31.08.18 11:28

Политика о порядке обработки персональных данных

ПАО СК «Росгосстрах»

1. Общие положения

1.1 Назначение документа

Настоящая Политика в отношении обработки персональных данных составлена в соответствии с п. 2 ст. 18.1 Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 года и определяет позицию ПАО СК «Росгосстрах» (далее по тексту — Компания) в области обработки и защиты персональных данных, соблюдения прав и свобод субъекта ПДн. Компания зарегистрирована в Реестре операторов, осуществляющих обработку персональных данных под регистрационным номером 08-0003937 в соответствии с Приказом № 343 от 16.05.2008.

1.2 Термины, определения и сокращения

Термин

Определение

Информационная система персональных данных

Совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств

Обезличивание персональных данных

Действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных

Обработка персональных данных

Любое действие (операция) или совокупность действий (операций», совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

Персональные данные

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Уничтожение персональных данных

Действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и(или) в результате которых уничтожаются материальные носители персональных данных

ГПХ

Договор гражданско-правового характера

ИНН

Индивидуальный номер налогоплательщика

ИСПДн

Информационная система персональных данных

НСД

Несанкционированный доступ

ОСАГО

Обязательное страхование гражданской ответственности владельцев транспортных средств

ПДн

Персональные данные

РФ

Российская Федерация

ФЗ

Федеральный закон

2. Правовое основание обработки персональных данных

Компания осуществляет обработку ПДн, руководствуясь:

  • Законом РФ от 27.11.1992 N 4015-1 "Об организации страхового дела в Российской Федерации";
  • Федеральным законом от 25.04.2002 № 40-Ф3 «Об обязательном страховании гражданской ответственности владельцев транспортных средств»;
  • Федеральным законом от 07.08.2001 №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма»;
  • Гражданским кодексом РФ (глава 48);
  • Трудовым кодексом РФ;
  • Уставом ПАО СК «Росгосстрах»;
  • Лицензиями ПАО СК «Росгосстрах» на осуществление страхования СЛ № 0001 от 06.06.2018, СИ № 0001 от 06.06.2018, ОС № 0001-02 от 06.06.2018, ОС № 0001-03 от 06.06.2018, ОС № 0001-04 от 06.06.2018, ОС № 0001-05 от 06.06.2018, на осуществление перестрахования ПС № 0001 от 06.06.2018;
  • Согласием на обработку персональных данных.

3. Цели и способы обработки персональных данных

Цели обработки ПДн субъектов ПДн:

  • осуществления возложенных на Компанию законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с федеральными законами, в частности: Федеральный закон "Об организации страхового дела в Российской Федерации", Налоговый кодекс, Гражданский кодекс, Трудовой кодекс, «Об обязательном страховании гражданской ответственности владельцев транспортных средств», «О противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма», «О порядке рассмотрения обращений граждан Российской Федерации», а также Уставом и лицензиями Компании;
  • регулирования трудовых отношений между Компанией и работниками, содействия работникам в выполнении ими своих функциональных обязанностей, обучении, карьерного продвижения по работе, контроля количества и качества выполняемой работы и обеспечения сохранности имущества Компании, очередности предоставления отпусков, установления и расчета размера заработной платы, страхования работников, оформления страховых свидетельств государственного пенсионного страхования, обеспечения пропускного режима Компании и безопасности работников, учета времени, проведенного работником в помещении Компании, а также в иных целях, необходимых Компании в связи с трудовыми отношениями с работниками Компании, в т.ч. соблюдением корпоративной культуры Компании (в части ведения телефонного справочника). Обработка персональных данных субъектов ПДн, работающих по договорам ГПХ, осуществляется в целях контроля количества и качества выполняемой работы, выполнения договорных обязательств Компании перед субъектом ПДн (в т.ч. в части оплаты услуг);
  • осуществления деятельности по страхованию физических и юридических лиц: страхование и перестрахование в соответствии с законодательством РФ и специальным разрешением (лицензией), включая осуществление оценки страхового риска, получение активов, определение размера убытков или ущерба, произведение страховых выплат, а также осуществление иных связанных с исполнением обязательств по договорам страхования действий, для осуществления контроля при реализации основного вида деятельности в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, путем установления и идентификации клиентов (выгодоприобретателей);
  • отбор кандидатов на работу;
  • организация пропускного режима;
  • изучения конъюнктуры рынка страховых услуг, проведения научно-исследовательских, социологических, работ;
  • осуществления инвестиционной деятельности, включая операции с ценными бумагами;
  • организации рекламно-издательской деятельности, проведения выставок-продаж, аукционов;
  • предоставление доступа посетителю на сайт Компании с целью получения информации об услугах;
  • предоставления возможности работникам контрагентов Компании выполнения обязанностей, предусмотренных договорами между Компанией и ее контрагентами.

