Раздел 1. Общие положения
1.1. Настоящая Политика обработки персональных данных в государственной корпорации развития «ВЭБ.РФ» (далее – Политика) устанавливает порядок обработки и обеспечения безопасности персональных данных субъектов персональных данных при их обработке государственной корпорацией развития «ВЭБ.РФ» (далее – ВЭБ.РФ).
1.2. Политика разработана на основе и во исполнение Конституции Российской Федерации, Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о ПД), Трудового кодекса Российской Федерации, постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Политики об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», а также иных нормативных правовых актов, регулирующих порядок обработки персональных данных и защиты прав субъектов персональных данных (далее совместно – Законодательство о ПД).
Порядок обработки персональных данных представительствами ВЭБ.РФ за рубежом, на деятельность которых распространяются требования иностранного законодательства, в частности требования Общего регламента Европейского союза о защите данных от 27 апреля 2016 г. № 2016/679, регулируется отдельными внутренними нормативными, регламентирующими и распорядительными документами ВЭБ.РФ, принятыми во исполнение требований такого законодательства.
1.3. Целью Политики является закрепление принимаемых ВЭБ.РФ мер, направленных на обеспечение выполнения ВЭБ.РФ обязанностей, предусмотренных Законодательством о ПД, в целях соблюдения и защиты прав и свобод физических лиц при обработке ВЭБ.РФ их персональных данных.
1.4. Политика подлежит актуализации в случае изменений в Законодательстве о ПД в части, касающейся порядка обработки персональных данных и защиты прав субъектов персональных данных, а также в случае изменений в порядке обработки ВЭБ.РФ персональных данных.
ВЭБ.РФ обеспечивает неограниченный доступ к Политике путем ее размещения на официальном сайте ВЭБ.РФ в сети Интернет, а также копии Политики в бумажной форме в зоне ресепшен при входе в офисы ВЭБ.РФ.
1.5. По требованию любого физического лица (или его представителя, если применимо), чьи персональные данные обрабатываются ВЭБ.РФ, копия Политики должна быть предоставлена ВЭБ.РФ в бумажной или электронной форме в кратчайший разумный срок.
1.6. Все персональные данные, обрабатываемые ВЭБ.РФ, признаются информацией ограниченного доступа, распространение и иное использование которой позволяется в порядке, предусмотренном для такой информации законодательством Российской Федерации и внутренними нормативными, регламентирующими и распорядительными документами ВЭБ.РФ.
Раздел 2. Персональные данные, обрабатываемые ВЭБ.РФ. Состав и категории субъектов персональных данных
2.1. ВЭБ.РФ не обрабатывает данные, касающиеся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья (за исключением сведений о здоровье, относящихся к вопросу о возможности выполнения работниками трудовой функции и исключительно в объеме, необходимом для целей, определенных Законодательством о ПД), интимной жизни, за исключением случаев, прямо предусмотренных Законодательством о ПД и иными федеральными законами Российской Федерации.
Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется ВЭБ.РФ на основании согласия субъекта персональных данных на их распространение с учетом особенностей, установленных статьей 10.1 Закона о ПД.
Обработка биометрических и специальных персональных данных в ВЭБ.РФ допускается только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.
Обработка персональных данных для достижения ВЭБ.РФ целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на ВЭБ.РФ функций, полномочий и обязанностей в соответствии с пунктом 2 части 1 статьи 6 Закона о ПД осуществляется без согласия субъекта персональных данных.
2.2. В порядке, предусмотренном Политикой, ВЭБ.РФ собирает и иным образом обрабатывает персональные данные следующих категорий физических лиц (субъектов персональных данных):
— физические лица, с которыми ВЭБ.РФ заключен трудовой договор и сохраняются трудовые отношения (далее – Работники);
— физические лица, с которыми ВЭБ.РФ прекратил трудовые отношения по любому основанию (далее – Бывшие Работники);
— близкие родственники и свойственники Работников[1] (далее совместно – Родственники Работников);
— близкие родственники и свойственники Бывших Работников1 (далее совместно – Родственники Бывших Работников);
— кандидаты на должность в ВЭБ.РФ, которые представляют в ВЭБ.РФ свои персональные данные с намерением замещения должности и заключения трудового договора или иного договора (далее – Кандидаты);
— близкие родственники и свойственники Кандидатов1 (далее совместно – Родственники Кандидатов);
— лица, с которыми Работник (Бывший Работник, Кандидат) и (или) лица, состоящие с ним в близком родстве или свойстве, связаны имущественными, корпоративными или иными близкими отношениями (далее – Лица, связанные с Работниками (Бывшими Работниками, Кандидатами)[2];
— рекомендатели Кандидатов (бывшие руководители, коллеги, иные лица, которые дают дополнительную информацию о квалификации и об опыте Кандидатов) (далее – Рекомендатели);
— физические лица – представители контрагентов (клиентов, партнеров, подрядчиков, поставщиков), с которыми у ВЭБ.РФ существуют и/или могут существовать договорные и иные правовые отношения, в том числе работники, собственники (учредители, участники), бенефициары (бенефициарные владельцы), представители, действующие на основании доверенности, и иные лица, с которыми ВЭБ.РФ контактирует в интересах таких контрагентов (далее – Представители контрагентов);
