Политика конфиденциальности

1. Общие положения

1.1. В целях выполнения в полном объеме норм действующего законодательства Российской Федерации, регулирующего отношения, связанные с обработкой и обеспечением безопасности персональных данных, ООО «РУСФИНАНСГРУПП» (далее по тексту – Компания) считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
1.2. Настоящая Политика конфиденциальности (Политика в отношении обработки персональных данных) (далее – Политика) Компании:
1.2.1. Разработана в целях реализации требований законодательства Российской Федерации в области обработки персональных данных;
1.2.2. Раскрывает принципы обработки в Компании персональных данных, права и обязанности Компании при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Компанией в целях обеспечения безопасности персональных данных при их обработке;
1.2.3. Определяет цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются Компанией, способы и сроки обработки и хранения персональных данных, порядок их уничтожения при достижении целей их обработки или при наступлении иных законных оснований;
1.2.4. Является общедоступным документом, декларирующим концептуальные основы деятельности Компании при обработке и защите персональных данных.
1.3. Пересмотр и обновление настоящей Политики осуществляется на плановой и внеплановой основе в соответствии с установленным в Компании порядком:
1.3.1. Плановый пересмотр Политики осуществляется не реже одного раза в год;
1.3.2. Внеплановый пересмотр Политики может производиться в связи с изменением законодательства Российской Федерации в области персональных данных, по результатам анализа актуальности, достаточности и эффективности используемых мер обеспечения безопасности персональных данных, а также по результатам иных контрольных мероприятий.
1.4. Текущая редакция Политики размещается в общем доступе на официальном сайте Компании в сети Интернет – https://bankoil.ru/, а так же на страницах принадлежащих Компании сайтов, с использованием которых осуществляется сбор персональных данных, и вступает в силу с момента размещения, если иное не будет предусмотрено новой редакцией Политики.

2. Термины и определения

Автоматизированная обработка персональных данных – обработка персональных данных с использованием средств вычислительной техники.
Биометрические персональные данные – данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Мобильное приложение (Mobile app) – программное обеспечение, предназначенное для работы на смартфонах, планшетах и других мобильных устройствах, разработанное для конкретной платформы (iOS и Android). Мобильные приложения могут быть загружены из онлайновых магазинов приложений, таких как App Store, Google Play, и др.
Неавтоматизированная обработка персональных данных – обработка персональных данных без использования средств автоматизации и вычислительной техники.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящей политики Оператором является Компания.
Партнер – лицо (юридическое, физическое, индивидуальный предприниматель, физическое лицо, занимающееся частной практикой), с которым Компания на договорной основе осуществляет сотрудничество, связанное с предоставлением и/или продвижением продуктов, сервисов и услуг.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»).
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Сайт – совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети "Интернет" (далее – сеть "Интернет") по доменным именам и (или) по сетевым адресам (IP-адресам), позволяющим идентифицировать сайты в сети "Интернет". Под Сайтом в рамках настоящего документа понимаются: Сайт, расположенный в сети «Интернет» по адресу https://bankoil.ru, а так же веб-страницы, расположенные в сети «Интернет» по адресам, имеющим формат https://*.bankoil.ru, где на месте символа «*» может быть расположено любое слово.
Субъект персональных данных (Субъект) – любое физическое лицо, обладающее персональными данными, с помощью которых прямо или косвенно данное физическое лицо можно определить.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Третье лицо – лицо (юридическое, физическое, индивидуальный предприниматель, физическое лицо, занимающееся частной практикой), взаимодействующее с Компанией для защиты своих законных прав и интересов.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Cookies – фрагмент данных, отправленный веб-сервером и хранимый на устройстве пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего Сервиса.
IP-адрес – уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.
MAC-адрес – уникальный идентификатор, присваиваемый каждой единице сетевого оборудования или некоторым их интерфейсам в компьютерных сетях, записанный в шестнадцатеричном виде.

3. Перечень персональных данных, а также категории субъектов, персональные данные которых обрабатываются Компанией

