Политика обработки персональных данных

1. Общие положения 

1.1. Настоящее Положение разработано Акционерным обществом "Индустрия-РЕЕСТР" (далее - Регистратор) с учетом требований:

- Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»;

- Федерального закона от 22.04.1996 №39-ФЗ «О рынке ценных бумаг»;

- нормативных актов Банка России;

- иных нормативных актов в области защиты персональных данных.

1.2. Настоящее Положение определяет политику Регистратора как оператора персональных данных в отношении обработки персональных данных, а также реализуемых требованиях к защите персональных данных.

1.3. Настоящее Положение распространяется на отношения, возникающие при обработке персональных данных клиентов в процессе осуществления Регистратором профессиональной деятельности на рынке ценных бумаг.

1.4. Целью настоящего Положения является определение порядка обработки Регистратором персональных данных, обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а так же установление ответственности за невыполнение требований и норм, регулирующих обработку и защиту персональных данных.

 


2. Основные понятия, используемые в Положении

2.1. Для целей настоящего Положения используются следующие основные понятия:

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Клиенты (субъекты персональных данных) – физические лица – зарегистрированные лица в реестре владельцев именных ценных бумаг, представители зарегистрированных лиц, иные физические лица, обращающиеся к Регистратору для проведения операций в реестре, предоставления информации из реестра, либо физические лица представляющие интересы эмитента.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).


3. Принципы и условия обработки персональных данных клиентов

3.1. Обработка персональных данных осуществляется Регистратором на основе следующих принципов:

1) законность целей и способов обработки персональных данных и добросовестности;

2) соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Регистратора;

3) соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных.

3.2. Обработка персональных данных клиентов осуществляется Регистратором в целях реализации функций профессионального участника рынка ценных бумаг по ведению реестра владельцев ценных бумаг.

3.3. Указанная деятельность, являясь профессиональной и лицензируемой, осуществляется в порядке, предусмотренном Федеральным законом «О рынке ценных бумаг», а также иными правовыми актами, регламентирующими профессиональную деятельность Регистратора на рынке ценных бумаг.

3.4. Обработка персональных данных, связанная с выполнением функций Регистратора как профессионального участника рынка ценных бумаг, не требует согласия субъектов персональных данных и осуществляется на основе соответствующих договоров с эмитентами.

3.5. Обработка персональных данных осуществляется Регистратором смешанным путем:

-       неавтоматизированным способом обработки персональных данных;

-       автоматизированным способом обработки персональных данных (с помощью ПЭВМ и специальных программных продуктов).

3.6. Возможна передача персональных данных по внутренней сети Регистратора с использованием технических и программных средств защиты информации и ограниченным доступом только для сотрудников Регистратора, осуществляющих обработку персональных данных.

3.7. Передача персональных данных третьим лицам не допускается без письменного согласия клиентов Регистратора, за исключением случаев, установленных действующим законодательством, в том числе законодательством о рынке ценных бумаг.

3.8. Условием прекращения Регистратором обработки персональных данных является аннулирование лицензии на осуществление деятельности по ведению реестра владельцев ценных бумаг, прекращение деятельности Регистратора.

 

4. Состав персональных данных клиентов

4.1. Регистратор осуществляет обработку следующей информации, относящейся к  персональным данным клиентов:

- фамилия, имя, отчество (если иное не вытекает из закона или национального обычая);

- дата и место рождения;

- адреса места жительства (регистрации) и места пребывания;

- гражданство;

- сведения о документе, удостоверяющем личность (вид, серия и номер документа, дата выдачи и орган, его выдавший);

-  данные миграционной карты (при наличии) (серия и номер карты, дата начала срока пребывания и дата окончания срока пребывания);

- данные документа, подтверждающего право иностранного гражданина или лица без гражданства на пребывание (проживание) в Российской Федерации (серия (при наличии) и номер документа, дата начала срока действия права пребывания (проживания), дата окончания срока действия права пребывания (проживания));

- индивидуальный номер налогоплательщика (ИНН);

- номер телефона;

- адрес электронной почты;

- сведения о принадлежащих клиентам правах на ценные бумаги и иное имущество;

- банковские реквизиты;

- почтовый адрес.

4.2. При обработке персональных данных Регистратору запрещается получать, обрабатывать персональные данные о политических, религиозных и иных убеждениях, частной жизни субъекта персональных данных, его членстве в общественных объединениях, в том числе в профессиональных союзах.

