|
|
|
|
|
|
|
|
Политика об обработке персональных данных
ОГЛАВЛЕНИЕ
|
1. |
Общие положения |
3 |
|
2. |
Цели сбора персональных данных |
4 |
|
3. |
Правовые основания обработки персональных данных |
5 |
|
4. |
Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных |
5 |
|
5. |
Порядок и условия обработки персональных данных |
6 |
|
6. |
Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным |
10 |
|
Приложение №1 |
Регламент обработки запросов субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных |
|
|
|
|
|
1. Общие положения
1.1. Настоящая Политика об обработке персональных данных (далее – «Политика») определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в ООО «Зетта Страхование жизни» (далее – «Общество»).
1.2. Настоящая Политика определяет политику Общества как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.
1.3. Обработка персональных данных в Обществе осуществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой и законодательством Российской Федерации в области персональных данных.
1.4. В целях настоящей Политики используются следующие понятия:
1.4.1. персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
1.4.2. оператор персональных данных (оператор) – Общество, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
1.4.3. обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение;
1.4.4. автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
1.4.5. распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
1.4.6. предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
1.4.7. блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
1.4.8. уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
1.4.9. информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
1.4.10. трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.5. Общество как оператор персональных данных обязуется:
1.5.1. обеспечивать конфиденциальность и безопасность персональных данных субъектов персональных данных;
1.5.2. консультировать субъектов персональных данных об их правах, предоставлять им по их запросу информацию об обработке их персональных данных;
1.5.3. по требованию субъекта персональных данных уточнять его персональные данные, блокировать или удалять их, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
1.5.4. уведомлять субъекта персональных данных относительно его персональных данных, в соответствии с обязанностями, возложенными на Общество как на оператора персональных данных.
1.6. Общество как оператор персональных данных вправе:
1.6.1. предоставлять персональные данные субъектов персональных данных третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.) и настоящей Политикой;
1.6.2. отказывать в предоставлении информации о персональных данных в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;
1.6.3. использовать персональные данные субъекта персональных данных без его согласия, в случаях, предусмотренных законодательством Российской Федерации в области персональных данных.
1.7. Субъект персональных данных имеет следующие права:
1.7.1. запрашивать информацию, касающейся обработки его персональных данных;
1.7.2. требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
1.7.3. отозвать свое согласие на обработку персональных данных;
1.7.4. принимать иные предусмотренные законодательством Российской Федерации в области персональных данных меры по защите своих прав.
1.8. Для реализации своих прав субъект персональных данных может обратиться в Общество в порядке, определенном Регламентом обработки запросов субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных (Приложение №1 к настоящей Политике).
2. Цели сбора персональных данных
- рассмотрение возможности трудоустройства в Обществе, а также ведение кадрового резерва Общества;
- заключения и/или исполнения заключенного договора, ведения кадровой работы, формирования кадрового резерва, обучения и карьерного роста, учета результатов исполнения должностных обязанностей, обеспечения установленных законодательством РФ условий труда, гарантий и компенсаций, предотвращения кибер-угроз, а также учета информации в базах данных;
- проверка кандидатов на замещение вакантных должностей, клиентов и контрагентов;
- заключение и/или исполнение заключенного договора страхования, включая организацию оказания медицинских услуг; онлайн заключение договоров страхования;
- осуществление информационного сопровождения исполнения договора страхования;
- заключение договоров с ЛПУ на предоставление медицинских услуг застрахованным лицам, организация медицинской помощи и проведение медико-экономической проверки по страховому случаю;