Обработка (сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, уничтожение, удаление персональных данных подразделяется на:

  • обработку персональных данных в информационных системах персональных данных с использованием средств автоматизации;
  • обработку персональных данных, осуществляемую без использования средств автоматизации.

4. Категории обрабатываемых данных

Порядок сбора и обработки персональных данных в Компании ведется в соответствии с законодательством РФ.

В состав обрабатываемых персональных данных входят: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; семейное положение; социальное положение; фотографическое изображение, сведения о трудовой деятельности, сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу; имущественное положение; образование; доходы; состояние здоровья; пол; реквизиты документа, удостоверяющего личность (серия и номер документа, дата выдачи, наименование органа, выдавшего документ и код подразделения); водительский стаж; гражданство; номер страхового свидетельства государственного пенсионного страхования; сведения о страховом полисе, сведения о страховых выплатах; сведения о страховых случаях; информация по застрахованному транспортному средству (тип, марка, модель, год выпуска, номерной знак, документ на ТС); идентификационный номер налогоплательщика, контактные данные; файлы cookies; данные о поведении и предпочтениях пользователей.

5. Перечень действий с персональными данными

Сбор; запись, систематизация; накопление; хранение; уточнение (обновление, изменение); использование; передача (распространение, предоставление, доступ); обезличивание; блокирование; удаление, уничтожение.

6. Категории субъектов, персональные данные которых обрабатываются

Компания осуществляет обработку ПДн следующих категорий субъектов ПДн:

  • кандидаты на вакантные должности (соискатели);
  • работники Компании, в том числе субъекты персональных данных, работающие по договорам ГПХ;
  • физические лица — клиентов Компании, являющихся застрахованными, страхователями или выгодоприобретателями; потерпевших страхователей сторонних компаний по ОСАГО;
  • физические лица — состоящих в договорных и иных гражданско-правовых отношениях с Компанией:
    • посетители;
    • членов совета директоров, акционеры, учредители, аффилированные лица;
    • посетители сайта Компании;
    • работники сторонних организаций;
    • уволенные работники Компании;
    • родственники работников Компании.

7. Условия прекращения обработки персональных данных

Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено федеральными законами, а также в случае выявления неправомерных действий с персональными данными и невозможностью устранения допущенных нарушений в срок, установленным законодательством.

8. Требования к защите ПДн

Персональные данные наших клиентов и партнеров содержатся в заключаемых с ними договорах, документах, относящихся к исполнению данных договоров, и информационных системах персональных данных.

Наша Компания принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ФЗ №152 «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Компания самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения возложенных на него обязанностей, если иное не предусмотрено ФЗ №152 «О персональных данных» или другими федеральными законами. К таким мерам в соответствии с ФЗ №152 «О персональных данных», в частности, относятся следующие:

  • назначение ответственного за организацию обработки ПДн;
  • разработка и утверждение локальных актов по вопросам обработки и защиты ПДн;
  • применение правовых, организационных и технических мер по обеспечению безопасности ПДн:
    • определение угроз безопасности ПДн при их обработке в ИСПДн;
    • применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;
    • применение средств защиты информации;
  • учет машинных носителей ПДн;
  • обнаружение фактов НСД к ПДн и принятие мер по недопущению подобных инцидентов в дальнейшем;
  • восстановление ПДн, модифицированных или уничтоженных вследствие НСД к ним;
  • установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
  • контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ИСПДн;
  • соблюдение условий, исключающих НСД к бумажным носителям ПДн и обеспечивающих сохранность ПДн;
  • ознакомление работников Компании, непосредственно осуществляющих обработку ПДн, с требованиями к защите ПДн, локальными актами по вопросам обработки и защиты ПДн.
  • 9. Сроки обработки (хранения) ПДн

    Сроки обработки (хранения) ПДн определяются исходя из целей обработки ПДн, в соответствии со сроком действия договора с субъектом ПДн, приказом Минкультуры РФ № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» от 25.08.2010 г., требованиями федеральных законов, сроками исковой давности.

    ПДн, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом.

    10. Условия раскрытия и объем данных доступных партнерам и третьим лицам

    Компания обеспечивает конфиденциальность персональных данных и обязана не передавать их третьим лицам без согласия субъектов персональных данных, если иное не предусмотрено законодательством. Передача персональных данных субъекта третьим лицам осуществляется Компанией на основании соответствующего договора, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных и/или согласия субъекта ПДн.

    11. Права и обязанности субъектов ПДн, а также Компании в части обработки ПДн

    Субъект, ПДн которого обрабатываются Компанией, имеет право:

    • получать от Компании:
      • подтверждение факта обработки ПДн и сведения о наличии ПДн, относящихся к соответствующему субъекту ПДн;
      • сведения о правовых основаниях и целях обработки ПДн;
      • сведения о применяемых Компанией способах обработки ПДн;
      • сведения о наименовании и местонахождении Компании;
      • сведения о лицах (за исключением работников Компании), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Компанией или на основании федерального закона;
      • перечень обрабатываемых ПДн, относящихся к субъекту ПДн, и информацию об источнике их получения, если иной порядок предоставления таких ПДн не предусмотрен федеральным законом;
      • сведения о сроках обработки ПДн, в том числе о сроках их хранения;
      • сведения о порядке осуществления субъектом ПДн прав, предусмотренных ФЗ №152 «О персональных данных»;
      • иные сведения, предусмотренные ФЗ №152 «О персональных данных» или другими нормативно-правовыми актами РФ;
    • требовать от Компании уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
    • отозвать свое согласие на обработку ПДн;
    • требовать устранения неправомерных действий Компании в отношении его ПДн;
    • обжаловать действия или бездействие Компании в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке, в случае если субъект ПДн считает, что Компания осуществляет обработку его ПДн с нарушением требований ФЗ №152 «О персональных данных» или иным образом нарушает его права и свободы;
    • на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

    Компания в процессе обработки ПДн обязана:

    • предоставить субъекту ПДн по его просьбе информацию, предусмотренную частью 7 статьи 14 Закона, с учетом ограничений, установленных в ФЗ №152 «О персональных данных»;
    • разъяснить субъекту ПДн юридические последствия отказа предоставления ПДн, если предоставление ПДн является обязательным в соответствии с ФЗ №152 «О персональных данных»;
    • до начала обработки ПДн (если ПДн получены не от субъекта ПДн) предоставить субъекту ПДн следующую информацию, за исключением случаев, предусмотренных частью 4 статьи 18 ФЗ №152 «О персональных данных»;
    • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
    • опубликовать в сети Интернет и обеспечить неограниченный доступ с использованием сети Интернет к документу, определяющему политику Компании в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн;
    • предоставить безвозмездно субъектам ПДн и/или их представителям возможность ознакомления с ПДн при обращении с соответствующим запросом в установленный действующим законодательством РФ срок;
    • осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя, либо уполномоченного органа по защите прав субъектов ПДн;
    • уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) в течение 7 рабочих дней со дня представления сведений и снять блокирование ПДн в случае подтверждения факта неточности ПДн на основании сведений, представленных субъектом ПДн или его представителем;
    • прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Компании, в случае выявления неправомерной обработки ПДн, осуществляемой Компанией или лицом, действующим на основании договора с Компанией, в срок, не превышающий 3 рабочих дней с даты этого выявления;
    • прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по договору с Компанией) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по договору с Компанией) в срок, не превышающий 30 дней с даты достижения цели обработки ПДн, если иное не предусмотрено действующим законодательством РФ и/или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, в случае достижения цели обработки ПДн;
    • прекратить обработку ПДн или обеспечить ее прекращение и уничтожить ПДн или обеспечить их уничтожение в случае отзыва субъектом ПДн согласия на обработку ПДн, если Компания не вправе осуществлять обработку ПДн без согласия субъекта ПДн.