3.1. Перечень персональных данных, обрабатываемых в Компании, формируется в соответствии с ФЗ «О персональных данных», иными федеральными законами и подзаконными нормативными правовыми актами, регулирующими деятельность Компании, и уставом Компании.
3.2. Перечень персональных данных, обрабатываемых Компанией:
- фамилия, имя, отчество;
- пол;
- дата и место рождения;
- гражданство;
- паспортные данные, в том числе, сведения об адресе регистрации;
- сведения об образовании (наименование образовательного учреждения, реквизиты документа об образовании, о квалификации или наличии специальных знаний (наименование, серия, номер, год окончания), квалификация по документу об образовании, направление или специальность);
- сведения о трудовой деятельности (в том числе профессия, стаж работы, данные о трудовой занятости на текущее время);
- семейное положение (состояние в браке, состав семьи, степень родства (ближайшие родственники));
- адрес места жительства (фактический адрес, дата регистрации по месту жительства);
- номер телефона;
- адрес электронной почты;
- сведения о воинском учете (категория запаса, воинское звание, состав (профиль), полное кодовое обозначение ВУС, категория годности к военной службе, информация о военном комиссариате по месту жительства, информация о постановке и снятии с воинского учета);
- сведения о приеме на работу и переводах (дата, структурное подразделение, должность, тарифная ставка (оклад), надбавка);
- информация об аттестации и повышении квалификации (дата, вид, направление или программа, наименование образовательного учреждения, реквизиты подтверждающих документов);
- информация о наградах и почетных званиях;
- информация об отпусках;
- информация о социальных льготах и подтверждающих их документах;
- основание прекращения трудового договора;
- данные свидетельств о регистрации актов гражданского состояния (брак, развод, свидетельство о смерти);
- сведения о свидетельстве о рождении гражданина (серия и номер свидетельства, дата выдачи, место государственной регистрации);
- данные, содержащиеся в свидетельстве о рождении;
- идентификационный номер налогоплательщика (ИНН);
- страховой номер индивидуального лицевого счета (СНИЛС);
- данные страхового полиса обязательного медицинского страхования;
- реквизиты банковского счета;
- номер расчетного счета;
- номер лицевого счета;
- сведения о страховых взносах;
- фото и видео материалы, содержащие изображение субъекта персональных данных;
- сведения о временной нетрудоспособности;
- сведения трудовой книжки;
- сведения о прохождении государственной гражданской службы;
- справка об отсутствии судимости (при поступлении на работу, связанную с деятельностью, к осуществлению которой в соответствии с Положением Банка России от 27.12.2017 № 625-П, Указанием Банка России от 05.12.2014 № 3470-У не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию);
- сведения о состоянии здоровья;
- информация об IP-адресе и интернет-провайдере посетителя Сайта;
- информация из cookies (геолокация, язык браузера, внешний источник перехода на Сайт Компании, сведения об устройстве посетителя Сайта (сведения о ПО устройства, браузере и его настройках, системных данных устройства, включая модель и производителя устройства, информацию об операционной системе, размере экрана), сведения о сессии посетителя Сайта, в том числе, о дате, времени сессии, количестве просмотров веб-страниц и ознакомления с ресурсами Сайта посетителя);
- данные о посетителях Сайта полученные с использованием метрических программ (Яндекс.Метрика и проч.) и числовые значения, формируемые на основе анализа полученных данных;
- справка о назначенных пенсиях и социальных выплатах на определённую дату;
- реквизиты и информация из водительского удостоверения;
- сведения о заграничном паспорте;
- сведения о состоянии индивидуального страхового счета застрахованного лица;
- сведения о ранее выданных документах, удостоверяющих личность;
- сведения из Единого государственного реестра записей актов гражданского состояния (данные свидетельства о государственной регистрации установления отцовства, данные свидетельства о государственной регистрации перемены имени, данные свидетельства о расторжении брака, данные свидетельства о заключении брака);
- сведения из электронной трудовой книжки;
- справка о доходах и суммах налога физического лица;
- данные транспортных средств (государственный регистрационный знак, серия и номер свидетельства о регистрации);
- сведения о наименовании работодателя, адресе места работы, занимаемой должности, трудовом стаже и графике работы;
- даты предыдущей и следующей зарплаты;
- индивидуальные номера и иная информация, идентифицирующая персональные страницы на сайтах социальных сетей или иных коммуникационных сервисов;
- сведения о кредитной истории (в том числе, входящие в основную часть кредитной истории);
- реквизиты банковских карт и иных используемых субъектом персональных данных электронных средств осуществления платежей, а также сведения о таких платежах;