— физические лица (в том числе индивидуальные предприниматели), с которыми у ВЭБ.РФ существуют и/или могут существовать договорные и иные правовые отношения, а также деловые партнеры (далее – Подрядчики);
— физические лица – клиенты, которым ВЭБ.РФ оказывает и/или планирует оказывать услуги (далее – Клиенты);
— физические лица – члены наблюдательного совета ВЭБ.РФ (далее – Члены наблюдательного совета);
— работники, члены органов управления и представители институтов развития[3], организаций ВЭБ.РФ[4], иных российских юридических лиц, прямо или косвенно контролируемых ВЭБ.РФ (далее – Представители институтов развития и организаций);
— физические лица, участвующие в мероприятиях, имеющих деловой, информационный и/или развлекательный характер, организуемых ВЭБ.РФ или при участии ВЭБ.РФ (далее – Участники мероприятий);
— физические лица, посещающие помещения ВЭБ.РФ и не имеющие права постоянного входа в эти помещения (далее – Посетители офиса);
— физические лица, посещающие и/или использующие сайт ВЭБ.РФ для информационных или иных целей, в частности для связи с ВЭБ.РФ (далее – Посетители сайта);
— участники административных или гражданских судебных процессов, исполнительных производств или любых предусмотренных применимым законодательством регуляторных и административных процедур с участием ВЭБ.РФ или Работников (далее – Участники процессов);
— представители субъектов персональных данных, не являющиеся Работниками и обращающиеся в ВЭБ.РФ по поручению и от имени таких субъектов персональных данных (далее – Представители субъектов персональных данных);
— работники государственных контрольно-надзорных органов и организаций, а также саморегулируемых организаций, членом которых является ВЭБ.РФ, иных организаций (далее – Работники госорганов и организаций);
— физические лица, персональные данные которых сделаны ими общедоступными.
Раздел 3. Цели и правовые основания для обработки ВЭБ.РФ персональных данных
3.1. Обработка персональных данных осуществляется ВЭБ.РФ в целях, определенных для каждой категории субъектов персональных данных в настоящей Политике, и ограничивается достижением таких конкретных, заранее определенных и законных целей.
3.2. В ВЭБ.РФ не допускается обработка персональных данных в целях, несовместимых с целями сбора таких персональных данных. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.
ВЭБ.РФ как оператор персональных данных
3.3. ВЭБ.РФ в качестве оператора персональных данных (как этот термин определен в статье 3 Закона о ПД) осуществляет обработку персональных данных субъектов, указанных в пункте 2.2 Политики, в соответствии с действующим Законодательством о ПД, руководствуясь следующими правовыми основаниями:
— положениями применимого к деятельности ВЭБ.РФ законодательства;
— договорами, стороной которых либо выгодоприобретателем или поручителем по которым являются субъекты персональных данных (в частности, трудовыми договорами и договорами оказания услуг);
— согласиями субъектов персональных данных на обработку их персональных данных.
3.4. ВЭБ.РФ обрабатывает персональные данные, придерживаясь принципов обработки данных, установленных статьей 5 Закона о ПД, в следующих целях:
3.4.1. персональные данные Работников обрабатываются ВЭБ.РФ в целях:
— обеспечения соблюдения применимого к деятельности ВЭБ.РФ законодательства и иных нормативных правовых актов, в том числе требований кадрового, бухгалтерского, налогового и воинского учета, законодательства о противодействии коррупции, о защите государственной тайны, а также внутренних нормативных, регламентирующих и распорядительных документов ВЭБ.РФ;
— содействия в трудоустройстве, в том числе в целях заключения и исполнения трудового договора, осуществления кадрового учета, принятия управленческих и кадровых решений, ведения внутреннего кадрового резерва, согласования очередности предоставления отпусков;
— расчета и выплаты заработной платы, выплаты возмещений по понесенным расходам, расчета и перечисления налогов и страховых взносов;
— предоставления гарантий, компенсаций, обязательного социального страхования, налоговых вычетов и материальной помощи, а также мер социальной поддержки и защиты Работникам;
— контроля количества и качества выполняемой работы, аттестации Работников, оценки результатов труда, а также в целях контроля трудовой дисциплины;
— содействия в обучении, повышении квалификации, профессиональной переподготовке и продвижении по службе, в том числе в целях организации и администрирования тренингов и обучения;
— оформления допуска к государственной тайне (применяется в отношении отдельных Работников);
— установления индивидуальных условий и режима работы;
— исполнения договоров с третьими лицами и представления интересов ВЭБ.РФ в отношениях с третьими лицами (составление доверенностей, взаимодействие с контрагентами ВЭБ.РФ при содействии в заключении и исполнении договоров);
— обеспечения технической поддержки исполнения Работниками должностных обязанностей, организации и сопровождения служебных командировок Работников, паспортно-визового обеспечения при командировании Работников за пределы Российской Федерации, получения разрешений на работу и рабочих виз для Работников;
