• Главная
  • Политика конфиденциальности

Политика

по организации обработки и обеспечению безопасности
персональных данных

 

1. Общие положения

  1. В целях выполнения норм действующего законодательства Российской Федерации в полном объеме АО «ГАРДИЯ» считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
  2. Настоящая политика по организации обработки и обеспечению безопасности персональных данных (далее – «Политика») характеризуется следующими признаками:
    1. разработана в целях реализации требований действующего законодательства Российской Федерации в области обработки и защиты персональных данных;
    2. раскрывает способы и принципы обработки АО «ГАРДИЯ» персональных данных, права и обязанности АО «ГАРДИЯ» при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых АО «ГАРДИЯ» в целях обеспечения безопасности персональных данных при их обработке;
    3. является общедоступным документом, декларирующим концептуальные основы деятельности АО «ГАРДИЯ» при обработке и защите персональных данных.
  3. АО «ГАРДИЯ» до начала обработки персональных данных осуществило уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. АО «ГАРДИЯ» добросовестно и в соответствующий срок осуществляет актуализацию сведений, указанных в уведомлении.

2. Список сокращений и аббревиатур

  1. В настоящем документе используются следующие сокращения и аббревиатуры:

ИСПДн

информационная система персональных данных

Оператор

АО «ГАРДИЯ»

ПДн

персональные данные

Политика

настоящая Политика АО «ГАРДИЯ» по организации обработки и обеспечению безопасности персональных данных

3. Правовые основания обработки ПДн

  1. Оператор осуществляет обработку ПДн в соответствии с действующим законодательством РФ о ПДн, руководствуясь следующими правовыми основаниями:
    1. Конституцией РФ (ст.ст.23, 24)
    2. Трудовым кодексом РФ (ст.ст.65, 66, 86-90, 166)
    3. Налоговым кодексом РФ (ст.226)
    4. Гражданским кодексом РФ (гл.гл.39, 40, 52)
    5. Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (ч.1 ст.6)
    6. Федеральным законом от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации» (ст.11)
    7. Федеральным законом от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» (ст.ст.6, 9, 11)
    8. Федеральным законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации» (ст.38)
    9. Федеральным законом от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством» (ч.4 ст.13)
    10. Федеральным законом от 28.12.2013 № 426-ФЗ «О специальной оценке условий труда» (ч.2 ст.4, ст.ст.7, 8)
    11.  постановлением Госкомстата РФ от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты» (п.2)
    12. постановлением Минтруда РФ от 24.10.2002 № 73 «Об утверждении форм документов, необходимых для расследования и учета несчастных случаев на производстве, и положения об особенностях расследования несчастных случаев на производстве в отдельных отраслях и организациях» (п.2 Приложения №2)
    13. постановлением Минтруда РФ, Минобразования РФ от 13.01.2003 № 1/29 «Об утверждении Порядка обучения по охране труда и проверки знаний требований охраны труда работников организаций» (п.1.2)
    14. Федеральный закон от 27 ноября 1992 года № 4015-I «Об организации страхового дела в Российской Федерации»
    15. Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»
    16. Федеральный закон от 27.07.2010 № 225-ФЗ «Об обязательном страховании гражданской ответственности владельца опасного объекта за причинение вреда в результате аварии на опасном объекте»
    17. Федеральный закон от 25.04.2002 № 40-ФЗ «Об обязательном страховании гражданской ответственности владельцев транспортных средств
    18. Постановление правительства РФ № 263 от 7 мая 2003 г. «Об утверждении Правил обязательного страхования гражданской ответственности владельцев транспортных средств
    19. Приказ Министерства финансов РФ № 67н от 1 июля 2009 г. «Об установлении формы заявления о заключении договора обязательного страхования гражданской ответственности владельцев транспортных средств, формы страхового полиса обязательного страхования гражданской ответственности владельцев транспортных средств, формы документа, содержащего сведения о страховании гражданской ответственности владельцев транспортных средств по договору обязательного страхования»
    20. Постановление правительства РФ № 739 от 8 декабря 2005 г. «Об утверждении страховых тарифов по обязательному страхованию гражданской ответственности владельцев транспортных средств, их структуры и порядка применения страховщиками при определении страховой премии»
    21. Приказ МВД России от 1 апреля 2011 г. № 154 «Об утверждении формы Справки о дорожно-транспортном происшествии»
    22. Приказ МВД России от 23 мая 2008 г. № 449 «Об утверждении формы бланка Извещения о дорожно-транспортном происшествии»
    23. Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»
    24. Уставом Оператора
    25. согласиями субъектов ПДн (сотрудников, соискателей, участников стимулирующих мероприятий и иных лиц) на обработку их ПДн
    26. договорами, стороной которых либо выгодоприобретателем или поручителем, по которым являются субъекты ПДн.

