1. Общие положения

1.1 Назначение документа

Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с п.2 ч.1 ст.18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет основные принципы, цели, условия и способы обработки персональных данных (далее – ПДн), категории субъектов ПДн и обрабатываемых ПДн, права и обязанности Общества с ограниченной ответственностью Инвестиционная Компания (далее – Компания) при обработке ПДн, права субъектов ПДн, а также реализуемые в Компании меры по обеспечению безопасности ПДн при осуществлении видов деятельности Компании.
Положения настоящей Политики служат основой для разработки локальных актов, регламентирующих в Компании вопросы обработки ПДн.

1.2 Нормативные ссылки

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ «О персональных данных»).
Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

1.3 Область действия

Действие настоящей Политики распространяется на все процессы Компании, в рамках которых осуществляется обработка ПДн Клиентов, как с использованием средств вычислительной техники, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств. Настоящая Политика разработана в соответствии с требованиями 152-ФЗ «О персональных данных» и определяет принципы, порядок и условия обработки персональных данных различных категорий субъектов, чьи персональные данные обрабатываются Компанией, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Персональные данные являются конфиденциальной, строго охраняемой информацией и на них распространяются все требования, установленные внутренними документами Компании к защите конфиденциальной информации.

1.4 Используемые термины и определения

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку с использованием информационных технологий и технических средств.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Субъект персональных данных — физическое лицо, обладающее персональными данными прямо или косвенно его определяющими.

1.5 Утверждение и пересмотр

Настоящая Политика вступает в силу с момента ее утверждения Генеральным директором Компании и действует бессрочно.

Компания проводит пересмотр положений настоящей Политики и их актуализацию по мере необходимости, в том числе:

  • • при изменении положений законодательства в области ПДн;
  • • при изменении положений законодательства в области ПДн;
  • • по результатам контроля выполнения требований по обработке и (или) защите ПДн;
  • • по решению органов управления Компании.

Обеспечение неограниченного доступа к Политике реализуется путем ее публикации на официальном сайте Компании в информационно-телекоммуникационной сети «Интернет» либо иным способом.

2. Принципы обработки персональных данных

2.1 Обработка ПДн осуществляется Компанией на основе принципов:

  • • законности и справедливости целей и способов обработки ПДн;
  • • соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Компании;
  • • соответствия объема и характера обрабатываемых ПДн, способов обработки персональных данных целям обработки ПДн;
  • • достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;
  • • недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих ПДн;
  • • хранение ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки, если иной срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или получателем по которому является субъект ПДн, иным соглашением между Компанией и субъектом персональных данных;
  • • уничтожения по достижении целей обработки ПДн или в случае утраты необходимости в их достижении, если иное не предусмотрено федеральным законом.

2.2.

Обработка ПДн осуществляется на основании условий, определенных законодательством. Компания осуществляет обработку ПДн с использованием средств автоматизации, в том числе с использованием информационных технологий и технических средств, включая средства вычислительной техники, информационно-технические комплексы и сети, средства и системы передачи, приема и обработки ПДн, программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах, а также без использования средств автоматизации.

2.3.

При обработке ПДн в Компании обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки ПДн. Компания принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных или неточных ПДн.

2.4.

Компания не размещает ПДн субъекта ПДн в общедоступных источниках без его предварительного согласия.

2.5.

Компания в своей деятельности исходит из того, что субъект ПДн предоставляет точную и достоверную информацию во время взаимодействия с Компанией, своевременно извещает представителей Компании об изменении своих ПДн.

3. Понятие и состав персональных данных

3.1

Перечень обрабатываемых ПДн, подлежащих защите в Компании, формируется в соответствии с 152-ФЗ «О персональных данных», Уставом и внутренними нормативными документами Компании.