- страхование имущественных интересов клиентов Общества,
- передача риска в перестрахование, прием Обществом части страховых рисков от других страховых компаний;
- управление денежными расчетами Общества;
- организация контрольно-пропускного режима;
- правовое сопровождение деятельности Общества;
- идентификация клиентов Общества с целью выполнения требований Закона РФ №4015-1 и №115-ФЗ, а также лиц, на которых распространяется законодательство иностранного государства о налогообложении иностранных счетов (FATCA);
- оценка рисков, определение тарифных ставок и условий договора страхования;
- организация медицинской помощи застрахованным лицам, идентификация застрахованного лица в случае обращения субъекта ПДн, осуществление проверки предоставляемых услуг субъекту ПДн по страхованию и определение страхового покрытия по результатам оказания медицинских услуг застрахованного лица;
- направления запросов о предоставлении документов по заявленному убытку в адрес медицинских и иных организаций (в том числе на официальные электронные адреса данных организаций);
- расследование заявленных страховых событий с признаками мошенничества, проведение внутренних расследований, направление запросов о предоставлении документов в адрес правоохранительных органов (в том числе на официальные электронные адреса);
- предъявление исковых требований по возбужденным уголовным делам в порядке, установленном действующим законодательством;
- предъявление суброгационных требований или иного урегулирования судебных споров в порядке, установленном действующим законодательством;
- исполнение обязательств по договору страхования при наступлении убытка по страховому случаю;
- осуществление внутреннего аудита в организации в соответствии с требованиями Статьи 28.2 Закона РФ №4015-1;
- осуществление страховыми агентами деятельности в рамках агентского договора с Обществом;
- проведение закупочных процедур в интересах Общества, заключение договоров;
- рассмотрение обращений клиентов;
- проведение исследований мнения об обслуживании и страховых продуктах, в том числе исследований, направленных на улучшение качества страховых продуктов;
- включения в клиентскую базу Общества для информирования о новинках страховых продуктов, участия в маркетинговых, рекламных акциях и исследованиях;
- продвижения страховых услуг на рынке.
3. Правовые основания обработки персональных данных
3.1. Правовым основанием обработки персональных данных в Обществе является совокупность правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных, а именно:
3.1.1. Трудовой Кодекс РФ, Закон РФ от 27.11.1992 № 4015-1 «Об организации страхового дела в Российской Федерации», Федеральный закон от 04 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности», Федеральный Закон № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» от 07.08.2001, Федеральный закон № 273-ФЗ «О противодействии коррупции», Федеральный закон № 224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации»;
3.1.2. уставные документы Общества;
3.1.3. договоры, заключаемые Обществом с субъектами персональных данных;
3.1.4. согласия на обработку персональных данных, получаемые Обществом в целях, указанных в разделе 2 настоящей Политики;
3.1.5. осуществление прав и законных интересов оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
3.1.6. обработка ПДн в связи с участием лица в судопроизводстве.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных, цели и правовые основания обработки персональных данных, а также сроки хранения персональных данных приведены в Перечне процессов обработки персональных данных и сведений об их обработке в ООО «Зетта Страхование жизни».
5. Порядок и условия обработки персональных данных
5.1. Обработка персональных данных субъектов персональных данных производится Обществом строго в соответствии со следующими принципами:
5.1.1. обработка персональных данных осуществляется на законной и справедливой основе;
5.1.2. обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
5.1.3. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
5.1.4. обработке подлежат только персональные данные, которые отвечают целям их обработки;
5.1.5. содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки, Общество не обрабатывает избыточные персональные данные;
5.1.6. при обработке обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
5.1.7. обеспечивается принятие мер по удалению или уточнению неполных или неточных данных;
5.1.8. хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом или настоящей Политикой;
5.1.9. обрабатываемые персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством РФ.