— размещения персональных данных на официальном сайте ВЭБ.РФ в сети Интернет, во внутренней корпоративной сети и во внутренних информационных системах (в том числе в электронном телефонном справочнике ВЭБ.РФ и на корпоративном информационном портале);
— анализа оценки удовлетворенности Работников работой в ВЭБ.РФ, общественного признания профессиональных достижений, личных заслуг, талантов и способностей, стимулирования в добровольном участии во внерабочих корпоративных и благотворительных мероприятиях;
— повышения эффективности коммуникаций между Работниками и иными лицами, установления и поддержания деловых контактов, организации процедур закупок и участия в таких процедурах;
— обеспечения охраны труда, техники безопасности, пожарной безопасности и защиты от чрезвычайных ситуаций, проведения специальной оценки условий труда, выявления нарушений состояния здоровья и медицинских противопоказаний к работе, проведения медицинских осмотров и медицинских освидетельствований на состояние опьянения, учета несчастных случаев и оповещения о них;
— обеспечения личной безопасности Работников при эксплуатации и использовании служебных транспортных средств и анализа дорожно-транспортных происшествий, в которые было вовлечено такое служебное транспортное средство;
— обеспечения сохранности имущества ВЭБ.РФ, соблюдения пропускного режима и обеспечения внутриобъектового и пропускного режимов на объектах ВЭБ.РФ;
— осуществления процедур аудита, контроля и проведения служебных расследований;
— участия в реализации мероприятий по обеспечению непрерывности деятельности ВЭБ.РФ, предусмотренных внутренними нормативными, регламентирующими и распорядительными документами ВЭБ.РФ;
— эксплуатации и использования ИТ-инфраструктуры и прикладного программного обеспечения, предоставления служебного сервиса связи и служебного доступа к сети Интернет, технической поддержки Работников как пользователей ИТ-инфраструктуры и прикладного программного обеспечения, обеспечения защиты информации;
— управления деятельностью ВЭБ.РФ, использования, исполнения и соблюдения предусмотренных применимым к деятельности ВЭБ.РФ законодательством прав, обязанностей и запретов, представления интересов ВЭБ.РФ и наделения Работников специальными полномочиями, участия в судебных процессах и исполнения судебных актов, организации, проведения независимой проверки бухгалтерской (финансовой) отчетности и получения ее результатов, осуществления делопроизводства и ведения отчетности, предоставления мер социальной поддержки и защиты Работникам и Родственникам Работников;
3.4.2. персональные данные Бывших Работников обрабатываются ВЭБ.РФ в целях выполнения требований применимого к деятельности ВЭБ.РФ законодательства (в том числе требований бухгалтерского и налогового учета, требований органов государственного статистического учета), осуществления делопроизводства, предоставления мер социальной поддержки и защиты Бывшим Работникам, а также в целях противодействия коррупции, защиты государственной тайны;
3.4.3. персональные данные Родственников Работников обрабатываются ВЭБ.РФ в целях выполнения требований применимого к деятельности ВЭБ.РФ законодательства (в том числе требований бухгалтерского и налогового учета, требований органов государственного статистического учета), осуществления делопроизводства, противодействия коррупции, предоставления Родственникам Работников мер социальной поддержки и защиты.
Персональные данные Родственников Работников, допускаемых к государственной тайне, обрабатываются ВЭБ.РФ в целях выполнения требований применимого к деятельности ВЭБ.РФ законодательства о государственной тайне для установления оснований для допуска Работника к государственной тайне или отказа в предоставлении такого допуска;
3.4.4. персональные данные Родственников Бывших Работников обрабатываются ВЭБ.РФ в целях выполнения требований применимого к деятельности ВЭБ.РФ законодательства (в том числе требований бухгалтерского и налогового учета, требований органов государственного статистического учета), в целях противодействия коррупции, предоставления мер социальной поддержки и защиты Родственникам Бывших Работников, а также с их согласия в целях проведения процедур аудита и контроля;
3.4.5. персональные данные Лиц, связанных с Работниками (Бывшими Работниками, Кандидатами), обрабатываются ВЭБ.РФ в целях выполнения требований применимого к деятельности ВЭБ.РФ законодательства о противодействии коррупции;
3.4.6. персональные данные Кандидатов обрабатываются ВЭБ.РФ в целях рассмотрения кандидатур на замещение вакантных должностей в ВЭБ.РФ и принятия решения о возможности замещения вакантных должностей Кандидатами, наиболее полно соответствующими требованиям ВЭБ.РФ, а также с согласия Кандидатов в целях направления и получения предложений о трудоустройстве, информационного и организационного взаимодействия с Кандидатами в период принятия решения о найме или об отказе в приеме на работу, ведения кадрового резерва, а также без их согласия в целях противодействия коррупции;