    12. Контактная информация лиц, ответственных за рассмотрение жалоб и запросов.

    Субъекты, чьи ПДн обрабатываются Компанией, могут получить разъяснения по вопросам обработки своих ПДн одним из следующих способов, указанных ниже:

    • Сайт www.rgs.ru, раздел «Предложения и жалобы»;
    • (495) 926-55-55
      Телефон Контакт-центра в Москве (по Москве звонок бесплатный);
    • 8-800-200-0-900
      Телефон Контакт-центра по России (по России звонок бесплатный);
    • Электронная почта: rgs@rgs.ru

    Доступ к своим персональным данным предоставляется субъекту персональных данных (его законному представителю) на основании запроса. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя и указания реквизитов договора, либо сведения, иным образом подтверждающие факт обработки Компанией персональных данных.

    Политика о порядке обработки персональных данных до 31 декабря 2015

    ОАО «Росгосстрах» и ООО «Росгосстрах»

    Настоящая политика в отношении обработки персональных данных (далее — Политика) составлена в соответствии с п. 2 ст. 18.1 Федерального закона РФ «О персональных данных» № 152-ФЗ от 27.07.06 г. и действует в отношении всех персональных данных, которые ООО «Росгосстрах» и ОАО «Росгосстрах» (далее — Компании) могут получить от субъекта персональных данных.

    Компании зарегистрированы в Реестре операторов, осуществляющих обработку персональных данных под регистрационными номерами: ООО «Росгосстрах» под номером 10-0090071 в соответствии с Приказом № 128 от 11.03.2010 г.; ОАО «Росгосстрах» под номером 08-0003937 в соответствии с Приказом № 343 от 16.05.2008 г.

    1. Правовое основание обработки персональных данных:

    • Конституция Российской Федерации (статьи 23 и 24);
    • Федеральный закон от 27.07.06 г. № 152-ФЗ «О персональных данных» (статьи 1, 6, 22);
    • Федеральный закон от 25.04.02 № 40-Ф3 «Об обязательном страховании гражданской ответственности владельцев транспортных средств» (статьи 9 и 25);
    • Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма» (статья 7);
    • Гражданский кодекс РФ (глава 48);
    • Трудовой кодекс РФ (статьи 85-90);
    • Федеральный закон от 02.05.2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» (статья 6);
    • Лицензии ООО «Росгосстрах» на осуществление страхования С № 0977 50 и перестрахования П № 0977 50 от 07.12.2009 г., а также лицензии ОАО «Росгосстрах» на осуществление страхования С № 0001 77 от 15.09.2005 г. и перестрахования П № 0001 77 от 14.12.2005 г.

     

    2. Цели и способы обработки персональных данных.

    Цель обработки персональных данных субъектов персональных данных — обеспечение выполнения работ и предоставления услуг, определенных Уставом и лицензиями Компаний, выполнения договорных обязательств Компаний перед клиентами, предоставления возможности работникам контрагентов Компаний выполнения обязанностей, предусмотренных договорами между Компаниями и ее контрагентами.