3.2. Данная Политика распространяется на обработку Компанией ПДн следующих субъектов ПДн:

  • • физических лиц, предоставивших свои ПДн в связи с заключением и исполнением договоров в рамках осуществления Компанией профессиональной деятельности на рынке ценных бумаг (клиенты);
  • • физических лиц, предоставивших свои ПДн в связи с подписанием любых гражданскоправовых договоров (соглашений), которые заключаются или могут быть заключены в будущем между Компанией и физическим лицом (контрагенты);
  • • физических лиц, являющихся учредителями или участниками Компании;
  • • физических лиц, являющихся аффилированными лицами Компании или руководителями, участниками (акционерами) или сотрудниками юридического лица, являющегося аффилированным лицом по отношению к Компании;
  • • физических лиц, являющихся бенефициарными владельцами Компании (лицо, которое в конечном счете прямо или косвенно (через третьих лиц) владеет (имеет преобладающее участие более 25 процентов в капитале) Компании либо имеет возможность контролировать действия Компании);
  • • физических лиц, обратившихся в Компанию с запросом любого характера, и предоставивших в связи с этим свои персональные данные;
  • • физических лиц - представителей клиентов;
  • • иных физических лиц, чьи персональные данные обрабатываются Компанией в соответствии с требованиями законодательства, кроме физических лиц, обработка персональных данных которых осуществляется на основании трудовых отношений с компанией.

4. Цели сбора и обработки персональных данных

Компания производит обработку ПДн в соответствии с договорными обязательствами (заключение и исполнение соглашений, договоров и обязательств), общехозяйственной деятельностью Компании, а также в соответствии с требованиями законодательства Российской Федерации.

Компания осуществляет обработку ПДн в следующих целях:

• Целью сбора и обработки ПДн представителей контрагентов — юридических лиц и физических лиц, осуществляющих деятельность по договорам гражданско-правового характера, является взаимодействие по вопросам выполнения условий договора, платежам и для отправки писем о наличии просроченной задолженности.

• Целями сбора и обработки ПДн клиентов — физических лиц Компании являются совершение сделок на рынке ценных бумаг, подготовка к заключению, заключение и исполнение договоров в рамках осуществления Компанией профессиональной деятельности на рынке ценных бумаг, информирование клиентов о результатах инвестирования, обеспечение обратной связи с целью предоставления дополнительной информации о Компании и ее услугах, анализ степени удовлетворенности клиентов – физических лиц, изучение рынка, сбор и актуализация контактных данных для осуществления информационных рассылок, исполнение Компанией своих обязанностей, установленных законодательством российской Федерации.

• Информирования о проводимых Компанией и (или) третьими лицами, в интересах которых действует Компания, рекламных и (или) маркетинговых акциях, опросах, анкетировании, маркетинговых исследованиях в отношении услуг, оказываемых Компанией и/или лицами, в интересах которых действует Компания, продвижения на рынке (в том числе путем осуществления прямых контактов с клиентом с помощью средств связи, включая электронные средства связи, почтовые отправления, SMSсообщения), продуктов (услуг) Компании, совместных продуктов Компании и третьих лиц, в интересах которых действует Компания, продуктов (товаров, работ, услуг) третьих лиц, в интересах которых действует Компания.

В Компании не обрабатываются специальные категории ПДн. Перечень обрабатываемых ПДн определяется законодательством, а также локальными документами Компании.

В Компании осуществляется сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение ПДн при их обработке как с использованием средств автоматизации, так и без использования таковых.

5. Условия обработки персональных данных и их передача третьим лицам

Компания обрабатывает ПДн субъектов ПДн в соответствии с внутренними нормативными документами, разработанными в соответствии с требованиями законодательства в области ПДн. При обработке ПДн субъекта, обеспечивается их конфиденциальность, целостность и доступность. Передача ПДн третьим лицам для выполнения договорных обязательств осуществляется только с согласия субъекта ПДн, а для выполнения требований законодательства — в рамках установленной законодательством процедуры. Компания вправе передавать ПДн органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным законодательством Российской Федерации.

Компания может поручить обработку ПДн другому лицу при выполнении следующих условий:

• получено согласие субъекта ПДн на поручение обработки ПДн другому лицу;

• поручение обработки ПДн осуществляется на основании заключаемого с этим лицом договора, разработанного с учетом требований 152-ФЗ «О персональных данных».

