Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

Информация – сведения (сообщения, данные) независимо от формы их представления.

Информационная система ПДн – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

Распространение ПДн – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Трансграничная передача ПДн – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и/или в результате которых уничтожаются материальные носители ПДн.

Цель обработки ПДн – конкретный конечный результат действий, совершенных с ПДн, вытекающий из требований законодательства и направленный, в том числе, на создание необходимых правовых условий для достижения оптимального согласования интересов сторон.

2.1. Настоящая Политика содержит описание принципов и подходов АО "Энтерест Капитал" в отношении обработки и обеспечения безопасности ПДн, обязанности и ответственности АО "Энтерест Капитал" при осуществлении такой обработки.

2.2. АО "Энтерест Капитал" полностью обеспечивает соблюдение прав и свобод граждан при обработке ПДн, в том числе обеспечивает защиту прав на неприкосновенность частной жизни, личной и семейной тайны.

2.3. При обработке ПДн в АО "Энтерест Капитал" строго соблюдаются следующие принципы:

• обработка ПДн осуществляется на законной и справедливой основе;
• обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей, не допускается обработка ПДн, несовместимая с целями сбора ПДн;
• не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
• не допускается обработка ПДн, которые не отвечают целям обработки;
• содержание и объем обрабатываемых ПДн в АО "Энтерест Капитал" соответствует заявленным целям обработки. В АО "Энтерест Капитал" не допускается избыточная обработка ПДн по отношению к заявленным целям их обработки;
• при обработке ПДн обеспечивается точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн;
• хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
• обработка ПДн осуществляется с соблюдением принципов и правил, предусмотренных законодательством РФ.

3.1. Субъектами ПДн, обработка которых осуществляется АО "Энтерест Капитал", являются:

• работники;
• кандидаты на замещение открытых вакансий в АО "Энтерест Капитал";
• родственники работников;
• участники и бенефициарный владелец АО "Энтерест Капитал";
• посетители сайта;
• пользователи мобильного приложения;
• посетители офиса;
• контрагенты и их представители;
• клиенты, их представители, выгодоприобретатели, бенефициарные владельцы.

3.2. В АО "Энтерест Капитал" не обрабатываются специальные и биометрические ПДн.

3.3. В ИСПДн АО "Энтерест Капитал" обрабатываются ПДн менее чем 100 000 субъектов ПДн.

4.1. Правовыми основаниями обработки ПДн в зависимости от цели процесса, предусматривающего обработку ПДн, могут являться:

4.1.1. Совокупность правовых актов, во исполнение которых и в соответствии с которыми АО "Энтерест Капитал" может осуществлять обработку ПДн, в том числе:

• Налоговый кодекс РФ;
• Трудовой кодекс РФ;
• Гражданский Кодекс РФ;
• Федеральный закон от 26.12.1995 № 208-ФЗ «Об акционерных обществах»;
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 22.04.1996 № 39-ФЗ «О рынке ценных бумаг»;
• Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
• Федеральный закон от 28.06.2014 № 173-ФЗ «Об особенностях осуществления финансовых операций с иностранными гражданами и юридическими лицами, о внесении изменений в Кодекс Российской Федерации об административных правонарушениях и признании утратившими силу отдельных положений законодательных актов Российской Федерации».

4.1.2. Согласие субъекта ПДн на обработку ПДн.

4.1.3. Договоры, заключаемые между АО "Энтерест Капитал" и субъектом ПДн, а также договоры, выгодоприобретателем или поручителем, по которым является субъект ПДн.

В случаях, не предусмотренных рамками договора, обработка ПДн осуществляется на основании согласия на обработку ПДн.

4.1.4. Уставные документы АО "Энтерест Капитал".

4.1.5. Осуществление прав и законных интересов АО "Энтерест Капитал" или третьих лиц.

4.1.6. Обязательное раскрытие или опубликование ПДн в случаях, которые предусмотрены требованиями действующего законодательства РФ.

5.1. Для каждой цели обработки ПДн в АО "Энтерест Капитал" определены:

• категории и перечень обрабатываемых ПДн;
• категории субъектов, ПДн которых обрабатываются;
• способы обработки ПДн;
• сроки обработки и хранения ПДн;
• порядок уничтожения ПДн.

6.1. Перечень действий, совершаемых АО "Энтерест Капитал" с ПДн субъектов, а также используемые способы обработки ПДн и сроки обработки ПДн определены АО "Энтерест Капитал" в локальных актах по вопросам обработки персональных данных.

6.2. АО "Энтерест Капитал" может осуществлять передачу ПДн в следующих случаях:

6.2.1. Субъект ПДн дал согласие на передачу его ПДн, при этом субъект ПДн в любой момент может отозвать свое согласие.

6.2.2. По мотивированному запросу, для выполнения возложенных законодательством функций и полномочий, ПДн субъекта ПДн без его согласия могут быть переданы:

• в судебные органы в связи с осуществлением правосудия;
• в органы федеральной службы безопасности;
• в органы прокуратуры;
• в органы полиции;
• в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.