- информация, содержащаяся в каком либо из следующих документов: свидетельство о смерти, больничный лист, справка медико-социальной экспертизы, решение (приговор) суда, заявление опекуна (попечителя), решение органа опеки и попечительства, справка о призыве на срочную службу, судебный акт, справка из службы занятости, приказ об увольнении, трудовая книжка, свидетельство о браке, свидетельство о рождении ребенка, справка о подтверждении доходов (ф. 2-НДФЛ), документальное подтверждение единовременной утраты имущества на суммы свыше 500 000,00 рублей, справка о ДТП, больничный лист, подтверждающий участие военнослужащего в специальной операции документ (военный билет с соответствующей отметкой, приказ о призыве, повестка, выписка из приказа командира военной части, выписка из приказа военного комиссариата о призыве на военную службу, мобилизационное предписание, заключенный контракт о военной службе), доверенность;
- сведения о смене ФИО (предыдущие фамилия, имя, отчество);
- данные ранее выданного документа, удостоверяющего личность (серия и номер, дата выдачи документа, кем выдан документ, код выдавшего документ подразделения, дата окончания срока действия документа);
- сведения о государственной регистрации в качестве индивидуального предпринимателя;
- сведения о дееспособности;
- сведения по делу о несостоятельности (банкротстве);
- иные данные, предоставляемые субъектом персональных данных Компании в процессе взаимодействия, в том числе, содержащиеся в анкете, заявлениях, платежных документах, подаваемых субъектом или законными представителями субъекта Компании или правомерно получаемых Компанией от третьих лиц.
3.3. Компания обрабатывает персональные данные следующих категорий субъектов персональных данных:
3.3.1. Работники Компании – физические лица, состоящие с Компанией в трудовых отношениях, на основании заключенного трудового договора.
3.3.2. Родственники работников Компании – близкие родственники работников Компании (родственники по прямой восходящей и нисходящей линии: родители и дети, дедушки, бабушки и внуки, – полнородные и не полнородные (имеющие общих отца и мать) братья и сестры), супруг/супруга, а также усыновители и усыновленные.
3.3.3. Бывшие работники Компании – физические лица, ранее состоявшие с Компанией в трудовых отношениях на основании заключенного трудового договора.
3.3.4. Соискатели на вакантные должности Компании – физические лица, претендующее на вакантные должности Компании.
3.3.5. Учащиеся и студенты образовательных организаций, а также лица, проходящие стажировку в Компании – физические лица, проходящие производственную или преддипломную практику, предварительное обучение или стажировку в Компании, с целью приобретения ими практического опыта работы, а также освоения новых технологий, форм и методов организации труда, на основании соответствующих договоров с Компанией.
3.3.6. Посетители Компании – физические лица, посещающие территорию либо помещения Компании, для которых оформляются временные пропуска, либо в соответствующих журналах регистрируется факт посещения.
3.3.7. Контрагенты/подрядчики Компании (физические лица) – физические лица, заключившие с Компанией гражданско-правовой договор.
3.3.8. Представители/работники контрагентов/подрядчиков Компании – физические лица, на основании доверенности или договора, обладающие полномочиями на представление интересов контрагентов/подрядчиков Компании, являющихся физическими либо юридическими лицами.
3.3.9. Аффилированные лица – лица, способные оказывать влияние на деятельность Компании, в том числе на управленческие и иные решения, и имеющие личную заинтересованность в результатах работы Компании. К таким лицам в рамках данной политики относятся включая, но не ограничиваясь: участники (акционеры) Компании, работники юридического лица (в том числе руководители), аффилированного с компанией, лица, осуществившие инвестирование капитала в финансовые активы Компании.
3.3.10. Посетители Сайта Компании – физические лица, посетившие Сайт Компании и заинтересованные в информации, товарах или услугах, представленных на Сайте.
3.3.11. Зарегистрированные Пользователи Сайта Компании – физические лица, успешно прошедшие процедуру регистрации на Сайте Компании, в результате которой был создан профиль пользователя Сайта (личный кабинет).
3.3.12. Клиенты Компании – физические лица, заключившие с Компанией договор, на основании и во исполнение, которого Компания предоставляет Клиенту продукты и/или сервисы, и/или услуги.
3.3.13. Пользователи Мобильного приложения Компании – физические лица, установившие на свое мобильное устройство (смартфон, планшет и проч.) Мобильное приложение Компании.
3.3.14. Потенциальные клиенты Компании – физические лица, которые обратились за консультацией о продуктах и/или сервисах, и/или услугах Компании, в том числе за консультацией относительно условий договора, или которые заинтересованы или могут быть заинтересованы в получении/приобретении указанных продуктов, сервисов, услуг, но еще не подали заявку и/или не заключили договор, на основании которого могут получить указанные продукты и/или сервисы, и/или услуги.
3.3.15. Лица, подавшие заявку на получение продуктов и/или сервисов, и/или услуг Компании – физические лица, которые заполнили, подписали заявку на получение продуктов и/или сервисов, и/или услуг Компании на сайте Компании или в мобильном приложении.
3.3.16. Клиенты Партнеров Компании – физические лица, состоящие в договорных отношениях с одним или несколькими Партнерами Компании и чьи персональные данные переданы Компании Партнером.
3.3.17. Заявители – физические лица или их представители либо представители юридических лиц, составившие от своего имени обращение в Компанию.
3.3.18. Сотрудники органов, осуществляющих контроль (надзор) за деятельностью Компании – лица, направляемые в Компанию с целью проведения проверок (надзора) за деятельностью Компании.