3.4.7. персональные данные Родственников Кандидатов обрабатываются ВЭБ.РФ с их согласия в целях рассмотрения Кандидата в качестве кандидатуры на замещение вакантных должностей в ВЭБ.РФ и принятия решения о возможности замещения Кандидатом вакантных должностей в ВЭБ.РФ, а также с согласия Родственников Кандидатов для взаимодействия в целях уточнения или получения дополнительной информации о Кандидате и об опыте его работы и без их согласия в целях противодействия коррупции;
3.4.8. персональные данные Рекомендателей обрабатываются ВЭБ.РФ в целях получения дополнительных сведений о квалификации и об опыте работы Кандидатов (при этом Кандидат уведомляет Рекомендателей о начале осуществления ВЭБ.РФ обработки их персональных данных), а также без согласия Рекомендателей в целях противодействия коррупции;
3.4.9. персональные данные Представителей контрагентов обрабатываются ВЭБ.РФ в целях заключения и исполнения договоров, реализации иных правоотношений, в том числе на основании соответствующих договоров и по поручению других контрагентов, а также в целях исполнения требований применимого к деятельности ВЭБ.РФ законодательства, информационного и организационного взаимодействия с Представителями контрагентов;
3.4.10. персональные данные Подрядчиков обрабатываются ВЭБ.РФ в целях исполнения договоров с такими лицами и требований применимого к деятельности ВЭБ.РФ законодательства (в том числе требований бухгалтерского и налогового учета), а также для информационного и организационного взаимодействия с Подрядчиками, в том числе после прекращения договоров;
3.4.11. персональные данные Клиентов обрабатываются ВЭБ.РФ в целях исполнения договоров с такими лицами, в том числе осуществления выплаты доходов по ценным бумагам/перевода денежных средств в наличной и безналичной форме;
3.4.12. персональные данные Членов наблюдательного совета обрабатываются ВЭБ.РФ в целях выполнения требований применимого к деятельности ВЭБ.РФ законодательства, в том числе законодательства о противодействии неправомерному использованию инсайдерской информации;
3.4.13. персональные данные Представителей институтов развития и организаций обрабатываются ВЭБ.РФ в целях осуществления функций и задач, а также прав ВЭБ.РФ, предусмотренных Федеральным законом от 17 мая 2007 г. № 82-ФЗ «О государственной корпорации развития «ВЭБ.РФ», в том числе в целях обеспечения координации и контроля деятельности институтов развития, организаций ВЭБ.РФ и иных российских юридических лиц, прямо или косвенно контролируемых ВЭБ.РФ;
3.4.14. персональные данные Работников госорганов и организаций обрабатываются ВЭБ.РФ в целях выполнения требований применимого к деятельности ВЭБ.РФ законодательства, в том числе в рамках проводимых ими проверок деятельности ВЭБ.РФ;
3.4.15. персональные данные Участников мероприятий обрабатываются ВЭБ.РФ в целях организации (самостоятельно или с привлечением подрядчиков) и проведения мероприятий, имеющих деловой, информационный и/или развлекательный характер, обеспечения прохода на территорию (в здание, помещение), на которой проводится мероприятие, а также с согласия Участников мероприятий в целях фото- и видеосъемки мероприятий;
3.4.16. персональные, в том числе биометрические, данные Посетителей офиса обрабатываются ВЭБ.РФ (самостоятельно или с привлечением подрядчиков, в частности владельца здания, в котором расположен офис ВЭБ.РФ) в целях обеспечения прохода в охраняемые помещения ВЭБ.РФ и контроля убытия Посетителей офиса из охраняемых помещений, организации пропускного режима, а также в целях обеспечения сохранности имущества ВЭБ.РФ и Работников (в том числе в целях осуществления видеонаблюдения в офисе для обеспечения безопасности);
3.4.17. персональные данные Посетителей сайта обрабатываются ВЭБ.РФ в целях организации приема заявок на финансирование проектов, получения обращений в адрес ВЭБ.РФ (в том числе сообщений о фактах коррупции), писем (обратной связи);
3.4.18. персональные данные Участников процессов обрабатываются ВЭБ.РФ в целях выполнения требований применимого к деятельности ВЭБ.РФ законодательства (в том числе процессуального), рассмотрения поступающих обращений любого характера и реагирования на них, а также в целях проведения процедур аудита и контроля;
3.4.19. персональные данные Представителей субъектов персональных данных обрабатываются ВЭБ.РФ в целях выполнения требований применимого к деятельности ВЭБ.РФ законодательства, а также в целях рассмотрения поступающих обращений любого характера и реагирования на них;
3.4.20. специальные и общедоступные персональные данные обрабатываются ВЭБ.РФ в целях выполнения требований применимого к деятельности ВЭБ.РФ законодательства.
Персональные данные, получаемые ВЭБ.РФ от других операторов
3.5. ВЭБ.РФ также обрабатывает персональные данные по поручению соответствующих операторов (контрагентов) в объеме и на условиях, предусмотренных соответствующим договором, заключенным между ВЭБ.РФ и таким оператором, а также в случаях, когда такая обработка необходима в связи с применимым к деятельности ВЭБ.РФ законодательством (в частности (но не ограничиваясь) налоговым законодательством, законодательством о противодействии коррупции, законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма), требованиями бухгалтерского учета. В указанных случаях ВЭБ.РФ не получает отдельных согласий субъектов на обработку персональных данных, руководствуясь договором, заключенным между ВЭБ.РФ и таким оператором, статьей 6 Закона о ПД и/или иным применимым к деятельности ВЭБ.РФ законодательством.