5.2. Обработка персональных данных осуществляется Обществом на условиях, определенных законодательством Российской Федерации, а именно:
5.2.1. обработка персональных данных осуществляется с согласия субъекта персональных данных;
5.2.2. обработка персональных данных необходима для достижения целей, предусмотренных международным договором или законом, для осуществления и выполнения возложенных законодательством на Общество функций, полномочий и обязанностей. В том числе обработка персональных данных осуществляется во исполнение законодательства об обязательных видах страхования и страховым законодательством;
5.2.3. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
5.2.4. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5.2.5. обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
5.2.6. обработка персональных данных осуществляется в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью любых доступных средств связи;
5.2.7. осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
5.3. Общество совершает следующие действия с персональными данными:
5.3.1. сбор;
5.3.2. запись;
5.3.3. систематизацию;
5.3.4. накопление;
5.3.5. хранение;
5.3.6. уточнение (обновление, изменение);
5.3.7. извлечение;
5.3.8. использование;
5.3.9. передача (распространение, предоставление, доступ);
5.3.10. блокирование;
5.3.11. удаление;
5.3.12. уничтожение.
5.4. Общество получает персональные данные субъектов следующими способами:
5.4.1. лично от субъекта персональных данных;
5.4.2. из общедоступных источников;
5.4.3. из заключенного договора, одной из сторон которого является субъект персональных данных.
5.5. Субъект персональных данных, предоставивший Обществу свои персональные данные, дает согласие на их обработку. Согласие является добровольным и его наличие обязательно для получения продуктов/услуг Общества.
5.5.1. При отсутствии необходимости получения письменного согласия субъекта на обработку его персональных данных согласие субъекта может быть дано субъектом или его представителем в любой позволяющей подтвердить факт его получения форме.
5.5.2. В случае необходимости Общество получает согласие субъекта персональных данных на обработку персональных данных третьими лицами.
5.6. В случаях, если ПДн получены не от субъекта ПДн или его законного представителя, Общество до начала обработки таких ПДн уведомляет субъекта об обработке ПДн. Форма уведомления субъекта об обработке его ПДн приведена в Регламенте обработки запросов субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных.
5.7. Уведомление субъекта об обработке ПДн, полученных не от него самого, не осуществляется в следующих случаях:
- субъект ПДн уведомлен об осуществлении обработки его ПДн соответствующим оператором;
- ПДн получены Обществом на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн;
- Общество осуществляет обработку ПДн для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта ПДн;
- предоставление субъекту ПДн сведений, содержащихся в уведомлении об обработке ПДн, нарушает права и законные интересы третьих лиц.
5.8. Общество вправе предоставить персональные данные субъектов третьим лицам, список которых представлен на сайте life.zettains.ru .
5.9. Общество вправе предоставлять персональные данные субъектов третьим лицам в следующих случаях:
5.9.1. компаниям, входящим в одну группу с Обществом. При этом Общество является компанией, ответственной за соблюдение конфиденциальности и защиты персональных данных в случае совместного использования информации о субъектах персональных данных;
5.9.2. деловым партнерам Общества. Общество, предоставляя продукты/услуги в сотрудничестве с другими компаниями, предоставляет информацию, составляющую персональные данные субъектов, для того, чтобы компании - партнеры могли оказать необходимые услуги, как-то: услуги медицинского обслуживания, перестрахования или иные законные услуги. Вместе с тем Общество в обязательном порядке включает в договоры с деловыми партнерами положения о конфиденциальности и защите персональных данных или подписывает отдельное соглашение о конфиденциальности и защите персональных данных;
5.9.3. поставщикам Общества. Общество обращается к третьим лицам для предоставления следующих услуг (включая, но не ограничиваясь): информирование и предоставление рекламных/деловых материалов; выполнение услуг по охране; предоставление специализированных профессиональных услуг (консалтинг, аудит, услуги по информационной безопасности); проведение опросов потребителей. Полученные законным способом персональные данные субъектов Общество вправе раскрыть поставщикам таких услуг. Вместе с тем Общество в обязательном порядке включает в договоры с поставщиками таких услуг положения о конфиденциальности и защите персональных данных или подписывает отдельное соглашение о конфиденциальности и защите персональных данных.