4. Основные принципы и условия обработки персональных данных

4.1. Компания осуществляет обработку персональных данных для достижения следующих целей:
4.1.1. Обеспечение соблюдения трудового законодательства Российской Федерации;
4.1.2. Ведение кадрового и бухгалтерского учета;
4.1.3. Подбор персонала (соискателей), предварительное обучение (стажировка) и принятие решения о трудоустройстве на вакантные должности Компании;
4.1.4. Осуществление пенсионного и социального страхования;
4.1.5. Обеспечение прохождения ознакомительной, производственной или преддипломной практики на основании договора с учебным заведением или субъектом персональных данных;
4.1.6. Страхование;
4.1.7. Обучение;
4.1.8. Предоставление сведений в банк для оформления банковской карты и перечисления на нее заработной платы;
4.1.9. Изготовление личных визиток;
4.1.10. Обеспечение пропускного режима в помещения Компании;
4.1.11. Оформление и организация командировок и служебных поездок;
4.1.12. Организация рабочего процесса и поддержание корпоративной культуры;
4.1.13. Утилизация документов;
4.1.14. Обработка обращений и реализация обратной связи;
4.1.15. Содействие в проведении контроля (надзора) за деятельностью Компании;
4.1.16. Заключение, исполнение и прекращение договоров (соглашений, контрактов) с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и Уставом Компании;
4.1.17. Сбор статистики по посетителям Сайта Компании и пользователям Мобильного приложения для улучшения качества работы содержания, проведение ретаргетинга, проведение статистических исследований и обзоров, продвижение товаров и услуг, поставляемых Компанией;
4.1.18. Регистрация и использование личного кабинета на Сайте Компании;
4.1.19. Формирование и направление Компанией и ее партнерами предложений о товарах и услугах, предположительно актуальных (для клиента/потенциального клиента);
4.1.20. Сохранение в базах данных Компании информации о клиентах (потенциальных клиентах) Компании;
4.1.21. Контроль качества и корректности взаимодействия сотрудников и подрядчиков Компании с клиентами (потенциальными клиентами);
4.1.22. Предоставление Клиентам Компании дополнительных услуг: оказание юридических консультаций, телемедицинские и иные услуги (авто помощь, помощь 3 в 1 и проч.);
4.1.23. Доставка корреспонденции;
4.1.24. Предоставление субъекту персональных данных доступа к сервисам получения информации о кредитном рейтинге.
4.2. Компания вправе обрабатывать персональные данные в иных целях и случаях, не указанных в подпунктах пункта 4.1, в рамках осуществления и выполнения функций, полномочий и обязанностей, возложенных на нее законодательством Российской Федерации.
4.3. Информация о категориях и перечне обрабатываемых персональных данных, категориях субъектов, персональные данные которых обрабатываются, способах, сроках их обработки и хранения, для каждой перечисленной в подпунктах пункта 4.1 цели обработки персональных данных, содержится в Приложении № 1 к настоящей Политике.

5. Финансирование мероприятий по организации обработки и обеспечению безопасности персональных данных

5.1. Обработка персональных данных Компанией осуществляется на основе принципов:
5.1.1. Законности целей и способов обработки персональных данных;
5.1.2. Добросовестности Компании, как оператора персональных данных, что достигается путем выполнения требований законодательства Российской Федерацией в отношении обработки персональных данных;
5.1.3. Достижения конкретных и заранее определенных целей обработки персональных данных;
5.1.4. Соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
5.1.5. Соответствия состава и объема обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям обработки;
5.1.6. Обеспечения при обработке персональных данных их точности, достоверности и достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Компания принимает необходимые меры и обеспечивает их принятие по удалению, блокированию или уточнению неполных или неточных персональных данных;
5.1.7. Недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях несовместимых между собой;
5.1.8. Хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.
5.2. Обработка персональных данных Компанией осуществляется в следующих случаях:
5.2.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
5.2.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Компанию функций, полномочий и обязанностей;
5.2.3. Обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, а также судопроизводстве в арбитражных судах;
5.2.4. Обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
5.2.5. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
5.2.6. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно
5.2.7. Обработка персональных данных необходима для осуществления прав и законных интересов Компании или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
5.2.8. Обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 ФЗ «О персональных данных», при условии обязательного обезличивания персональных данных;
5.2.9. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