4. Принципы, цели, содержание и способы обработки ПДн

  1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки ПДн, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
  2. Оператор осуществляет сбор и дальнейшую обработку ПДн в следующих целях:
    1. заключение, сопровождение, исполнение и расторжение договоров и иных сделок, в том числе договоров страхования и перестрахования, включая процесс анализа и оценки страховых рисков, в том числе ведение деловых переговоров;
    2. урегулирование убытков при наступлении страховых случаев по договорам страхования и перестрахования, включая прием заявлений и обращений, осуществление страховых выплат при наступлении страховых случаев по договорам страхования и перестрахования;
    3. взаимодействие со страховыми посредниками, осуществляющими привлечение застрахованных лиц, в том числе ведение деловых переговоров с указанными страховыми посредниками, заключение, сопровождение, изменение, расторжение агентских договоров, сопровождение процессов урегулирования убытков, а также осуществление контроля деятельности страховых посредников по выполнению обязанностей, предусмотренных указанными договорами;
    4. поставка товаров, выполнение работ и оказание услуг контрагентами и их субподрядчиками, а также осуществление процедур закупок у указанных контрагентов и ведение деловых переговоров с указанными контрагентами;
    5. осуществление взаимных расчетов с клиентами, иными контрагентами и выгодоприобретателями;
    6. рассмотрение и учет обращений (запросов, предписаний, заявлений, предложений, комментариев, претензий, благодарностей и т.п.), поступающих от государственных, контрольных, надзорных, судебных, правоохранительных и иных органов, а также клиентов и иных лиц, и осуществление информационного обслуживания[1] указанных лиц, а также осуществление контроля качества обслуживания клиентов и иных лиц;
    7. предложение услуг клиентам и потенциальным клиентам, а также участие Оператора в процедурах закупок указанных лиц и ведение Оператором деловых переговоров с указанными лицами;
    8. организация и проведение стимулирующих мероприятий, направленных на повышение узнаваемости и потребительской лояльности, а также на продвижение услуг;
    9. принятие Оператором мер должной осмотрительности при взаимодействии с действительными и потенциальными клиентами, иными контрагентами, их субподрядчиками, застрахованными лицами, выгодоприобретателями и другими третьими лицами, включающее в себя оценку соответствующих юридических, финансовых, репутационных и иных рисков;
    10. оформление доверенностей в рамках наделения сотрудников (здесь и далее термин «сотрудник» включает работников, членов органов управления и иных должностных лиц) и иных лиц специальными полномочиями для выполнения возложенных на них трудовых функций и (или) представления интересов Оператора;
    11. участие в гражданском, арбитражном, уголовном, административном процессах, а также исполнение судебных актов;
    12. замещение вакантных должностей в Операторе соискателями, наиболее полно соответствующими требованиям Оператора;
    13. оказание помощи лицам, являющимся гражданами иностранных государств, в получении разрешений на работу в Российской Федерации и в оформлении въездных виз в Российскую Федерацию;
    14. соблюдение трудового законодательства и иных актов, содержащих обязательные нормы права, учет труда и его оплата, принятие управленческих и кадровых решений в отношении сотрудников, контроль и учет рабочего времени и трудовой дисциплиной;
    15. осуществление расчета и выплаты сотрудникам причитающейся им заработной платы/или иных выплат, компенсаций и премий, осуществление пенсионных и налоговых отчислений, а также расчет с подотчетными лицами;
    16. организация и (или) осуществление обучения, повышения квалификации и проверки знаний;
    17. содействие сотрудникам в общественном признании их профессиональных достижений и личных заслуг, талантов, способностей, а также мотивирование сотрудников;
    18. выполнение принятых на себя социальных обязательств в отношении сотрудников и их родственников в виде предоставления им возможности участвовать в программах добровольного медицинского страхования, страхования жизни, страхования от несчастного случая и страхования на случай возникновения критических заболеваний;
    19. оформление командировочных документов для сотрудников, а также осуществление Оператором организации и управления деловыми поездками сотрудников;
    20. организация Оператором обучения, инструктажа, проверки знаний сотрудников и иных лиц по охране труда и технике безопасности, а также проведение специальной оценки условий труда;
    21. содействие сотрудникам в облегчении и повышении эффективности коммуникаций между ними;
