1. Общие положения
- рассмотрение возможности совершения финансовых операций и/или сделок (инвестирование, заключение договоров займа, договоров залога и т.д.) в соответствии с правами, предоставленными Обществу гражданским законодательством, Федеральным законом от 02.08.2019 N 259-ФЗ «О привлечении инвестиций с использованием инвестиционных платформ и о внесении изменений в отдельные законодательные акты Российской Федерации»;
- предоставление отчетности государственным контрольным и надзорным органам в соответствии с требованиями действующего законодательства Российской Федерации;
- предоставление сведений уведомительного или маркетингового характера, в том числе о новых финансовых продуктах, услугах, проводимых акциях, мероприятиях (по которым имеется предварительное согласие субъекта персональных данных на их получение);
- заключение и исполнение договоров с субъектами персональных данных и/или реализация совместных проектов;
- проведение мероприятий по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- формирование данных о кредитной истории;
- проведение мероприятий по урегулированию заявлений, претензий, сообщений субъектов персональных данных по вопросам качества обслуживания, предоставления продуктов, деятельности каналов продаж;
- обеспечения пропускного и внутриобъектового режима на объектах Общества;
- рассмотрение возможности заключения трудового соглашения/договора с субъектом персональных данных;
- регулирование трудовых (гражданско-правовых) отношений субъекта персональных данных с Обществом (обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества работника и Общества как работодателя);
- рассмотрение возможности установления договорных отношений с субъектом персональных данных по его инициативе с целью дальнейшего предоставления финансовых и иных услуг путем заключения договора, одной из сторон которого, либо выгодоприобретателем по которому является субъект персональных данных;
- передача Обществом персональных данных или поручение их обработки третьим лицам в соответствии с действующим законодательством;
- осуществление иных функций, полномочий и обязанностей, возложенных на Общество действующим законодательством Российской Федерации.
2. Правовые основания обработки персональных данных
- Конституцией Российской Федерации;
- Трудовым кодексом Российской Федерации;
- Гражданским кодексом Российской Федерации;
- Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральным законом от 29.11.2010 N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
- Федеральным законом от 02.08.2019 № 259-ФЗ «О привлечении инвестиций с использованием инвестиционных платформ и о внесении изменений в отдельные законодательные акты Российской Федерации»;
- иными нормативными правовыми актами Российской Федерации.
- Закона о ПДн;
- главы 14 Трудового кодекса Российской Федерации;
- постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- приказа ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн»;
- постановления Правительства Российской Федерации от 15 сентября 2008 г. N687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- постановления Правительства Российской Федерации РФ от 6 июля 2008 г. N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- иных нормативных правовых актов Российской Федерации об обработке и защите ПДн.
- единоличным исполнительным органом и членом коллегиальных исполнительных органов Общества,
- работниками Общества,
- лицами, предоставляющими Обществу работы (услуги),
- инвесторами (возможными инвесторами),
- заемщиками (возможными заемщиками),
- иными контрагентами (возможными контрагентами) Общества по гражданско-правовым договорам,
- руководителями, членами коллегиальных исполнительных органов и представителями юридических лиц — клиентов или контрагентов Общества,
- физических лиц, ПДн которых используются для осуществления пропускного режима в занимаемых Обществом помещениях,
- граждан, письменно обращающихся в Общество по вопросам его деятельности.
3. Информация об Обществе, как операторе персональных данных
Наименование | Акционерное общество «Брэйнбокс ВиСи» |
ИНН/КПП | 9703120210 / 770301001 |
ОГРН | 1227700790943 |
Адрес регистрации | 123112, город Mосква, Пресненская наб, д. 12, офис а2, помещение 4 |
Адрес фактический | 123112, город Mосква, Пресненская наб, д. 12, офис а2, помещение 4 |
Адрес для получения электронной корреспонденции | info@brainbox.vc |
4. Информация об уполномоченном государственном органе
Aдрес: 109074, г. Mосква, Китайгородский пр., д.7, стр.2. Справочно-информационный центр:
Тел.: +7 (495) 983-33-93
Факс: +7 (495) 587-44-68
Общий электронный адрес Роскомнадзора - rsoc_in@rkn.gov.ru
Сайт: rkn.gov.ru
5. Основные понятия в области персональных данных
- фамилия, имя, отчество;
- дата и место рождения;
- адрес регистрации, место проживания;
- семейное, социальное, имущественное положение;
- образование, профессия, доходы и т.п.