6. Организация обработки персональных данных

6.1. Компания, до начала обработки персональных данных, в установленном порядке уведомила уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Компания добросовестно и в установленный срок осуществляет актуализацию сведений, указанных в уведомлении.
6.2. При обработке персональных данных Компанией осуществляются следующие действия с ними: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
6.3. Обработка персональных данных в Компании осуществляется следующими способами:
- с использованием средств автоматизации;
- без использования средств автоматизации.
6.4. Обработка персональных данных в Компании осуществляется с согласия субъекта персональных данных. Компанией допускается обработка персональных данных без согласия субъекта персональных данных, в случаях, предусмотренных ФЗ «О персональных данных».
6.5. Персональные данные субъекта персональных данных могут быть получены Компанией:
- от субъекта персональных данных;
- от уполномоченного представителя субъекта персональных данных, действующего на основании законодательства Российской Федерации, либо доверенности;
- от третьих лиц, при наличии законных оснований.
6.6. В Компании запрещается обработка специальных категорий персональных данных касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, биометрических персональных данных, без письменного согласия субъекта персональных данных на обработку таких категорий персональных данных.
6.7. Для случаев, когда в процессе деятельности Компании предоставление персональных данных и (или) получение Компанией согласия на обработку персональных данных являются обязательными, Компанией разработаны разъяснения субъекту персональных данных юридических последствий отказа предоставить его персональные данные и (или) дать согласие на их обработку. Данные разъяснения являются Приложением № 2 к настоящей Политике.
6.8. Обработка персональных данных в целях продвижения товаров, работ, услуг Компании на рынке осуществляется только при условии предварительного согласия на это субъекта персональных данных.
6.9. Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора, условием которого является соблюдение конфиденциальности и неразглашения персональных данных, и/или поручения на обработку персональных данных.
6.10. Компания вправе передавать персональные данные третьим, лицам, если передача персональных данных субъекта персональных данных указанным третьим лицам обусловлена целями, предусмотренными в пункте 4.1 настоящей Политики. Перечень таких третьих лиц опубликован на сайте Компании в сети Интернет по адресу – https://bankoil.ru/dokumenty/third-party/.
6.11. Передача персональных данных третьим лицам или их раскрытие производятся Компанией с согласия субъекта персональных данных. При этом согласие субъекта персональных данных оформляется в соответствии с требованиями приказа Роскомнадзора от 24.02.2021 № 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения".
6.12. Компанией допускается передача персональных данных третьим лицам без согласия субъекта персональных данных, когда это необходимо для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
6.13. Передача персональных данных органам государственной власти, органам местного самоуправления, органам безопасности и правопорядка, государственным учреждениям и фондам, а также иным уполномоченным органам, допускается по основаниям, предусмотренным федеральным законодательством. Указанные выше органы и организации получают доступ к персональным данным, обрабатываемым в Компании, в объеме и порядке, установленном федеральным законодательством и подзаконными актами.
6.14. Компанией осуществляется анализ предпочтений пользователя и мониторинг потребительского поведения с использованием сторонних сервисов аналитики:
- ООО «Яндекс» (Яндекс.Метрика). Политика конфиденциальности Яндекс https://yandex.ru/legal/confidential/. Местонахождение третьего лица: 119021 г. Москва, ул. Льва Толстого, 16. Цели передачи персональных данных: Сбор статистики по посетителям сайтов Компании. Перечень передаваемых данных: геолокация, язык браузера, сведения об устройстве посетителя Сайта (сведения о ПО устройства, браузере и его настройках, системных данных устройства, включая модель и производителя устройства, информацию об операционной системе, размере экрана), сведения о сессии посетителя Сайта, в том числе, о дате, времени сессии, адресах и количестве просмотров веб-страниц и информация об активностях пользователя сайта. Перечень действий, разрешенных третьему лицу: сбор, запись, систематизация, накопление, хранение, использование, передача (предоставление, доступ), удаление, уничтожение. Способы обработки персональных данных третьим лицом: автоматизированная обработка персональных данных с передачей по сети Интернет. Требования к защите персональных данных третьим лицом установлены политикой конфиденциальности ООО «Яндекс» https://yandex.ru/legal/confidential/.
6.15. В Компании организован прием и обработка обращений и запросов субъектов персональных данных или их представителей и осуществляется контроль за приемом и обработкой таких обращений и запросов.
6.16. Срок хранения распечатанных ответов на обращения (запросы) субъектов персональных данных – 1 (один) год с даты окончания срока, установленного для подготовки ответа.
6.17. Согласие на обработку персональных данных может быть отозвано путем подачи в Компанию соответствующего письменного заявления. Заявление об отзыве Согласия может быть подано только лично субъектом персональных данных или его законным представителем, в соответствии с порядком, описанным в пункте 14.1 настоящей Политики. В случае удовлетворения заявления, Компания, в срок, не превышающий десяти рабочих дней с даты получения заявления, обязана прекратить обработку персональных данных субъекта персональных данных или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется Третьим лицом, действующим по поручению Компании), за исключением случаев, предусмотренных ФЗ «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней при условии направления Компанией в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6.18. В случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, Компания уничтожает персональные данные и/или обеспечивает их уничтожение (если обработка персональных данных осуществляется Третьим лицом, действующим по поручению Компании) в срок, не превышающий тридцати дней с даты поступления заявления на отзыв согласия на обработку персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Компанией и субъектом персональных данных либо федеральными законами.
6.19. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пункте 6.17 настоящей Политики, Компания осуществляет блокирование таких персональных данных и/или обеспечивает их блокирование (если обработка персональных данных осуществляется Третьим лицом, действующим по поручению Компании) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
6.20. Уничтожение персональных данных Компанией производится способом, не позволяющим восстановить персональные данные после их уничтожения. Для уничтожения персональных данных могут быть использованы – встроенные функции информационных систем, в которых обрабатываются персональные данные, специализированные инструменты уничтожения данных, либо физическое уничтожение носителя персональных данных. Подтверждение уничтожения персональных данных осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.
6.21. В случае отзыва согласия на обработку персональных данных Субъектом, Компания вправе продолжать обрабатывать персональные данные в целях исполнения заключенного договора, соглашения, а также в целях исполнения Компанией требований законодательства и/или исполнения судебного решения, а равно защиты своих интересов, если при этом не нарушаются права третьих лиц.
6.22. В случае обнаружения Компанией факта неточности персональных данных, такие персональные данные подлежат актуализации в течении 7 (семи) рабочих дней с момента обнаружения их неточности
6.23. В случае выявления неправомерной обработки персональных данных, осуществляемой Компанией или лицом, действующим по поручению Компании, в срок, не превышающий 3 (трех) рабочих дней с даты выявления, Компания обязана прекратить неправомерную обработку персональных данных и/или обеспечит прекращение неправомерной обработки персональных данных Третьим лицом, действующим по поручению Компании.
6.24. В случае, если обеспечить правомерность обработки персональных данных невозможно, Компания в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожит такие персональные данные или обеспечит их уничтожение.
6.25. Работники Компании, допущенные к обработке персональных данных, обязаны знать и неукоснительно выполнять положения:
- законодательства Российской Федерации в области персональных данных;
- настоящей Политики;
- локальных актов по вопросам обработки персональных данных;
- обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
- сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики;
- не разглашать персональные данные, обрабатываемые в Компании;
- сообщать об известных фактах нарушения требований настоящей Политики лицу, ответственному за организацию обработки персональных данных в Компании.
6.26. Безопасность персональных данных в Компании обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем персональных данных в случае реализации угроз.