    22. содействие Оператором сотрудникам в надлежащем выполнении ими возложенных на них трудовых и иных функций, в том числе посредством выдачи визитных карточек и предоставления услуг такси и корпоративных мобильных телефонов и иных средств связи;
    23. обеспечение личной безопасности и защита жизни, здоровья сотрудников и иных лиц, посещающих объекты недвижимости (помещения, здания, территорию), а также обеспечение сохранности материальных и иных ценностей;
    24. предоставление служебных транспортных средств сотрудникам для обеспечения текущей деятельности Оператора, для учета и возмещения расходов на эксплуатацию предоставленных транспортных средств, для контроля надлежащего использования и сохранности предоставленных транспортных средств;
    25. выделение (подключение) средств вычислительных средств и оргтехники, находящихся в ведении Оператора, а также управление доступом к ресурсам информационных систем Оператора;
    26. решение проблем, возникающих в процессе работы со средствами вычислительной техники и оргтехникой, а также при доступе к ресурсам информационных систем;
    27. предоставление сотрудникам служебных сервисов по использованию мобильной радиосвязи и по доступу к информационно-телекоммуникационной сети «Интернет», а также обеспечение эффективного управления и контроля затрат на предоставление данных сервисов;
    28. организация и осуществление независимой проверки бухгалтерской (финансовой) отчетности Оператора в целях выражения мнения о достоверности такой отчетности;
    29. организация и осуществление Оператором (самостоятельно или с привлечением третьих лиц) внешнего и внутреннего контроля (в т.ч. проверок, аудитов и т.п.) деятельности, бизнес-процессов и качества оказываемых услуг и/или трудовых и иных обязанностей Оператора, его работников, должностных лиц, его контрагентов и субподрядчиков, проверок на их соответствие требованиям локальных и глобальных политик и процедур Оператора, российского и международного законодательства, а также применимых правил профессиональной деятельности и стандартов;
    30. организация и осуществление мероприятий в целях предупреждения, выявления и пресечения деяний, связанных с легализацией (отмыванием) доходов, полученных преступным путем, и финансированию терроризма, а также иных незаконных деяний в соответствии с требованиями российского законодательства и/или внутренних документов, в том числе идентификация и подтверждение соответствия контрагентов, работников, должностных лиц, акционеров (и их бенефициаров) АО «ГАРДИЯ» и/или клиентов и иных контрагентов АО «ГАРДИЯ» требованиям к деловой репутации и иным требованиям и нормам;
    31. осуществление правильного учета, надлежащего хранения и уничтожения по истечении сроков хранения отдельных категорий материальных носителей информации;
    32. обеспечение безопасности и надлежащего функционирования информационных систем, баз данных, программного обеспечения и/или технических и иных средств, а также содержащихся в них сведений и информации, в том числе связанных с информационно-телекоммуникационной сетью.
  3. Оператор установил следующие условия прекращения обработки ПДн:
    1. достижение целей обработки ПДн и максимальных сроков хранения;
    2. утрата необходимости в достижении целей обработки ПДн;
    3. предоставление субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
    4. невозможность обеспечения правомерности обработки ПДн;
    5. отзыв субъектом ПДн согласия на обработку ПДн, если сохранение ПДн более не требуется для целей обработки ПДн;
    6. истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка ПДн.
  4. Обработка ПДн Оператором включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
  5. Оператор осуществляет обработку специальных категорий ПДн (сведения о состоянии здоровья) во исполнение требований действующего трудового законодательства Российской Федерации.
  6. Оператор осуществляет обработку биометрических ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта ПДн).
  7. Оператор производит трансграничную передачу ПДн (передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу).
  8. Оператором создаются общедоступные источники ПДн (справочники, адресные книги). ПДн, сообщаемые субъектом, включаются в такие источники только с письменного согласия субъекта ПДн или на основании требований действующего законодательства Российской Федерации.
  9. Оператором не принимаются решения, порождающие юридические последствия в отношении субъектов ПДн или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки их ПДн.
  10. Оператор осуществляет обработку ПДн с использованием средств автоматизации и без использования средств автоматизации.
  11. При сборе ПДн Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, прямо предусмотренных действующим законодательством Российской Федерации о ПДн.