 

5. Меры по обеспечению безопасности персональных данных клиентов 

5.1. Безопасность персональных данных при их обработке в информационной системе обеспечивается Регистратором с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы.

5.2. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

5.3. Руководителем Регистратора утверждается Перечень сотрудников, осуществляющих обработку или имеющих доступ к персональным данным (далее - Перечень).

5.4. Доступ в помещения, в которых осуществляется обработка и хранение персональных данных, разрешен только сотрудникам Регистратора, включенным в Перечень.

5.5. Порядок действий сотрудников Регистратора при осуществлении обработки персональных данных и доступа к персональным данным, а также ответственность за нарушение нормативных актов и внутренних положений Регистратора в области защиты персональных данных определяется соответствующими должностными инструкциями.

5.6. Для обработки и хранения персональных данных Регистратором используются следующие помещения:

- операционный зал;

- архив;

- серверная комната.

5.7. Регистратором применяются необходимые меры по защите указанных помещений от внешних воздействий и других причин, которые могут повлечь утрату или искажение персональных данных.

5.8. Серверное помещение и архив оснащаются системой автоматического пожаротушения и пожарной сигнализацией. Пожарная безопасность помещений Регистратора обеспечивается в соответствии с нормами и требованиями СНиП, устанавливаемыми законодательством Российской Федерации.

5.9. Размещение серверов, активного сетевого и телекоммуникационного оборудования осуществляется Регистратором в выделенных серверных помещениях. Остальные технические средства размещаются в операционном зале.

5.10.  Серверы и телекоммуникационное оборудование подключаются к источникам бесперебойного питания, обеспечивающих их работу в течение времени, достаточного для корректного завершения работы после прекращения основного электроснабжения. Технические средства, эксплуатируемые на рабочих местах сотрудников Регистратора, также оборудуются источниками бесперебойного питания.

5.11. Обработка персональных данных осуществляется с использованием сертифицированного программного продукта, обеспечивающего корректность и целостность обрабатываемой информации.

5.12. Передача персональных данных между структурными подразделениями Регистратора осуществляется посредством электронного документооборота с использованием СКЗИ «КриптоПро SCP».


6. Хранение персональных данных

6.1. Хранение документов, содержащих персональные данные, осуществляется Регистратором в соответствии с требованиями, установленными действующими нормативными актами в сфере финансовых рынков, регулирующими профессиональную деятельность Регистратора на рынке ценных бумаг.

6.2. Хранение документов, содержащих персональные данные, после окончания их обработки осуществляется в специальном помещении Регистратора, отвечающем требованиям по защите персональных данных.

6.3. Персональные данные клиентов хранятся на бумажных носителях и в электронном виде.

6.4. Регистратор осуществляет хранение документов, содержащих персональные данные, относящиеся к документам и информации системы ведения реестра владельцев ценных бумаг эмитента в течение пяти лет после прекращения действия соответствующего договора на ведение реестра. По истечении пяти лет после прекращения действия договора на ведение реестра Регистратор передает такие документы эмитенту.

6.5. В случае отказа, уклонения или невозможности эмитента принять на хранение документы, содержащие персональные данные, Регистратор вправе уничтожить такие документы на бумажных носителях по акту уничтожения с описью уничтожаемых документов. Документы, содержащие персональные данные, созданные в электронном вид или переведенные в электронный вид в процессе ведения реестра, Регистратор на основании акта приема-передачи передает в саморегулируемую организацию.

 

7. Порядок рассмотрения запросов субъектов персональных данных или их представителей 

7.1. Регистратор обязан предоставить субъекту персональных данных сведения, касающихся обработки его персональных данных, при обращении либо при получении запроса субъекта персональных данных или его представителя (Приложение 1 к настоящему Положению). Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

7.2. Субъект персональных данных вправе получить информацию, касающуюся обработки его персональных данных, в том числе содержащую:

1) подтверждение факта обработки персональных данных Регистратором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые Регистратором способы обработки персональных данных;

4) наименование и место нахождения Регистратора, сведения о лицах (за исключением работников Регистратора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом "О персональных данных";

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Регистратора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные Федеральным законом "О персональных данных" или другими федеральными законами.

7.3. Субъект персональных данных не вправе получить сведения о персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия Регистратором таких персональных данных.

7.4. Право субъекта персональных данных на доступ к соответствующим персональным данным может быть ограничено, в случае если:

- персональные данные получены в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

 - доступ к персональным данным субъекта нарушает права и законные интересы третьих лиц.