7. Получение персональных данных от третьих лиц

7.1. При получении персональных данных у Третьих лиц, за исключением случаев, когда персональные данные получены в рамках поручения на обработку персональных данных или, когда согласие получено Третьей стороной, Компания уведомляет об этом субъекта персональных данных.
7.2. В целях подтверждения достоверности сведений, указанных субъектом персональных данных в процессе оформления заявок на получение продуктов и/или сервисов, и/или услуг Компании, а также получения информации, необходимой для принятия решения о предоставлении продуктов и/или сервисов, и/или услуг Компании, Компания вправе направлять запросы в бюро кредитных историй. Компания вправе самостоятельно выбрать конкретное бюро кредитных историй для направления соответствующих запросов.
7.3. В рамках реализации своего права на проверку достоверности указанной в процессе оформления заявки на получение продуктов и/или сервисов, и/или услуг Компании информации Компания вправе проводить проверку и уточнение предоставленных субъектом персональных данных посредством обращения в соответствующие государственные органы, к работодателю Субъекта, а также иным лицам, контактные данные которых были предоставлены Субъектом Компании.

8. Хранение персональных данных

8.1. Хранение персональных данных в Компании осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации.
8.2. Хранение персональных данных в Компании осуществляется с учетом необходимости обеспечения режима их конфиденциальности.
8.3. В Компании возможны следующие процедуры:
- передача персональных данных на архивное хранение в соответствии с законодательством Российской Федерации об архивном деле;
- уничтожение персональных данных либо их обезличивание по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации либо, договором стороной которого является Субъект персональных данных.

9. Трансграничная передача

9.1. Компанией может осуществляться трансграничная передача персональных данных, на территорию иностранного государства, которое обеспечивает адекватную защиту прав субъектов персональных данных.
9.2. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
- наличия согласия в письменной форме субъекта персональных данных;
- исполнения договора, стороной которого является субъект персональных данных.
9.3. До начала Трансграничной передачи персональных данных Компания проводит оценку мер, принимаемых Третьим лицом, которому планируется Трансграничная передача персональных данных, по обеспечению конфиденциальности и безопасности персональных данных. Порядок проведения оценки устанавливается Компанией самостоятельно.
9.4. О планируемой трансграничной передаче персональных данных Компания уведомляет уполномоченный орган по защите прав субъектов персональных данных в порядке, предусмотренном федеральным законодательством и подзаконными актами.

