ПОЛИТИКА

1. Общие положения

1.1. Настоящая Политика обработки персональных данных АО «Инвестиционная компания «ФИНАМ» (далее — Политика) разработана в соответствии с /1/, /2/, /3/, /4/, /5/, /6/, иными федеральными законами и нормативными правовыми актами Российской Федерации, определяющими случаи и особенности обработки персональных данных, и обеспечения безопасности и конфиденциальности такой информации (далее — Законодательство о персональных данных).

1.2. Политика разработана в целях реализации требований законодательства в области обработки и обеспечения безопасности персональных данных, а также направлена на защиту прав и свобод человека и гражданина при обработке его персональных данных АО «Инвестиционная компания «ФИНАМ» (далее — Компания).

1.3. Политика устанавливает:

• цели обработки персональных данных;
• классификацию персональных данных и субъектов персональных данных;
• перечень действий с персональными данными;
• общие принципы обработки персональных данных;
• основные подходы к организации системы управления процессом обработки персональных данных.

1.4. Положения Политики служат основой для организации обработки персональных данных в Компании, в том числе для разработки внутренних нормативных документов (положений, методик, инструкций и др.).

1.5. Положения Политики обязательны для исполнения всеми Работниками Компании, имеющими доступ к персональным данным.

1.6. Ознакомление Работников с Политикой осуществляется через Корпоративный портал.

2. Цели обработки персональных данных

2.1. Исполнение договора — договоры, стороной, выгодоприобретателем или поручителем по которым является субъект персональных данных, а также договоры, инициированные субъектом персональных данных или договоры, по которым субъект персональных данных будет выгодоприобретателем или поручителем.

2.2. Управление персоналом и ведение кадрового учета — обеспечение соблюдения трудового законодательства Российской Федерации, выполнение Компанией обязательств в трудовых отношениях, содействие Работникам в трудоустройстве, обучении и продвижении по службе, обеспечение личной безопасности Работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества Компании, обоснование льгот Работникам в соответствии с законодательством Российской Федерации.

2.3. Достижение целей, предусмотренных международными договорами или законами — достижение целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Компанию функций, полномочий и обязанностей.

2.4. Продвижение товаров, работ, услуг — продвижение на рынке товаров, работ, услуг Компании и третьих лиц путем прямого контакта с потенциальным потребителем с использованием средств связи.

3. Классификация персональных данных и субъектов персональных данных

3.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных), обрабатываемая Компанией для достижения заранее определенных целей.

3.2. Компания не обрабатывает специальные категории персональных данных (расовое и национальное происхождение, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь), за исключением случаев, когда это прямо предусмотрено законодательством Российской Федерации.

3.3. Компания вправе обрабатывать биометрические персональные данные для идентификации Клиентов и Работников, а также для установления личности Работников и посетителей для предоставления доступа на территорию Компании.

3.4. Компания обрабатывает персональные данные следующих категорий субъектов персональных данных:

• кандидаты на работу;
• Работники Компании и их близкие родственники;
• физические лица, выполняющие работы по гражданско-правовым договорам с Компанией;
• Клиенты Компании;
• физические лица, намеревающиеся приобрести услуги Компании или услуги третьих лиц через посредничество Компании;
• физические лица, не являющиеся Клиентами, вступившие или намеревающиеся вступить в договорные отношения с Компанией для осуществления административно-хозяйственной деятельности.

3.5. Компания обрабатывает следующие персональные данные Работников и кандидатов на работу в части, в которой это необходимо:

• фамилия, имя, отчество;
• дата и место рождения;
• гражданство;
• пол;
• реквизиты документа, удостоверяющего личность (вид, серия, номер, кем выдан, код подразделения, срок действия);
• адрес (место жительства (регистрации), почтовый, место пребывания, фактическое место жительства);
• контактная информация (номера телефонов);
• личный адрес электронной почты (e-mail);
• реквизиты банковского счета (номер счета и карты для перечисления заработной платы);
• данные миграционной карты и/или иного документа, подтверждающего право иностранного гражданина или лица без гражданства на пребывание (проживание) в Российской Федерации;
• состав семьи и близкие родственники;
• образование, профессия, специальность;
• предыдущие места работы и трудовой стаж;
• семейное положение (женат/замужем/холост/не замужем/разведен);
• занимаемая в Компании должность;
• военно-учетные данные;
• награды, поощрения, почетные звания;
• социальные льготы;
• назначение ИНН;
• сведения об обязательном пенсионном страховании справке;
• информация об отсутствии судимости (применимо только к определенной группе лиц и в законно определенных случаях);
• информация об отсутствии дисквалификации (применимо только к определенной группе лиц и в законно определенных случаях);
• информация о сумме и источниках дохода от трудовой деятельности и деятельности по гражданско-правовым договорам;
• информация о заработной плате и эквивалентном доходе;
• информация об участии в органах управления юридических лиц, в том числе в качестве единоличного исполнительного органа, коллегиального исполнительного органа или совета директоров (наблюдательного совета);
• информация о суммах начисленного, удержанного и уплаченного налога на доходы физических лиц (НДФЛ);
• информация о наличии налоговых льгот;
• изображение Работника (включая фотографии);
• иные персональные данные.

