УТВЕРЖДЕНО приказом генерального директора
ООО «ВИЗНОУЛОК»
№ 05/21 от «21» мая 2024 г.

Политика в отношении обработки персональных
данных в ООО «ВИЗНОУЛОК»

1. Общие положения
2. Настоящая Политика в отношении обработки персональных данных (далее – Политика) определяет политику ООО «ВИЗНОУЛОК» (далее – Оператор) в отношении обработки и обеспечения безопасности персональных данных.
3. Политика разработана в соответствии с законодательством Российской Федерации в области персональных данных.
4. Целью настоящей политики является установление основных принципов и подходов к обработке и обеспечению безопасности персональных данных Оператором.
5. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Компании с применением средств автоматизации и без применения таких средств.
6. Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к Обработке персональных данных в информационной системе персональных данных.
7. Пересмотр и обновление настоящей Политики осуществляется в связи с изменениями законодательства Российской Федерации в области персональных данных, по результатам анализа актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, а также по результатам других контрольных мероприятий.
8. Перечень нормативных документов

- Трудовой кодекс Российской Федерации;
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»);
- Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
- иные нормативные правовые акты Российской Федерации и нормативные документы исполнительных органов государственной власти.

1. Термины и определения

В настоящей Политике используются следующие термины и определения: Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
Обезличивание – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту персональных данных;
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Ответственный за организацию обработки персональных данных – должностное лицо, организующее принятие правовых, организационных и технических мер в целях обеспечения надлежащего выполнения функций по организации обработки персональных данных Оператором в соответствии с положениями законодательства Российской Федерации в области персональных данных;
Персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (Субъекту персональных данных); Предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;
Субъект Персональных данных – физическое лицо, прямо или косвенно определенное или определяемое на основании относящихся к нему персональных данных;
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределённому кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.
Платформа – программное обеспечение, исключительные права на которое принадлежат Оператору, доступ к которому предоставляется в сети интернет по адресу: https://core.aml.tech/.

1. Категории Субъектов персональных данных, персональные данные которых обрабатываются Оператором. Цели обработки персональных данных
2. Оператором осуществляется обработка полученных в установленном законом порядке персональных данных, принадлежащих кандидатам на работу и работникам Оператора, пользователям – физическим лицам (заемщик, инвестор), третьим лицам, данные которых предоставляются пользователями, в том числе потенциальным пользователям; иным физическим лицам, имеющим договорные отношения с Оператором.
3. Обработка персональных данных в информационной системе персональных данных работниками Оператора осуществляется в целях предоставления пользователям функциональных возможностей Платформы на основании Лицензионного соглашения, регистрации сведений, необходимых для оказания услуг посредством Платформы, а также осуществления деятельности, предусмотренной уставом Оператора, действующим законодательством Российской Федерации, а также для заключения, исполнения и прекращения договоров с физическими и юридическими лицами, организации кадрового учета работников Оператора, начисления и выплаты заработной платы, исполнения обязательств по договорам, ведения кадрового делопроизводства, регистрации и обработки сведений о профессиональной служебной деятельности работников, содействия работникам в обучении, пользовании различного вида льготами в соответствии с законодательством Российской Федерации, предоставления сведений в Управление ПФ РФ, ИФНС.
4. Перечень персональных данных, обрабатываемых Оператором
5. Перечень персональных данных, обрабатываемых Оператором, определяется в соответствии с законодательством Российской Федерации с учетом целей обработки персональных данных, указанных в разделе Политики.
6. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.
7. Права Субъекта персональных данных
8. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему Субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления Субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

1. Право Субъекта персональных данных на получение информации, касающейся обработки его персональных данных, может быть ограничено в случаях, установленных Федеральным законом «О персональных данных».
2. Согласие на обработку персональных данных может быть отозвано с Субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия Субъекта персональных данных при наличии оснований, указанных в Федеральном законе «О персональных данных».
3. Субъект персональных данных имеет также иные права, установленные Федеральным законом «О персональных данных».
4. Основные принципы обработки персональных данных
5. Обработка персональных данных Оператором осуществляется на основе принципов:

- законности целей и способов обработки персональных данных;
- добросовестности Оператора, как оператора персональных данных, что достигается путем выполнения требований законодательства Российской Федерации в отношении обработки персональных данных;
- соответствия состава и объема обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям обработки;
- точности и достаточности, а в необходимых случаях и актуальности персональных данных по отношению к заявленным целям их обработки;
- Уничтожения персональных данных по достижении целей обработки способом, исключающим возможность их восстановления;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

1. Работники Оператора, допущенные к обработке персональных данных, обязаны:

a) Знать и неукоснительно выполнять положения:
- законодательства Российской Федерации в области персональных данных;
- настоящей Политики;
- локальных актов Оператора по вопросам обработки и обеспечения безопасности персональных данных;
b) Обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
c) Не разглашать персональные данные, обрабатываемые Оператором;
d) Сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики;
e) Сообщать об известных фактах нарушения требований настоящей Политики Ответственному за организацию обработки персональных данных Оператором.

1. Безопасность персональных данных у Оператора обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем персональных данных в случае реализации угроз.
2. Организация обработки персональных данных
3. Оператор осуществляет обработку персональных данных с использованием средств автоматизации и без использования средств автоматизации.
4. Оператор вправе поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора, обязательным условием которого является соблюдение этим лицом принципов и правил обработки персональных данных, предусмотренных Федеральным законом «О персональных данных».
5. Персональные данные не раскрываются третьим лицам и не распространяются иным образом без согласия Субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
6. Представители органов государственной власти (в том числе, контролирующих, надзорных, правоохранительных и иных органов) получают доступ к персональным данным, обрабатываемым Оператором, в объеме и порядке, установленном законодательством Российской Федерации.
7. Обработка персональных данных Оператором осуществляется с согласия Субъекта персональных данных кроме случаев, установленных законодательством Российской Федерации.
8. Уничтожение персональных данных
9. В случае достижения цели обработки персональных данных Оператор прекращает обработку персональных данных, если иное не предусмотрено соглашением между Оператором и Субъектом персональных данных.
10. В случае отзыва Субъектом персональных данных согласия на обработку своих персональных данных Оператор прекращает их обработку, если иное не предусмотрено соглашением между Оператором и Субъектом персональных данных, либо если Оператор вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных законом «О персональных данных» или другими федеральными законами.
11. В случае выявления неправомерной обработки персональных данных Оператор предпринимает меры по уничтожению этих персональных данных в срок, не превышающий семи рабочих дней со дня выявления неправомерной обработки персональных данных. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок, не превышающий 6 месяцев со дня выявления неправомерной обработки персональных данных, если иной срок не установлен федеральным законодательством.
12. В случае если уничтожение персональных данных было произведено по результатам обработки обращения Субъекта персональных данных и (или) запроса уполномоченного органа по защите прав Субъектов персональных данных, о предпринятых действиях Оператор уведомляет Субъекта персональных данных и (или) уполномоченный орган по защите прав Субъектов персональных данных.
13. Персональные данные на бумажных носителях уничтожаются с помощью средств, гарантирующих невозможность восстановления носителя или посредством вычеркивания (вымарывания и т.п.). Уничтожение информации с машиночитаемых носителей персональных данных, пришедших в негодность или утративших практическую ценность, производится способом, исключающим возможность использования и восстановления информации.
14. Уничтожение персональных данных производится в соответствии с актуальными внутренними процессами Компании.
15. Меры, направленные на обеспечение выполнения обязанностей Оператора по обработке и защите персональных данных
16. 10.1.Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Федеральным законом «О персональных данных» или другими федеральными законами.
17. 10.2.Оператором принимаются следующие меры по обеспечению выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» в области обработки персональных данных:

- назначается Ответственный за организацию обработки персональных данных;
- издаются: Политика в отношении обработки персональных данных;
- применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии с Федеральным законом «О персональных данных»;
- осуществляется внутренний контроль соответствия обработки персональных данных Оператором Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных;
- осуществляется ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных.

1. 10.3.С целью обеспечения безопасности персональных данных при их обработке, Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного и случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в частности:

- применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, используется антивирусное программное обеспечение, межсетевые экраны, электронная подпись, пароли на компьютерах, на которых осуществляется обработка персональных данных.
- организован ограниченный доступ в помещение, где обрабатываются персональные данные.

1. Ответственность
2. 11.1.Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных у Оператора.
3. 11.2.Лица, виновные в нарушении норм, регулирующих обработку персональных данных и защиту обрабатываемых Оператором персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.