10. Права и обязанности субъекта персональных данных

10.1. Субъект персональных данных в праве в любой момент получить информацию, касающуюся обработки Компанией его персональных данных, если такое право не ограничено в соответствии с федеральными законами.
10.2. Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения, в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
10.3. Обращение по вопросам обработки персональных данных Субъекта персональных данных может быть предоставлено Компании в соответствии с порядком, описанным в пункте 14.1 настоящей Политики.
10.4. Если субъект персональных данных считает, что Компания осуществляет обработку его персональных данных с нарушением требований ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
10.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

11. Права и обязанности субъекта персональных данных

11.1. Сроки обработки и хранения персональных данных для каждой указанной в Разделе 4 настоящей Политики цели обработки персональных данных устанавливаются с учетом соблюдения требований и условий обработки персональных данных, определенных законодательством Российской Федерации, и/или с учетом положений договора, стороной, выгодоприобретателем или поручителем по которому выступает Субъект персональных данных, и/или согласия Субъекта персональных данных на обработку его персональных данных. При этом, обработка и хранение персональных данных осуществляются не дольше, чем требуют цели обработки персональных данных, если иное не установлено законодательством Российской Федерации.
11.2. Обработка персональных данных Компанией прекращается:
- в случаях достижения целей обработки персональных данных;
- в случае истечения срока действия согласия на обработку персональных данных или отзыва согласия на обработку Субъектом персональных данных;
- в случае выявления неправомерной обработки персональных данных, осуществляемой Компанией или лицом, действующим по поручению Компании;
- в случае прекращения деятельности Компании (если иное не определено требованиями законодательства Российской Федерации).
11.3. Субъект персональных данных в любое время вправе отозвать свое согласие на обработку персональных данных. Заявление на отзыв согласия на обработку персональных данных может быть предоставлено Компании в соответствии с порядком, описанным в пункте 14.1 настоящей Политики.
11.4. Компания вправе продолжить обработку персональных данных после отзыва согласия на обработку персональных данных в случаях, предусмотренных законодательством Российской Федерации.

12. Права и обязанности субъекта персональных данных

12.1. Компания предпринимает необходимые организационные и технические меры по защите персональных данных. Принимаемые меры основаны на требованиях ст. 18.1 и ст. 19 ФЗ «О персональных данных», принятых в соответствии с ним нормативных правовых актов и постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Организационные и технические меры, необходимые и достаточные для обеспечения выполнения Компанией обязанностей Оператора, предусмотренных законодательством Российской Федерации в области персональных данных, включают:
- назначение лица, ответственного за организацию обработки персональных данных в Компании;
- назначение лица или структурного подразделения, ответственного за защиту персональных данных в Компании;
- обеспечение режима безопасности помещений, в которых размещена информационная система обработки персональных данных, который препятствует возможности неконтролируемого проникновения третьих лиц в помещения;
- принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
- ознакомление работников Компании с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Компании в отношении обработки персональных данных, локальными актами по вопросам обработки и защиты персональных данных;
- получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
- обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в несовместимых целях и которые содержат разные категории персональных данных. Хранение материальных носителей персональных данных осуществляется с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
- установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны Компании и сети Интернет без применения установленных в Компании мер по обеспечению безопасности персональных данных (за исключением общедоступных и (или) обезличенных персональных данных);
- осуществление внутреннего контроля соответствия обработки персональных данных ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным нормативным актам Компании;
- оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных»;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
- учет машинных носителей персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
- применение антивирусной защиты информационной системы обработки персональных данных;
- применение правовых, организационных, технических, и иных мер по обеспечению безопасности персональных данных предусмотренных законодательством Российской Федерации в области персональных данных;
- иные необходимые меры безопасности.
12.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными нормативными актами Компании, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Компании.

13. Права и обязанности субъекта персональных данных

13.1. Контроль исполнения требований настоящей Политики осуществляется ответственными за организацию обработки и обеспечение безопасности персональных данных лицами, назначенными приказом Генерального директора Компании.
13.2. Лица, виновные в нарушении норм, регулирующих получение, обработку, хранение и защиту обрабатываемых в Компании персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации.