3.6. Обработка персональных данных, получаемых ВЭБ.РФ от других операторов, осуществляется ВЭБ.РФ также в целях фактического осуществления предусмотренной Федеральным законом от 17 мая 2007 г. № 82-ФЗ «О государственной корпорации развития «ВЭБ.РФ» деятельности, в том числе в целях проведения процедур аудита и контроля, приобретения и использования продукции и услуг контрагентов (агентов, партнеров, подрядчиков, поставщиков), ведения расчетов с контрагентами, осуществления информационного и организационного взаимодействия с контрагентами и иными лицами и контроля качества такого взаимодействия, ведения переговоров, заключения и исполнения договоров, принятия мер должной осмотрительности при взаимодействии с действительными и потенциальными контрагентами, включающих в себя оценку возможных юридических, финансовых, репутационных и иных рисков, установления и поддержания деловых контактов, организации процедур закупок и участия в таких процедурах, принятия решения о предоставлении Работнику допуска к государственной тайне или об отказе в предоставлении такого допуска, а также в целях противодействия коррупции.
3.7. ВЭБ.РФ сохраняет конфиденциальность и безопасность персональных данных, а также обеспечивает их обработку в целях, предусмотренных применимым законодательством и/или договором, заключенным между ВЭБ.РФ и соответствующим оператором. Лица, ответственные в ВЭБ.РФ за подготовку договоров с контрагентами, которые будут передавать в качестве операторов персональные данные ВЭБ.РФ, обязаны обеспечить включение в такие договоры положений о том, что:
— контрагентом обеспечены достаточные правовые основания для передачи персональных данных ВЭБ.РФ (и, если применимо, другим организациям ВЭБ.РФ) и для их дальнейшей обработки в течение всего срока действия договора;
— субъекты, чьи персональные данные передаются ВЭБ.РФ, уведомлены об осуществлении ВЭБ.РФ обработки их персональных данных в порядке, предусмотренном Законодательством о ПД.
Раздел 4. Сбор и иные виды обработки персональных данных
4.1. ВЭБ.РФ не допускает объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4.2. ВЭБ.РФ обрабатывает персональные данные субъектов персональных данных с использованием средств автоматизации или без использования таких средств (смешанный тип обработки) и может совершать с персональными данными следующие виды действий: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
4.3. ВЭБ.РФ не принимает решений, порождающих юридические последствия в отношении физических лиц – субъектов персональных данных или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
4.4. При сборе персональных данных ВЭБ.РФ обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Все персональные данные, в отношении которых ВЭБ.РФ осуществляет трансграничную передачу, собираются и записываются в базы данных, которые размещены на территории Российской Федерации и в которых происходит при необходимости их уточнение, изменение или обновление перед трансграничной передачей изменившихся персональных данных.
4.5. ВЭБ.РФ применяет следующие способы сбора (получения) персональных данных субъектов персональных данных:
— заполнение субъектом персональных данных соответствующих форм;
— предоставление субъектом персональных данных соответствующих документов;
— получение персональных данных от третьих лиц (операторов);
— получение персональных данных на основании запроса, направленного третьим лицам (с согласия субъекта или в иных случаях, прямо разрешенных Законодательством о ПД);
— сбор персональных данных из общедоступных источников (государственных информационных систем);
— осуществление записи фото- и видеоизображения субъекта персональных данных и (или) его речи.
4.6. Запись и систематизация персональных данных при их сборе осуществляются таким образом, чтобы в отношении каждой категории персональных данных можно было определить место хранения и место накопления. Хранение персональных данных осуществляется в соответствии с требованиями законодательства Российской Федерации и в любом случае не дольше, чем этого требуют цели обработки персональных данных, если только иной срок не установлен законодательством Российской Федерации, либо по согласованию с субъектом персональных данных. Действие настоящей Политики не распространяется на процессы архивного хранения документов, содержащих персональные данные.
Раздел 5. Доступ к персональным данным
5.1. Доступ к персональным данным имеют Работники, которым персональные данные необходимы в связи с исполнением ими должностных обязанностей в соответствии с перечнем должностей, ведение которого осуществляется ВЭБ.РФ. В целях выполнения должностных обязанностей доступ к персональным данным может быть предоставлен иному Работнику, должность которого не включена в перечень должностей Работников, имеющих право доступа к персональным данным.
5.2. Работники, допущенные в ВЭБ.РФ к обработке персональных данных, имеют право приступать к работе с персональными данными исключительно после ознакомления под личную подпись с внутренними нормативными документами ВЭБ.РФ, регламентирующими обработку персональных данных в ВЭБ.РФ.
5.3. Работники, осуществляющие в ВЭБ.РФ обработку персональных данных, должны действовать в соответствии со своими должностными инструкциями, с настоящей Политикой и внутренними нормативными, регламентирующими и распорядительными документами ВЭБ.РФ по обработке и защите персональных данных.
Раздел 6. Передача персональных данных третьим лицам
6.1. Согласия субъекта на передачу его персональных данных третьим лицам не требуется:
— в целях предупреждения угрозы жизни и здоровью субъекта персональных данных;
— когда согласие субъекта персональных данных на обработку (в том числе передачу) его персональных данных третьими лицами получено от него в письменном виде при заключении договора с ВЭБ.РФ;
— когда третьи лица оказывают услуги ВЭБ.РФ на основании заключенных договоров, а передача персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
— в иных случаях, установленных Законодательством о ПД, иными нормативными правовыми актами Российской Федерации.