    Обработка (сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение) персональных данных подразделяется на:

    • обработку персональных данных в информационных системах персональных данных с использованием средств автоматизации;
    • обработку персональных данных, осуществляемую без использования средств автоматизации.

    3. Категории и типы обрабатываемых данных.

    Порядок сбора и обработки персональных данных в Компаниях ведется в соответствии с законодательством РФ.

    В состав обрабатываемых персональных данных входят:

    • Фамилия, имя, отчество;
    • Фотография;
    • Дата рождения;
    • Место рождения;
    • Пол;
    • Данные документов, удостоверяющих личность;
    • Воинское звание;
    • ИНН (при наличии);
    • Номер пенсионного страхования;
    • Номер страхового свидетельства;
    • Адрес регистрации по месту жительства и/или адрес фактического проживания;
    • Номер лицевого счета;
    • Гражданство;
    • Данные о здоровье;
    • Информация по застрахованному транспортному средству;
    • Трудоспособность;
    • Контактные данные (контактный телефон; адрес электронной почты);
    • Место работы и должность;
    • Сведения о доходах;
    • Образование;
    • Сведения о детях.

    4. Перечень действий с персональными данными.

    Сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение.

    5. Субъекты персональных данных.

    Категории субъектов, персональные данные которых обрабатываются:

    • работники Компаний, в том числе субъекты персональных данных, работающие по договорам ГПХ;
    • физические лица, клиенты Компаний, являющиеся застрахованными, страхователями или выгодоприобретателями, также потерпевшие страхователи сторонних компаний по ОСАГО;
    • физические лица, состоящие в договорных и иных гражданско-правовых отношениях с Компаниями.

    6. Условия прекращения обработки персональных данных.

    Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено федеральными законами, а также в случае выявления неправомерных действий с персональными данными и невозможностью устранения допущенных нарушений в срок, установленным законодательством.

    7. Обеспечение конфиденциальности.

    Персональные данные наших клиентов и партнеров содержатся в заключаемых с ними договорах, документах, относящихся к исполнению данных договоров, и информационных системах персональных данных.

    Обработка персональных данных субъектов персональных данных осуществляется в целях обеспечения выполнения работ и предоставления услуг, определенных Уставом и лицензиями Компаний, выполнения договорных обязательств Компаний перед клиентами, предоставления возможности работникам контрагентов Компаний выполнения обязанностей, предусмотренных договорами между Компаниями и ее контрагентами.

    В целях защиты от несанкционированного доступа к персональным данным, Компании принимают технические и организационные меры, изложенные в Положении о порядке обработки персональных данных ООО «Росгосстрах» (Приказ № 465 хк от 22.10.10 г.) и ОАО «Росгосстрах» (Приказ № 93 от 22.10.2010 г.).

    Компании принимают все меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. Компании самостоятельно определяют состав и перечень мер, необходимых и достаточных для обеспечения выполнения возложенных на него обязанностей, если иное не предусмотрено Федеральным законом № 152-ФЗ или другими федеральными законами.

    8. Получение доступа к персональным данным.

    Доступ к своим персональным данным предоставляется субъекту персональных данных (его законному представителю) на основании запроса. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя и указания номера договора.

    9. Условия раскрытия и объем данных доступных партнерам и третьим лицам.

    Компании обеспечивают конфиденциальность персональных данных и обязана не передавать их третьим лицам без согласия субъектов персональных данных, если иное не предусмотрено законодательством. Передача персональных данных абонента третьим лицам осуществляется Компаниями на основании соответствующего договора, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных.

    10. Контактная информация.

    Контактная информация лиц, ответственных за рассмотрение жалоб и запросов:

    1. Корпоративный сайт www.rgs.ru —  раздел «Предложения и жалобы».
    2. +7 (495) 926-55-55 - телефон Контакт-центра компании в Москве (по Москве звонок бесплатный).
    3. 8-800-200-0-900 - телефон Контакт-центра по России (по России звонок бесплатный).
    4. Горячая линия службы безопасности компании:db_hotline@rgs.ru (эл. адрес горячей линии).