6. Основные принципы обработки, передачи и хранения персональных данных
- законность: защита ПДн основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПДн;
- системность: обработка ПДн в Обществе осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн;
- комплексность: защита ПДн строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах (далее — ИС) и других имеющихся в Обществе систем и средств защиты;
- непрерывность: защита ПДн обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки ПДн, в том числе при проведении ремонтных и регламентных работ;
- своевременность: меры, обеспечивающие надлежащий уровень безопасности ПДн, принимаются до начала их обработки;
- преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты ПДн осуществляется на основании результатов анализа практики обработки ПДн в Обществе с учетом выявления новых способов и средств реализации угроз безопасности ПДн, отечественного и зарубежного опыта в сфере защиты информации;
- персональная ответственность: ответственность за обеспечение безопасности ПДн возлагается на работников Общества в пределах их обязанностей, связанных с обработкой и защитой ПДн;
- минимизация прав доступа: доступ к ПДн предоставляется работникам только в объеме, необходимом для выполнения их должностных обязанностей;
- гибкость: обеспечение выполнения функций защиты ПДн при изменении характеристик функционирования информационных систем персональных данных Общества (далее — ИСПДн), а также объема и состава обрабатываемых ПДн;
- открытость алгоритмов и механизмов защиты: структура, технологии и алгоритмы функционирования системы защиты ПДн Общества (далее — СЗПДн) не дают возможности преодоления имеющихся в Обществе систем защиты возможными нарушителями безопасности ПДн;
- научная обоснованность и техническая реализуемость: уровень мер по защите ПДн определяется современным уровнем развития информационных технологий и средств защиты информации;
- специализация и профессионализм: реализация мер по обеспечению безопасности ПДн и эксплуатация СЗПДн осуществляются работниками, имеющими необходимые для этого квалификацию и опыт;
- эффективность процедур отбора кадров и выбора контрагентов: Общество осуществляет тщательный подбор персонала и мотивацию работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности ПДн; минимизация вероятности возникновения угрозы безопасности ПДн, источники которых связаны с человеческим фактором, обеспечивается получением наиболее полной информации о контрагентах Общества до заключения договоров;
- наблюдаемость и прозрачность: меры по обеспечению безопасности ПДн должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;
- непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты ПДн, а результаты контроля регулярно анализируются.
7. Доступ к обрабатываемым персональным данным
7.11. Общество не обрабатывает сведения, которые характеризуют физиологические особенности субъектов персональных данных и на основе которых можно установить их личность. В соответствии с требованиями ГОСТ Р ИСО/MЭК 19794-5—2006 «Автоматическая идентификация. Идентификация биометрическая. Данные изображения лица».
Система охранного видеонаблюдения, используемая Обществом, не обрабатывает биометрические персональные данные, на основании которых возможно идентифицировать личность клиента Общества. При сканировании или ксерокопировании фотографий в документах, идентифицирующих личность субъектов персональных данных (например, в паспортах), данные изображения не соответствуют требованиям, предъявляемым к форматам записи изображения, установленными ГОСТ Р ИСО\ MЭК 19794-5-2006.
В случае если обработка биометрических персональных данных субъекта персональных данных необходима Обществу в соответствии с действующим законодательством Российской Федерации или для осуществления деятельности Общества, то такая обработка осуществляется с письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации в области персональных данных.