5.10. Кроме случаев, указанных в п.5.9. настоящей Политики, Общество вправе раскрыть персональные данные субъекта в следующих случаях:
5.10.1. в соответствии с требованиями действующего законодательства:
5.10.2. в ответ на требования органов государственной власти;
5.10.3. в соответствии с требованиями судебного процесса в связи с осуществлением правосудия;
5.10.4. в случае необходимости защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных;
5.10.5. в целях защиты прав Общества или уменьшения возможного ущерба Обществу;
5.10.6. если персональные данные передаются в целях заключения и/или исполнения договора, по которому субъект персональных данных является одной из сторон, выгодоприобретателем или поручителем;
5.10.7. в чрезвычайных ситуациях.
5.11. При поручении обработки персональных данных третьему лицу Общество заключает соответствующий договор поручения с этим лицом. При этом Общество в таком договоре поручении обязует лицо, осуществляющее обработку персональных данных, соблюдать принципы и правила обработки персональных данных, предусмотренные действующим законодательством РФ.
5.12. В случаях, когда Общество поручает обработку персональных данных третьему лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Лицо, осуществляющее обработку персональных данных по поручению Общества, несет ответственность перед Обществом в соответствии с условиями договора поручения.
5.13. Общество обязуется и обязует иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта, если иное не предусмотрено действующим законодательством РФ.
5.14. При обработке персональных данных Общество применяет необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.15. Для обеспечения защиты персональных данных субъектов в Обществе реализованы следующие меры:
5.15.1. в Обществе назначен ответственный за организацию обработки персональных данных и их защиту;
5.15.2. для обеспечения безопасности персональных данных в информационных системах Общества внедрена система защиты персональных данных, согласно требованиям действующего законодательства РФ;
5.15.3. все носители с персональными данными как бумажные, так и электронные, подлежат учету и к ним применяются строгие требования по хранению и уничтожению;
5.15.4. все персональные данные резервируются и, в случае их модифицирования или уничтожения Общество всегда может их восстановить, за исключением случаев отзыва согласия на обработку данных субъектом персональных данных;
5.15.5. на территории Общества установлен пропускной режим;
5.15.6. доступ к персональным данным имеют минимально необходимое количество работников Общества и только в целях выполнения ими их должностных обязанностей;
5.15.7. со всеми работниками Общества, имеющими доступ к персональным данным субъектов, заключены соглашения о неразглашении конфиденциальной информации;
5.15.8. Общество проводит систематическое и непрерывное обучение своих работников, занятых в процессе обработки персональных данных;
5.15.9. Общество постоянно повышает уровень безопасности персональных данных субъектов с помощью системы внутреннего контроля и, при обнаружении несоответствий, в самые короткие сроки устраняет их причины.
5.16. Условием прекращения обработки персональных данных в Обществе является достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
5.17. Хранение персональных данных в Обществе осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
5.18. Сроки хранения персональных данных сроки определены в Перечне процессов обработки персональных данных и сведений об их обработке в ООО «Зетта Страхование жизни».
5.19. Хранение персональных данных осуществляется Обществом исключительно на территории РФ.
5.20. Общество обеспечивает раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящей Политикой.
5.21. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений Общества.
5.22. Срок хранения персональных данных, внесенных в информационные системы Общества, соответствует сроку хранения бумажных оригиналов.
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
6.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации Обществом, а обработка должна быть прекращена, соответственно.
6.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
6.2.1. иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
6.2.2. Общество не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных ФЗ «О персональных данных» или иными федеральными законами;
6.2.3. иное не предусмотрено иным соглашением между Обществом и субъектом персональных данных.
6.3. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
6.4. Уничтожение по окончании срока обработки персональных данных на бумажных носителях осуществляется в соответствии с правилами Общества, установленными для документооборота и архивирования. Структурное подразделение Общества, ответственное за документооборот и архивирование, осуществляет систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.
6.5. Общество обязано сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.
6.6. Регламент обработки запросов субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных является Приложением №1 к настоящей Политике и ее неотъемлемой частью. Регламент устанавливает процедуры реагирования Общества на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.