Лицо, осуществляющее обработку ПДн по поручению Компании, обязано соблюдать принципы и правила обработки ПДн и несет ответственность перед Компанией. Компания несет ответственность перед субъектом ПДн за действия уполномоченного лица, которому Компания поручила обработку ПДн.

При обработке ПДн субъектов, Компания руководствуется положениями 152-ФЗ «О персональных данных».

6. Права и обязанности

6.1. Права и обязанности Компании

6.1.1. Компания вправе:

• отстаивать свои интересы в суде;

• предоставлять ПДн субъектов государственным и иным уполномоченным органам, если это предусмотрено законодательством (налоговые, правоохранительные органы и др.);

• отказывать в предоставлении ПДН в случаях, предусмотренных законодательством;

• обрабатывать ПДн субъекта без его согласия, в случаях, предусмотренных законодательством.

6.1.2. Компания обязуется:

• не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено 152-ФЗ «О персональных данных». представлять доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, в соответствии с которыми такое согласие не требуется. осуществлять обработку ПДн только с согласия в письменной форме субъекта ПДн, в случаях, предусмотренных 152-ФЗ «О персональных данных». представлять субъекту ПДн или его представителю по запросу информацию, касающуюся обработки ПДн соответствующего субъекта ПДн, либо предоставить мотивированный отказ в предоставлении указанной информации, содержащий ссылку на положения 152- ФЗ «О персональных данных», в срок, не превышающий тридцати дней со дня обращения субъекта ПДн или его представителя. разъяснять субъекту ПДн юридические последствия отказа предоставить его ПДн, если предоставление ПДн является обязательным в соответствии с 152-ФЗ «О персональных данных». вносить изменения в обрабатываемые ПДн по требованию субъекта ПДн или его представителя, в случае подтверждения факта неточности обрабатываемых ПДн соответствующего субъекта ПДн в течение семи рабочих дней.

Компания принимает необходимые и достаточные организационные и технические меры для защиты ПДн субъектов ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

6.2. Права и обязанности субъекта персональных данных

6.2.1. Субъект персональных данных имеет право:

• требовать уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

• требовать перечень своих ПДн, обрабатываемых Компанией и источник их получения;

• получать информацию о сроках обработки своих ПДн, в том числе о сроках их хранения;

• требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

• обжаловать в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке неправомерные действия или бездействия при обработке его ПДн;

• на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

• на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

• на получение информации, касающейся обработки ПДн соответствующего субъекта ПДн, в том числе содержащей:

1. правовые основания и цели обработки ПДн;

2. цели и применяемые Компанией способы обработки ПДн;

3. наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Компанией или на основании иных требований 152-ФЗ «О персональных данных»;

4. обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких ПДн не предусмотрен 152-ФЗ «О персональных данных»;

5. сроки обработки ПДн, в том числе сроки их хранения;

6. порядок осуществления субъектом ПДн прав, предусмотренных 152-ФЗ «О персональных данных»;

7. информацию об осуществляемой или о предполагаемой трансграничной передаче ПДн;

8. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Компании, если обработка поручена или будет поручена такому лицу;

9. иные сведения, предусмотренные 152-ФЗ «О персональных данных» или другими требованиями законодательства в области ПДн

на уточнение, блокирование или уничтожение своих ПДн, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством в области ПДн меры по защите своих прав.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, установленных законодательством Российской Федерации.

Запрос субъекта ПДн должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Компанией, подпись субъекта ПДн или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

7. Ответственность за реализацию положений политики

Работники Компании, осуществляющие обработку ПДн, а также ответственные лица за организацию и обеспечение безопасности ПДн в Компании несут дисциплинарную и административную ответственность в соответствии с действующим законодательством Российской Федерации за нарушение положений настоящей Политики, локальных актов Компании, иных требований, предусмотренных законодательством в области ПДн.