7.5. В случае если сведения об обрабатываемых персональных данных были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе повторно обратиться к Регистратору в целях получения сведений об обработке его персональных данных и ознакомления с такими персональными данными не ранее чем через тридцать дней после направления первоначального запроса.

7.6. Субъект персональных данных вправе повторно обратиться к Регистратору в целях получения сведений, указанных в п. 7.2. настоящего Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 7.5. настоящего Положения, в случае если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. При этом запрос также должен содержать обоснование его повторного направления.

7.7. Регистратор вправе отказать субъекту персональных данных в выполнении повторного запроса, если такой запрос не соответствует условиям, предусмотренным п. 7.5. и 7.6. настоящего Положения. Такой отказ должен содержать его мотивированное обоснование. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Регистраторе.

7.8. Сведения, указанные в п. 7.2. настоящего Положения (отказ от предоставления сведений), предоставляются Регистратором способом, указанным в запросе субъекта персональных данных. При отсутствии информации о способе направления ответа Регистратор предоставляет запрашиваемые сведения (отказ от предоставления сведений):

- при личном обращении к Регистратору, если запрос предоставлен лично субъектом персональных данных либо его представителем;

- заказным почтовым отправлением, если запрос поступил Регистратору средствами почтовой связи;

- в форме электронного документа, подписанного электронной подписью, если запрос был предоставлен в форме электронного документа, подписанного электронной подписью.

 

8. Устранение нарушений законодательства в области персональных данных

8.1. В случае выявления факта неточности персональных данных при обращении субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Регистратор обязан принять меры по уточнению таких персональных данных в порядке, предусмотренным действующими нормативными актами, регулирующими профессиональную деятельность Регистратора.

8.2. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных, а также иных неправомерных действий с персональными данными Регистратор в срок, не превышающий трех рабочих дней с момента выявления, обязан устранить допущенные нарушения. Об устранении таких нарушений Регистратор обязан уведомить субъекта персональных данных, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

 

9. Организация внутреннего контроля обработки персональных данных клиентов

9.1. Регистратором из числа сотрудников назначается лицо, ответственное за организацию обработки персональных данных.

9.2. Указанное лицо получает указания непосредственно от руководителя Регистратора и подотчетно ему.

9.3. Ответственное лицо вправе получать информацию об условиях осуществления Регистратором обработки персональных данных, применяемых мерах по обеспечению безопасности персональных данных, а также иную информацию, необходимую для выполнения возложенных функций.

9.4. Ответственное лицо обязано:

- осуществлять внутренний контроль за соблюдением Регистратором законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

- доводить до сведения сотрудников Регистратора положения законодательства Российской Федерации о персональных данных, внутренних документов Регистратора по вопросам обработки персональных данных, требований к защите персональных данных;

- осуществлять контроль за приемом и обработкой обращений и запросов субъектов персональных данных или их представителей.

9.5. Ответственное лицо составляет в срок не позднее 20 рабочих дней с даты окончания отчетного квартала и представляет руководителю Регистратора письменный отчет о результатах осуществления внутреннего контроля обработки персональных данных, содержащий:

- сведения о соблюдении требований законодательства Российской Федерации в области защиты персональных данных, внутренних документов Регистратора, определяющих порядок обработки персональных данных;

- сведения обо всех выявленных нарушениях законодательства Российской Федерации в области защиты персональных данных, внутренних документов Регистратора, определяющих порядок обработки персональных данных, о причинах совершения нарушений и виновных в них лицах;

- рекомендации принятия мер по предупреждению аналогичных нарушений и повышению эффективности внутреннего контроля обработки персональных данных.

В случае возложения обязанностей лица, ответственного за организацию обработки персональных данных, на контролера Регистратора такой отчет может включаться в виде самостоятельного раздела в квартальный отчет контролера.

 

10. Ответственность за нарушение требований законодательства в области защиты персональных данных

10.1. В случае нарушения требований законодательства в области защиты персональных данных Регистратор несет ответственность, предусмотренную законодательством Российской Федерации.

10.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных законодательством в области защиты персональных данных, а также установленных требований к защите персональных данных подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

 

11. Заключительные положения

11.1. Настоящее Положение подлежит опубликованию на официальном сайте Регистратора в сети Интернет.

11.2. Сотрудники Регистратора, осуществляющие обработку персональных данных и имеющие доступ к персональным данным, подлежат ознакомлению с настоящим Положением.