3.6. Компания обрабатывает следующие персональные данные Клиентов, а также потенциальных Клиентов в объеме, необходимом для достижения целей обработки:

1) Анкетные и биографические данные, включая:

• фамилия, имя, отчество;
• дата и место рождения;
• гражданство;
• информация о документе, удостоверяющем личность (вид, серия, номер, кем выдан, код подразделения, срок действия);
• фото и видеоизображения, полученные в месте обслуживания получателей финансовых услуг в связи с совершением действий, предусмотренных договорами, заключенными с Клиентами;
• информация о статусе иностранного публичного должностного лица;
• адрес (место жительства (регистрации), почтовый адрес, место пребывания, фактическое место жительства);
• контактные данные (номера телефонов, факсов, адреса электронной почты);
• реквизиты счетов, включая: банковские счета, клиентские счета по договорам брокерского обслуживания, депозитарные счета по договорам депозитарного обслуживания, счета, открытые по договорам доверительного управления, лицевые счета, открытые для учета прав на инвестиционные паи;
• данные миграционной карты и/или иного документа, подтверждающего право Субъекта (иностранного гражданина или лица без гражданства) на пребывание (проживание) в Российской Федерации;
• информация о назначении ИНН.

2) Информация об имущественном положении, имуществе и имущественных правах, находящихся в собственности, залоге, доверительном управлении или на иных правах, включая:

• информация о денежных средствах на клиентских счетах по договорам брокерского обслуживания;
• информация о ценных бумагах, включая инвестиционные паи;
• информация о ценных бумагах на депозитарных счетах по договорам депозитарного обслуживания;
• информация о сумме и источниках доходов по договорам доверительного управления;
• информация об участии в органах управления юридических лиц, в том числе в качестве единоличного исполнительного органа, коллегиального исполнительного органа или совета директоров (наблюдательного совета);
• информация о суммах начисленного, удержанного и уплаченного налога на доходы физических лиц (НДФЛ);
• иные персональные данные.

4. Перечень действий с персональными данными

4.1. Компания осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

4.2. Запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации, в том числе посредством информационно-телекоммуникационной сети Интернет, осуществляется с использованием баз данных, находящихся на территории Российской Федерации.

4.3. Обработка персональных данных осуществляется как с использованием, так и без использования средств автоматизации.

4.4. Сроки обработки персональных данных в Компании определяются в соответствии с нормативно-правовыми актами Российской Федерации, внутренними документами Компании, условиями договоров и иных соглашений, заключенных с субъектами персональных данных.

4.5. Обрабатываемые в Компании персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5. Общие принципы обработки персональных данных

5.1. Компания обрабатывает персональные данные на основе общих принципов:

• законности заранее определенных конкретных целей и способов обработки персональных данных;
• обеспечения надлежащей защиты персональных данных;
• соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
• соответствия объема, характера и способов обработки персональных данных целям обработки персональных данных;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
• уничтожения или обезличивания персональных данных по достижении целей их обработки, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.

5.2. В рамках обработки персональных данных для Субъекта персональных данных и Компании определены следующие права.

5.2.1. Субъект персональных данных имеет право:

• получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные законодательством о персональных данных;
• требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отозвать свое согласие на обработку персональных данных;
• принимать предусмотренные законом меры по защите своих прав;
• требовать прекращения обработки персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также в случае, если персональные данные используются для целей, не заявленных ранее при получении согласия Субъекта персональных данных на обработку персональных данных.

5.2.2. Компания имеет право:

• обрабатывать персональные данные субъекта персональных данных в соответствии с заявленной целью;
• требовать от субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, предоставления услуги, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных законодательством о персональных данных;
• ограничивать доступ субъекта персональных данных к его персональным данным, если обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Российской Федерации;
• обрабатывать общедоступные персональные данные физических лиц;
• обрабатывать персональные данные, подлежащие опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации;
• поручить обработку персональных данных другому лицу с согласия субъекта персональных данных.