7.12. Обработка персональных данных осуществляется в случаях, когда получено согласие субъекта на обработку его персональных данных или в иных случаях, предусмотренных законодательством. Обработка персональных данных осуществляется исключительно в целях соблюдения законов и нормативных правовых актов Российской Федерации, заключения договоров и исполнения договорных обязательств.
Обработку персональных данных осуществляют только работники оператора, допущенные к данной работе в установленном порядке.
7.15. Сроки обработки персональных данных определяются в соответствии со сроком действия договора с субъектом персональных данных, Приказом Mинкультуры Российской Федерации от 25.08.2010 № 558
«Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроком исковой давности, а также иными требованиями законодательства Российской Федерации и нормативными документами Банка России.
- Генеральный директор Общества;
- Ответственный за обработку персональных данных в Обществе;
- Ответственный за обеспечение безопасности персональных данных в Обществе;
- работники Общества, для которых обработка персональных данных прямо необходима в связи с исполнением их должностных обязанностей. Допуск работников к персональным данным осуществляется руководством в установленном порядке.
8. Категории обрабатываемых персональных данных
- ПДн работников Общества;
- ПДн индивидуальных предпринимателей, предоставивших свои персональные данные в связи с заключением договора с Обществом о содействии в привлечении инвестиций;
- ПДн физических лиц, в том числе индивидуальных предпринимателей, — инвесторов, залогодателей, поручителей;
- ПДн физических лиц — руководителей (представителей), учредителей юридических лиц, подписывающих с Обществом договоры, которые заключаются или могут быть заключены в будущем между Обществом и юридическим лицом;
- ПДн физических лиц, обратившихся к Обществу в целях трудоустройства и предоставивших свои персональные данные;
- ПДн физических лиц, являющихся аффилированными лицами Общества или руководителями, участниками (акционерами), аудиторами/ревизорами или работниками юридического лица, являющегося аффилированным лицом по отношению к Обществу;
- ПДн физических лиц, являющихся посетителями Общества или обратившихся к Обществу с запросом любого характера, и предоставивших в связи с этим свои персональные данные. Источники получения: субъекты персональных данных Общества.
9. Третьи лица, участвующие в обработке персональных данных
- Федеральной налоговой службе;
- Пенсионному фонду России;
- Негосударственным пенсионным фондам;
- Страховым компаниям;
- Кредитным организациям;
- Регулирующим и/или контролирующим органам государственной власти и местного самоуправления;
- Банку России;
- Бюро кредитных историй;
- Центральному каталогу кредитных историй.
10. Обеспечение безопасности персональных данных
- назначением ответственных за организацию обработки персональных данных;
- осуществлением внутреннего контроля на соответствие обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам;
- ознакомлением работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и/или обучением указанных работников;
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом бумажных и машинных носителей персональных данных;
- выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
11. Права субъектов персональных данных
- на получение сведений об обработке его персональных данных Обществом;
- требовать от Общества, которое их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- обратиться к Обществу, которое рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке;
- обжаловать действия или бездействие Общества путем обращения в уполномоченный орган по защите прав субъектов персональных данных;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
- подтверждение факта обработки его персональных данных;
- правовые основания и цели обработки его персональных данных;
- цели и применяемые оператором персональных данных способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах, которые имеют доступ к персональным данным (за исключением работников оператора) или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании законодательства;
- перечень обрабатываемых персональных данных, относящиеся к соответствующему субъекту, и источник их получения;
- сроки обработки персональных данных и сроки их хранения;
- порядок осуществления субъектом прав, предусмотренных законодательством;
- наименование лица, осуществляющего обработку персональных данных по поручению оператора, в случае если обработка поручена третьему лицу.
- обработка персональных данных, включая те, что получены в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, выполняется в целях укрепления обороны страны, обеспечения безопасности государства и охраны правопорядка;
- обработка персональных данных производится органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, когда допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
- обработка персональных данных выполняется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
- обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.