6.3. АО "Энтерест Капитал" может осуществлять трансграничную передачу ПДн в случаях, которые предусмотрены требованиями действующего законодательства РФ, и/или при следующих условиях:

6.3.1. АО "Энтерест Капитал" провело проверку в отношении иностранного государства на обеспечение адекватной защиты ПДн.

6.3.2. АО "Энтерест Капитал" до начала осуществления деятельности по трансграничной передаче ПДн уведомило уполномоченный орган по защите субъектов ПДн о своем намерении осуществлять трансграничную передачу ПДн в установленном порядке ст. 12 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

6.3.3. Субъект ПДн дал свое согласие на трансграничную передачу ПДн, при этом субъект ПДн в любой момент может отозвать свое согласие.

6.4. АО "Энтерест Капитал" может поручить обработку ПДн на следующих условиях:

6.4.1. По договору АО "Энтерест Капитал" возлагает следующую ответственность на Лицо, которое будет осуществлять обработку ПДн по поручению АО "Энтерест Капитал":

• при обработке ПДн ограничиваться перечнем ПДн, целями и действиями (операциями) с ПДн, которые предусмотрены договором;
• соблюдение принципов и правил обработки ПДн, предусмотренных в действующем законодательстве;
• соблюдение конфиденциальности ПДн;
• принятие необходимых мер, направленных на обеспечение выполнения обязанностей, предусмотренных действующим законодательством, а также договором, заключенным с АО "Энтерест Капитал";
• уведомление АО "Энтерест Капитал" о случаях установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн;
• предоставление документов и иной информации, которая подтверждает принятие мер и соблюдение в целях исполнения поручения АО "Энтерест Капитал" требований, установленных в соответствии с разделом 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
• соблюдение иных требований действующего законодательства РФ.

6.4.2. Субъект ПДн дал свое согласие на поручение обработки его ПДн, при этом субъект ПДн в любой момент может отозвать свое согласие, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.

7.1. Доступ к ПДн ограничивается в соответствии с законодательством РФ и локальными правовыми актами АО "Энтерест Капитал".

7.2. АО "Энтерест Капитал" не разглашает полученные им в результате своей профессиональной деятельности ПДн.

7.3. Работники АО "Энтерест Капитал", получившие доступ к ПДн, принимают обязательства по обеспечению конфиденциальности обрабатываемых ПДн, которые определены:

• трудовым договором и/или соглашением;
• обязательством о неразглашении конфиденциальной информации;
• должностными инструкциями в части обеспечения безопасности ПДн.

7.4. Доступ к ПДн, обрабатываемым в АО "Энтерест Капитал", на основании и во исполнение нормативных правовых актов предоставляется органам государственной власти по запросу.

7.5. ПДн могут быть представлены третьим лицам только с письменного согласия субъекта ПДн, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта ПДн, а также в других случаях, предусмотренных федеральными законами.

8.1. АО "Энтерест Капитал" предпринимает необходимые технические и организационные меры информационной безопасности для защиты данных от несанкционированного доступа, изменения, раскрытия или уничтожения путем внутренних проверок процессов сбора, хранения и обработки данных и мер безопасности, а также осуществления мер по обеспечению физической безопасности данных для предотвращения несанкционированного доступа к системам, в которых АО "Энтерест Капитал" хранит ПДн.

8.2. АО "Энтерест Капитал" для соблюдения требований конфиденциальности ПДн в том числе обеспечивает следующие меры:

8.2.1. Назначено лицо, ответственное за организацию обработки ПДн.

8.2.2. Разработана и утверждена Модель нарушителя и угроз безопасности ПДн.

8.2.3. Изданы и соблюдаются локальные акты в отношении обработки ПДн и обеспечения их безопасности.

8.2.4. Соблюдаются требования законодательства в данной области, в том числе требования к защите в соответствии с установленным уровнем защищенности ПДн.

8.2.5. Реализуются организационные и технические меры защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн.

8.2.6. Осуществляется внутренний контроль обработки ПДн.

8.2.7. Реализуются иные меры, предусмотренные статьями 18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

9.1. В случае подтверждения факта неточности ПДн или неправомерности их обработки, ПДн должны быть актуализированы силами АО "Энтерест Капитал", а обработка будет прекращена, согласно ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

9.2. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию при наступлении следующих условий:

• достижение целей обработки ПДн или максимальных сроков хранения – в течение 30 дней (ч. 4 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»);
• утрата необходимости в достижении целей обработки ПДн – в течение 30 дней;
• предоставление субъектом ПДн или его законным представителем подтверждения того, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки – в течение 7 рабочих дней (ч. 1 ст. 14 и ч. 3 ст. 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»);
• невозможность обеспечения правомерности обработки ПДн – в течение 10 рабочих дней (ч. 3 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»);
• отзыв субъектом ПДн согласия на обработку ПДн, если сохранение ПДн более не требуется для целей обработки ПДн – в течение 30 дней (ч. 5 ст. 21);
• обращение субъекта ПДн с требованием о прекращении обработки ПДн – в течение 10 рабочих дней (ч. 5.1 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»);
• отзыв субъектом ПДн согласия на использование ПДн для контактов с потенциальными потребителями при продвижении товаров и услуг – немедленно (если обработка ПДн не требуется в целях исполнения договора, одной из сторон которого является субъект ПДн);
• истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка ПДн;
• ликвидация (реорганизация) Общества.

10.1. АО "Энтерест Капитал" обязано:

10.1.1. Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, связанных с обработкой ПДн, предусмотренных законодательством РФ.

10.1.2. Разрабатывать, утверждать и обеспечивать неограниченный доступ к документу, определяющему политику в отношении обработки ПДн, и сведениям о реализуемых требованиях для защиты ПДн.

10.1.3. Предоставлять документы и локальные акты по запросу уполномоченного органа по защите прав субъектов ПДн.

10.1.4. Осуществлять обработку ПДн субъектов с соблюдением принципов и правил, предусмотренных законодательством РФ.

10.1.5. Сообщать субъекту ПДн или его представителю информацию об осуществляемой им обработке ПДн такого субъекта по запросу, согласно ст. 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

10.1.6. Прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению) в следующих случаях:

• при достижении целей обработки ПДн;
• субъект ПДн отозвал свое согласие на обработку его ПДн, за исключением случаев, которые предусматривают обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
• ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• субъект ПДн направил обращение в АО "Энтерест Капитал" c требованием о прекращении обработки ПДн, за исключением случаев, которые предусматривают обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

10.1.7. Блокировать обработку ПДн или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению) в следующих случаях:

• ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отсутствует возможность уничтожения ПДн в течение срока, установленного законодательством.

10.1.8. Уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению) в следующих случаях:

• при достижении целей обработки ПДн;
• сохранение ПДн более не требуется для целей обработки ПДн;
• ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

10.2. АО "Энтерест Капитал" имеет право:

10.2.1. Поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.

10.3. АО "Энтерест Капитал" предпринимает разумные меры для поддержания точности и актуальности имеющихся ПДн, а также удаления ПДн в случаях, если они являются устаревшими, недостоверными или излишними, либо если достигнуты цели их обработки.

11.1. Субъекты ПДн несут ответственность за предоставление АО "Энтерест Капитал" достоверных сведений, а также за своевременное обновление предоставленных данных в случае каких-либо изменений.

11.2. В случаях если субъект ПДн хочет узнать, какими ПДн располагает АО "Энтерест Капитал", либо дополнить, исправить, обезличить или удалить любые неполные, неточные или устаревшие ПДн, либо прекратить обработку АО "Энтерест Капитал" ПДн субъекта, либо имеет другие законные требования, то субъект ПДн в установленном порядке и в соответствии с действующим законодательством может реализовать такое право, обратившись в АО "Энтерест Капитал" в установленном порядке.

11.3. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

• подтверждение факта обработки ПДн АО "Энтерест Капитал";
• правовые основания и цели обработки ПДн;
• цели и применяемые АО "Энтерест Капитал" способы обработки ПДн;
• наименование АО "Энтерест Капитал", сведения о лицах (за исключением работников АО "Энтерест Капитал"), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с АО "Энтерест Капитал" или на основании федерального закона;
• обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки ПДн, в том числе сроки их хранения;
• порядок осуществления субъектом ПДн прав, предусмотренных действующим законодательством;
• информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;
• наименование или фамилию, имя, отчество лица, осуществляющего обработку ПДн по поручению АО "Энтерест Капитал", если обработка поручена или будет поручена такому лицу;
• информацию о способах исполнения АО "Энтерест Капитал" обязанностей, установленных ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
• иные сведения, предусмотренные действующим законодательством.

11.4. В случаях когда субъект ПДн изъявляет желание удалить свои ПДн или прекратить их обработку (например, если основанием для обработки ПДн является договор), такое обращение может означать, что АО "Энтерест Капитал" больше не сможет предоставлять услуги данному субъекту ПДн.

11.5. Для исполнения запросов субъектов ПДн АО "Энтерест Капитал" может потребовать установить личность субъекта ПДн (предъявлением оригинала документа, устанавливающего личность) и запросить дополнительную информацию, подтверждающую участие субъекта ПДн в отношениях с АО "Энтерест Капитал" (номер договора, дата заключения договора, условное словесное обозначение и/или иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн АО "Энтерест Капитал".

Кроме того, действующее законодательство может устанавливать ограничения и другие условия, касающиеся упомянутых выше прав субъектов ПДн.

12.1. Контроль исполнения требований настоящей Политики осуществляется Ответственным за организацию обработки ПДн в АО "Энтерест Капитал".

12.2. Лица, виновные в нарушении норм, регулирующих обработку и защиту ПДн в АО "Энтерест Капитал", несут ответственность, предусмотренную законодательством РФ.