6. Организация системы управления процессом обработки персональных данных

6.1. Обработка персональных данных субъекта персональных данных осуществляется с его согласия, а также без него, если обработка необходима для исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем, а также в иных случаях, предусмотренных законодательством о персональных данных.

6.2. Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Такая обработка персональных данных осуществляется только на основании договора, заключенного между Компанией и третьим лицом, в котором должны быть определены:

• перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных;
• цели обработки персональных данных;
• обязанности третьего лица по соблюдению конфиденциальности персональных данных и обеспечению безопасности персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных.

6.3. Компания передает персональные данные в государственные органы в пределах их полномочий в соответствии с законодательством Российской Федерации.

6.4. Компания несет ответственность перед субъектом персональных данных за действия лиц, которым Компания поручила обработку персональных данных субъекта персональных данных.

6.5. Доступ к обрабатываемым персональным данным предоставляется только тем Работникам Компании, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.

6.6. Обработка персональных данных прекращается:

• по достижении целей обработки;
• по истечении срока, установленного законом или договором;
• при отзыве субъектом персональных данных согласия на обработку персональных данных, если иное не предусмотрено договором, иными соглашениями между Компанией и субъектом персональных данных или федеральными законами, например, /3/ или /4/.

6.7. Обработка персональных данных осуществляется с соблюдением конфиденциальности. Конфиденциальность персональных данных — обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

6.8. Компания обеспечивает конфиденциальность персональных данных субъекта персональных данных, как сама, так и ее Работники, имеющие доступ к персональным данным физических лиц, а также обеспечивает использование таких данных указанными лицами исключительно в целях, соответствующих закону, договору или иным соглашениям, заключенным с субъектом персональных данных.

6.9. Обеспечение безопасности обрабатываемых персональных данных достигается Компанией путем применения комплексной системы организационных, технических и правовых мер защиты информации, составляющей коммерческую тайну. Данная система учитывает требования законодательства о персональных данных и связанных с ним нормативных правовых актов. Система информационной безопасности Компании постоянно развивается и совершенствуется на основе международных и национальных стандартов информационной безопасности, а также лучших мировых практик.

6.10. При обработке персональных данных Компания принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6.11. Компания самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено федеральными законами.

7. Заключительные положения

7.1. Компания, а также ее должностные лица и Работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки персональных данных физических лиц, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Российской Федерации.

7.2. Политика является общедоступной и подлежит размещению на официальном сайте Компании по адресу: http://zaoik.finam.ru.

Приложение 1

Список терминов и определений

Административно-хозяйственная деятельность — процессы, направленные на текущее обеспечение деятельности Компании товарно-материальными ценностями (осуществление закупок канцтоваров, офисного оборудования, расходных материалов, хозяйственных товаров, услуг связи и т.п.); на организацию документооборота (ведение архива, библиотек, баз данных); на организацию эксплуатации зданий, помещений, территорий (содержание, уборка, оформление и ремонт помещений); на организацию рабочего процесса.

Компания (оператор обработки персональных данных) – АО «ФИНАМ», осуществляющая обработку персональных данных, а также определяющая цели обработки персональных данных, состав персональных данных, подлежащих обработке, и действия, совершаемые с персональными данными.

Близкие родственники — являются родственники по прямой восходящей и нисходящей линии (родители и дети, дедушки, бабушки и внуки), полнородные и неполнородные (имеющие общих отца или мать) братья и сестры.

Клиент — физическое лицо, которое заключило с Компанией договор на оказание услуг, включая получение услуг путем присоединения к условиям публичного договора, и персональные данные которого переданы Компании.

Обработка персональных данных — любое действие (операция) Компании или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (Предоставление, доступ), Обезличивание, Блокирование, удаление и Уничтожение персональных данных. В рамках Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» установлены следующие определения:

• Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
• Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
• Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
• Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Работник Компании — физическое лицо, заключившее с Компанией трудовой договор.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Субъект персональных данных — физическое лицо, которое прямо или косвенно определено с помощью персональных данных.

Приложение 2

Перечень ссылочных документов

1. Конституция Российской Федерации.
2. Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ с учетом изменений и дополнений.
3. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» с учетом изменений и дополнений.
4. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
5. Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
6. Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

8. Контакты

8.1. Контактные данные Компании: