламентация состава работников Общества, функциональные обязанности которых требуют конфиденциальных знаний;
- строгое избирательное и обоснованное распределение документов и информации между работниками Общества;
- рациональное размещение рабочих мест работников Общества, при котором исключалось бы бесконтрольное использование защищаемой информации;
- знание работниками Общества требований нормативно - методических документов по защите информации и сохранении тайны;
- наличие необходимых условий в помещении для работы с персональными данными и документами и базами данных;
- определение и регламентация состава работников Общества, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;
- организация порядка уничтожения персональной информации Пользователя;
- своевременное выявление нарушения требований разрешительной системы доступа работниками Общества;
- воспитательная и разъяснительная работа с сотрудниками Общества по предупреждению утраты ценных сведений при работе с персональными данными Пользователя;
5.5.3. Защита персональных данных Пользователя на электронных носителях.
Все папки, содержащие персональные данные Пользователя, должны быть защищены паролем, который сообщается руководителю службы безопасности, руководителю службы информационных технологий и генеральному директору Общества
5.6. "Внешняя защита".
5.6.1. Для защиты персональных данных Пользователя создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и получению информации. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только получение ценных сведений и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
5.6.2. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности Общества, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в Обществе.
5.6.3. Для обеспечения внешней защиты персональных данных Пользователя необходимо соблюдать ряд мер:
- порядок приема, учета и контроля деятельности посетителей;
- пропускной режим Общества;
- технические средства охраны, сигнализации;
- использование современных средств защиты информации.
5.7. Все лица, связанные с получением, обработкой и защитой персональных данных Пользователя, обязаны подписать обязательство о неразглашении персональных данных и ознакомится под роспись с настоящей политикой.
5.8. По возможности персональные данные Пользователя обезличиваются.
5.9. Кроме мер защиты персональных данных, установленных законодательством Российской Федерации, Общество, работники Общества и их представители могут вырабатывать совместные меры защиты персональных данных Пользователей.

6. ПРАВА И ОБЯЗАННОСТИ ПОЛЬЗОВАТЕЛЯ
6.1. Закрепление прав Пользователя, регламентирующих защиту его персональных данных, обеспечивает сохранность полной и точной информации о нем.
6.2. Работники Общества должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных Пользователе, а также об их правах и обязанностях в этой области.
6.3. В целях защиты персональных данных, хранящихся у Общества, Пользователь имеет право:
- требовать исключения или исправления неверных или неполных персональных данных.
- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
- персональные данные оценочного характера дополнить заявлением, выражающим его собственную точку зрения;
- определять своих представителей для защиты своих персональных данных;
- на сохранение и защиту своей личной и семейной тайны.
6.4. Пользователь обязан:
- передавать Обществу или его представителю комплекс достоверных, документированных персональных данных.
- своевременно сообщать Обществу об изменении своих персональных данных
6.5. Пользователи ставят Общество в известность об изменении фамилии, имени, отчества, данных об образовании, профессии, имущественном положении, доходах и иную информацию, которая требуется для кредиторов и займодавцев для заключения договор кредитования и договоров займа, соответственно.
6.6. В целях защиты частной жизни, личной и семейной тайны Пользователь не должен отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда.

7. ОТЗЫВ СОГЛАСИЙ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЯ
7.1. Федеральное законодательство о защите персональных данных предоставляет Пользователю отозвать свое согласие на обработку персональных данных. Право на отзыв согласия является важным инструментом для обеспечения контроля над персональной информацией Пользователя и защиты приватности Пользователя.

7.2. Пользователь как субъект персональных данных вправе отозвать свое согласие на обработку персональных данных в любой момент. Пользователь не обязан объяснять причины отзыва согласия на обработку персональных данных оператору - Обществу, а сам отзыв согласия может быть написан в свободной форме.

7.3. Способ отзыва согласия на обработку персональных данных указывается в согласии на обработку персональных данных в соответствии с требованием ст. 9 ФЗ «О персональных данных». Пользователь направляет запрос Обществу в соответствии с той инструкцией, что написана в тексте согласия на обработку персональных данных.

7.4. Пользователи вправе направлять запросы об отзыве согласия на обработку персональных данных следующими способами:

7.4.1. В письменной форме по адресу место нахождения Общества;

7.4.2. В форме электронного документа, направленного с электронной почты, указанной в договоре оказания услуг, заключенном между Пользователем и Обществом, или при регистрации личного кабинета на сайте Общества согласно Пользовательскому соглашения Общества.

7.5. Общество обязано прекратить обработку и уничтожить персональные данные Пользователя в течение тридцати дней с даты поступления отзыва Пользователя.

8. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫМХ
8.1. Персональная ответственность - одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.
8.2. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о Пользователя, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
8.3. Руководитель соответствующего подразделения Общества, разрешающий доступ сотрудника Общества к персональным данным, несет персональную ответственность за данное разрешение.
8.4. Каждый сотрудник Общества, получающий для работы персональные данные Пользователя, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
8.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
8.5.1. За неисполнение или ненадлежащее исполнение работником Общества по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со персональными данными Пользователя Общество вправе применять предусмотренные Трудовым Кодексом дисциплинарные взыскания.
8.5.2. Должностные лица, в обязанность которых входит ведение персональных данных Пользователя, обязаны обеспечить каждому Пользователю возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации - влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях Российской Федерации.
8.5.3. В соответствии с Гражданским Кодексом Российской Федерации лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки Пользователю, причем такая же обязанность возлагается и на работников Общества.
8.5.4. Уголовная ответственность за нарушение неприкосновенности частной жизни Пользователя ( в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с Уголовным кодексом Российской Федерации.
8.6. Неправомерность деятельности Общества по сбору и использованию персональных данных может быть установлена в судебном порядке.