6.2. При передаче персональных данных ВЭБ.РФ:
— не раскрывает персональные данные третьим лицам без согласия субъекта персональных данных, если иное не предусмотрено Законодательством о ПД, иными нормативными правовыми актами Российской Федерации или договором с субъектом персональных данных;
— предупреждает (в том числе указывает в договорах (иных документах), на основании которых осуществляется передача персональных данных) лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они переданы ВЭБ.РФ, и исключительно при условии соблюдения режима конфиденциальности и безопасности персональных данных.
6.3. Любые третьи лица, получающие от ВЭБ.РФ персональные данные, обязаны обеспечивать их целостность, конфиденциальность и безопасность, а также соблюдать иные требования к их обработке, предусмотренные соответствующим договором с ВЭБ.РФ и Законодательством о ПД.
6.4. В случаях когда ВЭБ.РФ поручает обработку персональных данных другому лицу, ВЭБ.РФ заключает с этим лицом договор поручения на обработку персональных данных или включает соответствующие положения в иной заключаемый с ним договор.
При поручении обработки персональных данных третьему лицу ВЭБ.РФ определяет перечень действий (операций) с персональными данными, которые будут совершаться этим лицом, цели обработки, устанавливает обязанность по соблюдению конфиденциальности персональных данных и обеспечению их безопасности при обработке, а также указывает требования к защите обрабатываемых персональных данных в соответствии с Законодательством о ПД. ВЭБ.РФ также уведомляет лицо, получающее персональные данные, об ответственности за незаконное и нецелевое использование переданных персональных данных.
Раздел 7. Порядок взаимодействия с субъектами персональных данных или их представителями
7.1. Субъекты, персональные данные которых обрабатываются ВЭБ.РФ, самостоятельно или через своего представителя имеют право:
7.1.1. получать доступ к своим персональным данным (и такое право может быть ограничено исключительно в соответствии с Законодательством о ПД, если доступ субъекта к его персональным данным нарушает права и законные интересы третьих лиц);
7.1.2. требовать от ВЭБ.РФ уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
7.1.3. получать от ВЭБ.РФ следующую информацию:
— подтверждение факта обработки персональных данных в ВЭБ.РФ;
— правовые основания обработки персональных данных в ВЭБ.РФ;
— цели и применяемые способы обработки персональных данных в ВЭБ.РФ;
— наименование и место нахождения ВЭБ.РФ, сведения о лицах (за исключением Работников), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ВЭБ.РФ или на ином основании;
— обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения (если порядок получения данных не предусмотрен законодательством);
— сроки обработки персональных данных, в том числе сроки их хранения;
— порядок осуществления субъектом персональных данных своих прав, предусмотренных Законодательством о ПД;
— информацию об осуществленной, осуществляемой или о планируемой к осуществлению трансграничной передаче персональных данных;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ВЭБ.РФ, если обработка поручена или будет поручена такому лицу;
7.1.4. возражать относительно принятия на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъектов персональных данных или иным образом затрагивающих их права и законные интересы;
7.1.5. полностью или в какой-либо части персональных данных отозвать свое согласие на обработку персональных данных;
7.1.6. обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие ВЭБ.РФ при обработке и защите персональных данных.
7.2. Субъекты, персональные данные которых обрабатываются ВЭБ.РФ, обязаны предоставлять ВЭБ.РФ достоверные сведения о себе, о своих близких родственниках и своевременно информировать об изменении своих персональных данных и персональных данных своих близких родственников. ВЭБ.РФ имеет право проверять достоверность сведений, предоставленных субъектом персональных данных, сверяя данные, предоставленные субъектом персональных данных, с имеющимися у ВЭБ.РФ данными и документами.
7.3. Согласие на обработку персональных данных дается субъектом персональных данных или его представителем в любой форме, позволяющей подтвердить факт его получения (если иное требование не установлено Законодательством о ПД). В согласии субъекта персональных данных на обработку персональных данных не допускаются надписи, пометки и исправления, не предусмотренные утвержденной в ВЭБ.РФ типовой формой такого согласия.
7.4. В случае отзыва субъектом персональных данных своего согласия на обработку персональных данных ВЭБ.РФ вправе продолжить их обработку при наличии правовых оснований, предусмотренных Законодательством о ПД.
7.5. Устные и письменные запросы субъектов персональных данных или их представителей фиксируются в журнале учета обращений субъектов персональных данных или их представителей.
7.6. В случае поступления запроса от субъекта персональных данных или его представителя в письменной форме о предоставлении сведений, указанных в пункте 7.1.3 Политики, субъекту персональных данных или его представителю направляется ответ в свободной форме. В случае требования предоставления иных, не предусмотренных законодательством Российской Федерации, сведений заявителю направляется мотивированный ответ в письменной форме, содержащий ссылку на Политику, часть 8 статьи 14 Закона о ПД или иной федеральный закон, являющиеся основанием для такого ответа, в срок, не превышающий 30 (тридцати) дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса от субъекта персональных данных или его представителя. Документы, содержащие персональные данные субъекта персональных данных, в ответ на запрос могут быть отправлены через учреждение федеральной почтовой связи или курьерской почтой. При этом ВЭБ.РФ принимает разумные меры для обеспечения конфиденциальности персональных данных, содержащихся в таких документах.
7.7. Предоставление персональных данных субъектов персональных данных их представителям производится в порядке, установленном применимым к деятельности ВЭБ.РФ законодательством, при наличии одного из документов:
— нотариально удостоверенной доверенности Представителя субъекта персональных данных;
— письменного заявления субъекта персональных данных, написанного в присутствии лица, ответственного за организацию обработки персональных данных, или иного уполномоченного Работника.
7.8. Персональные данные субъекта персональных данных могут быть предоставлены его близким родственникам только с письменного согласия самого субъекта персональных данных, за исключением случаев, когда передача персональных данных субъекта без его согласия допускается применимым к деятельности ВЭБ.РФ законодательством.
Раздел 8. Уничтожение и прекращение обработки персональных данных
8.1. ВЭБ.РФ установлены следующие случаи для прекращения обработки персональных данных и их уничтожения:
— достигнуты цель обработки персональных данных и (или) максимальный срок хранения персональных данных, установленный законодательством Российской Федерации;
— утрачена необходимость в достижении ранее определенных целей обработки;
— выявлены факты неправомерной обработки персональных данных (в том числе при обращении субъекта персональных данных или его законного представителя), когда обеспечить ее правомерность не представляется возможным;
— отозвано согласие субъекта на обработку персональных данных и оснований в соответствии с Законодательством о ПД продолжать обработку персональных данных такого субъекта не имеется;
— отсутствуют основания осуществлять архивное хранение материальных носителей, содержащих персональные данные;
— ВЭБ.РФ не может более обеспечивать правомерную обработку персональных данных;
— истек предусмотренный согласием субъекта на обработку персональных данных срок обработки персональных данных либо истек срок исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных.
8.2. Персональные данные подлежат уничтожению в срок, не превышающий 30 (тридцати) дней с наступления какого-либо из обстоятельств, предусмотренных пунктом 8.1 Политики, если иной срок не предусмотрен в согласии или запросе субъекта персональных данных либо в договоре, стороной которого является субъект персональных данных. При невозможности уничтожения персональных данных в указанный срок ВЭБ.РФ осуществляет блокирование персональных данных и уничтожает их в течение 6 (шести) месяцев.
8.3. Для уничтожения материальных носителей персональных данных или их передачи на архивное хранение в ВЭБ.РФ назначается соответствующая комиссия. Комиссия проводит отбор материальных носителей персональных данных, подлежащих уничтожению или передаче на архивное хранение, определяет данные, подлежащие уничтожению/передаче на архивное хранение, и после утверждения перечня документов и данных лицом, назначившим комиссию, производит их уничтожение/передачу на архивное хранение. По результатам уничтожения/передачи на архивное хранение комиссией оформляется акт об уничтожении/о передаче на архивное хранение персональных данных.
8.4. Уничтожение персональных данных должно производиться способом, исключающим возможность восстановления этих персональных данных. Если персональные данные невозможно уничтожить без повреждения их материального носителя, что будет препятствовать его дальнейшему использованию по назначению, то уничтожению подлежат и персональные данные, и их материальный носитель.
8.5. Уничтожение персональных данных в информационных системах персональных данных (далее – ИСПД) осуществляется с применением специализированных программных или аппаратных средств.
8.6. Уничтожение персональных данных на бумажных носителях информации осуществляется в установленном ВЭБ.РФ порядке после передачи в архив и (или) по истечении сроков хранения с помощью средств, гарантирующих невозможность восстановления носителя, или посредством вычеркивания (вымарывания и т.п.) персональных данных.
8.7. Уничтожение персональных данных третьим лицом, обрабатывающим персональные данные по поручению ВЭБ.РФ, осуществляется в порядке, установленном договором между ВЭБ.РФ и таким третьим лицом.
Раздел 9. Правовые, организационные и технические меры обеспечения безопасности персональных данных, в том числе обрабатываемых без средств автоматизации
9.1. ВЭБ.РФ принимает правовые, организационные и технические меры для выполнения обязанностей согласно Законодательству о ПД и защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных. ВЭБ.РФ самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, возложенных на ВЭБ.РФ Законом о ПД.
9.2. Правовые меры, принимаемые ВЭБ.РФ, включают в себя:
— разработку внутренних нормативных, регламентирующих и распорядительных документов (включая Политику), обеспечивающих реализацию требований Законодательства о ПД;
— отказ от любых способов обработки персональных данных, не соответствующих определенным в Политике целям и требованиям Законодательства о ПД.