14. Права и обязанности субъекта персональных данных

14.1. Запросы Субъекта персональных данных о предоставлении сведений об обрабатываемых Компанией персональных данных Субъекта персональных данных, а также запросы об отзыве согласия на обработку персональных данных, уточнении, блокировании или уничтожении персональных данных Субъекта, могут быть предоставлены Компании посредством почтового направления в адрес Компании (Общество с ограниченной ответственностью «РУСФИНАНСГРУПП», ОГРН 1266000001178, 180559, Россия, Псковская область, М.О. Псковский, д. Родина, ул. Урожайная, д. 89) , а также посредством подачи соответствующего письменного заявления лично сотруднику Компании в офисе Компании или путем отправки письменного запроса на адрес электронной почты Компании info@bankoil.ru.
14.2. В случае личной явки Субъекта (или его законного представителя) в офис Компании, обязательно наличие документа, удостоверяющего личность (документа, удостоверяющего личность, и доверенности или иного документа, подтверждающего полномочия представлять Субъекта персональных данных, для представителя).
14.3. В случае отправки письменного запроса на адрес электронной почты Компании info@bankoil.ru, такой запрос должен содержать информацию, позволяющую однозначно идентифицировать Субъекта персональных данных и подтвердить отправку запроса именно Субъектом.
14.4. Компания рассматривает запросы Субъектов персональных данных (или их законных представителей) и направляет ответы на них в течение 10 (десяти) рабочих дней с момента поступления обращения. Запросы Субъектов об уточнении неполных, неточных или неактуальных персональных данных, а также запросы об уничтожении данных, которые были незаконно получены Компанией или не соответствуют заявленным целям обработки, подлежат рассмотрению в течение 7 (семи) рабочих дней.
14.5. Ответ Компании на запрос Субъекта персональных данных выдается на руки Субъекту (или его законному представителю) в форме подписанной уполномоченным лицом Компании копии, заверенной подписью работника Компании и печатью Компании, при условии предъявления документа, удостоверяющего личность (документа, удостоверяющего личность, и доверенности или иного документа, подтверждающего полномочия представлять Субъекта персональных данных, для представителя). Ответ Компании на запрос Субъекта персональных данных может быть направлен в адрес Субъекта почтовой связью или на адрес электронной почты Субъекта, при указании такого способа доставки ответа и почтового адреса Субъекта в запросе.

15. Права и обязанности субъекта персональных данных

Настоящая Политика может быть дополнена либо изменена. В случае внесения в настоящую Политику существенных изменений, к ним обеспечивается неограниченный доступ всем заинтересованным субъектам персональных данных.

Приложение № 1 к Политике конфиденциальности ООО РУСФИНАНСГРУПП

Информация о категориях и перечне обрабатываемых персональных данных, категориях субъектов, персональные данные которых обрабатываются, способах, сроках их обработки и хранения для каждой цели обработки персональных данных в ООО РУСФИНАНСГРУПП

Приложение № 2 к Политике конфиденциальности ООО РУСФИНАНСГРУПП

Разъяснения субъекту персональных данных юридических последствий отказа предоставить его персональные данные и (или) дать согласие на их обработку

Общество с ограниченной ответственностью «РУСФИНАНСГРУПП» (далее – Компания) разъясняет Вам, что в случае Вашего отказа предоставить свои персональные данные и (или) дать согласие на их обработку Компания не сможет на законных основаниях осуществлять обработку Ваших персональных данных, что приведет к следующим для Вас юридическим последствиям:
- невозможность зарегистрировать личный кабинет на сайте Компании и, как следствие, невозможность воспользоваться услугами Компании, получение которых доступно через личный кабинет (в случае отказа предоставить согласие на обработку персональных данных с целью регистрации и использования моего личного кабинета на сайте Компании (в том числе авторизации для входа в мой личный кабинет на сайте Компании и аутентификации при входе в мой личный кабинет на сайте Компании));
- невозможность воспользоваться услугами Компании (в случае отказа предоставить согласие на обработку персональных данных с целью оценки Вашей потенциальной платежеспособности и иных факторов, влияющих на возможность заключения соответствующих договоров, а также с целью сохранения в базах данных Компании информации о клиентах (потенциальных клиентах) Компании);
- невозможность воспользоваться услугами Компании, а также дальнейшего оперативного доступа к информации о приобретенных у Компании дополнительных продуктах, об уведомлениях, направляемых Вам Компанией, и к другим сведениям (в случае отказа предоставить согласие на обработку персональных данных с целью сохранения в базах данных Компанией информации о клиентах (потенциальных клиентах) Компании);
- невозможность получать уведомления о предложениях, акциях и специальных программах Компании, выгодных для Вас (в случае отказа предоставить согласие на обработку персональных данных с целью формирования и направления Компанией и ее партнерами предложений о товарах и услугах, предположительно актуальных для Вас);
- отсутствие возможности предоставления обратной связи Компании (по инициативе Компании) о качестве и корректности взаимодействия с работниками и представителями Компании в процессе получения услуг Компании, что сделает невозможным улучшение качества взаимодействия и условий получения услуг Компании Вами в дальнейшем (в случае отказа предоставить согласие на обработку персональных данных с целью контроля качества и корректности взаимодействия сотрудников и подрядчиков Компании с клиентами (потенциальными клиентами)).

Компания, с целью осуществления и выполнения, возложенных на нее законодательством Российской Федерации функций, полномочий и обязанностей, в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», вправе осуществлять обработку персональных данных без Вашего согласия при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 вышеуказанного Федерального закона.

Контакт: info@bankoil.ru