9.3. Организационные и технические меры, принимаемые ВЭБ.РФ, включают в себя:
— назначение лица, ответственного за организацию обработки персональных данных;
— назначение лица, ответственного за обеспечение безопасности персональных данных в ИСПД;
— ограничение состава Работников, имеющих доступ к персональным данным;
— ознакомление Работников с требованиями Законодательства о ПД, с Политикой и другими внутренними нормативными, регламентирующими и распорядительными документами ВЭБ.РФ по вопросам обработки и защиты персональных данных;
— обучение всех Работников, непосредственно осуществляющих обработку персональных данных, правилам работы с персональными данными и способам обеспечения безопасности обрабатываемых данных;
— определение в должностных инструкциях Работников обязанностей по обеспечению конфиденциальности, безопасности персональных данных и ответственности за нарушение установленного порядка обработки персональных данных;
— регламентацию процессов обработки персональных данных в Политике и других внутренних нормативных, регламентирующих и распорядительных документах ВЭБ.РФ;
— организацию учета и хранения материальных носителей персональных данных с целью предотвращения хищения, подмены, несанкционированного копирования и уничтожения материальных носителей персональных данных;
— ограничение допуска посторонних лиц в помещения ВЭБ.РФ, недопущение их нахождения в помещениях, в которых ведется работа с персональными данными и размещаются технические средства их обработки, без контроля со стороны Работников;
— оценку возможного вреда субъектам персональных данных в связи с возможным нарушением прав и законных интересов субъектов персональных данных, а также оценку соотношения возможного вреда субъектам персональных данных и реализуемых мер;
— определение типа угроз безопасности персональных данных, актуальных для ИСПД с учетом проведенной оценки возможного вреда субъектам персональных данных;
— разработку моделей угроз, в том числе моделей нарушителей;
— определение необходимого уровня защищенности персональных данных;
— разработку системы защиты персональных данных на основе модели угроз;
— оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;
— регистрацию и учет действий c персональными данными пользователей ИСПД;
— выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной сети ВЭБ.РФ, обеспечивающих соответствующую техническую возможность.
9.4. При обработке персональных данных с помощью материальных носителей информации принимаются организационные (в том числе охрана соответствующих помещений) и технические меры (в том числе установка средств защиты информации, прошедших процедуру оценки соответствия), исключающие возможность несанкционированного доступа к персональным данным лиц, не допущенных к их обработке. Обработка персональных данных без использования средств автоматизации осуществляется ВЭБ.РФ на бумажных носителях информации, при этом:
— не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы;
— персональные данные должны обособляться от иной информации, в частности, путем их фиксации на отдельных бумажных носителях информации, в специальных разделах или на полях форм (бланков);
— документы, содержащие персональные данные, помещаются в дела, сформированные в соответствии с целями обработки персональных данных;
— для дел с документами, содержащими персональные данные, составляется внутренняя опись документов с указанием цели обработки и категории персональных данных.
9.5. Материальные носители информации, содержащие персональные данные, обработка которых осуществляется в различных целях, хранятся раздельно (в отдельных шкафах, сейфах или на отдельных полках).
Раздел 10. Организация внутреннего контроля порядка обработки персональных данных в ВЭБ.РФ
В целях осуществления внутреннего контроля, а также в рамках соблюдения требований Законодательства о ПД в ВЭБ.РФ проводятся следующие проверки:
— соответствия обработки персональных данных, мер по соблюдению прав субъектов персональных данных требованиям Законодательства о ПД;
— актуальности и соответствия Законодательству о ПД имеющихся внутренних нормативных, регламентирующих и распорядительных документов ВЭБ.РФ;
— актуальности перечня обрабатываемых персональных данных;
— актуальности перечня ИСПД;
— актуальности перечня лиц, участвующих в обработке персональных данных;
— актуальности прав разграничения доступа пользователей ИСПД, необходимых для выполнения должностных обязанностей;
— знания Работниками Законодательства о ПД, порядка обработки персональных данных и поддержания режима защиты персональных данных;
— актуальности и соответствия Законодательству о ПД технических мер по защите персональных данных.
Раздел 11. Улучшение порядка обработки и защиты персональных данных в ВЭБ.РФ
11.1. ВЭБ.РФ стремится на регулярной основе улучшать порядок обработки и защиты персональных данных с учетом регулярных изменений требований Законодательства о ПД и характеристик процессов обработки и обеспечения безопасности персональных данных, а также с учетом формирования новых подходов и практик к обработке и защите персональных данных.
11.2. Улучшение достигается посредством уточнения (пересмотра) Политики, использования результатов внутреннего контроля и проверок уполномоченных органов, корректирующих и предупреждающих действий.
11.3. ВЭБ.РФ определяет меры, необходимые для устранения причин потенциальных несоответствий внутренних нормативных, регламентирующих и распорядительных документов ВЭБ.РФ требованиям действующего Законодательства о ПД с целью предотвращения их повторного появления.
Раздел 12. Ответственность за нарушение порядка обработки персональных данных в ВЭБ.РФ
12.1. Политика обязательна для исполнения всеми Работниками. Работники, виновные в нарушении порядка обработки и защиты персональных данных, определенного Политикой, а также предусмотренных Законодательством о ПД правил обработки персональных данных, могут быть привлечены к дисциплинарной и иной ответственности, предусмотренной законодательством Российской Федерации.
12.2. Контрагенты, нарушившие договорные обязательства по обеспечению конфиденциальности персональных данных, а также общие требования к обработке персональных данных, предусмотренные договорами, заключенными с ВЭБ.РФ, несут гражданско-правовую и административную ответственность в соответствии с законодательством Российской Федерации.
[1] Круг лиц, входящих в данную категорию, определяется в соответствии с положениями законодательства о противодействии коррупции и законодательства о государственной тайне.
[2] В соответствии с положениями законодательства о противодействии коррупции, в частности статьи 10 Федерального закона от 25 декабря 2008 г. № 273-ФЗ «О противодействии коррупции».
[3] Критерии отнесения российских юридических лиц к институтам развития и (или) их перечень определяются решением Правительства Российской Федерации.
[4] Перечень организаций ВЭБ.РФ утверждается наблюдательным советом ВЭБ.РФ.