5. Меры по надлежащей организации обработки и обеспечению безопасности ПДн

  1. Оператор при обработке ПДн принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности ПДн достигается, в частности, следующими способами:
    1. назначением ответственного лица за организацию обработки ПДн;
    2. осуществлением внутреннего контроля и (или) аудита соответствия обработки ПДн Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, требованиями к защите ПДн, локальными актами Оператора;
    3. ознакомлением сотрудников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, локальными актами в отношении обработки ПДн и (или) обучением указанных сотрудников;
    4. определением угроз безопасности ПДн при их обработке в ИСПДн;
    5. применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн;
    6. оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
    7. организацией режима безопасности помещений, в которых осуществляется обработка ПДн и (или) размещены ИСПДн Оператора;
    8. определением мест хранения материальных носителей ПДн, а также обеспечением учета и сохранности материальных носителей ПДн;
    9. выявлением фактов несанкционированного доступа к ПДн и принятием соответствующих мер;
    10. восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
    11. установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
    12. контролем над принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ИСПДн.
  2. Обязанности сотрудников Оператора, осуществляющих обработку и защиту ПДн, а также их ответственность, определяются в «Положении об организации обработки и обеспечении безопасности персональных данных» Оператора.

6. Лицо, ответственное за организацию обработки ПДн

  1. Права, обязанности и юридическая ответственность лица, ответственного за организацию обработки ПДн, установлены Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», положением Оператора «Об организации обработки и обеспечении безопасности персональных данных» и иными локальными актами Оператора в сфере обработки и защиты ПДн.
  2. Назначение лица, ответственного за организацию обработки ПДн, и освобождение от указанных обязанностей осуществляется руководителем Оператора. При назначении лица, ответственного за организацию обработки ПДн, учитываются полномочия, компетенции и личностные качества должностного лица, призванные позволить ему надлежащим образом и в полном объеме реализовывать свои права и выполнять обязанности.
  3. Лицо, ответственное за организацию обработки ПДн:
    1. организует осуществление внутреннего контроля над соблюдением Оператором и его сотрудниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;
    2. доводит до сведения сотрудников Оператора положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн или обеспечивает доведение;
    3. осуществляет контроль над приемом и обработкой обращений и запросов субъектов ПДн или их представителей.
  4. Вопросы относительно организации процессов обработки ПДн можно направить Оператору на специально созданный ящик электронной почты personaldata@aig.ru.

7. Права субъектов ПДн

  1. Субъект ПДн имеет право на получение сведений об обработке его ПДн Оператором.
  2. Субъект ПДн вправе требовать от Оператора уточнения этих ПДн, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
  3. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.
  4. Для реализации и защиты своих прав и законных интересов субъект ПДн имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов ПДн, соответствующие требованиям закона, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
  5. Субъект ПДн вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов ПДн.
  6. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

8. Доступ к Политике

  1. Действующая редакция Политики на бумажном носителе хранится в месте нахождения исполнительного органа Оператора по адресу: 125315, г. Москва, Ленинградский проспект, д. 72, корп. 3, этаж 11, помещение XVIII, комната 1.
  2. Электронная версия действующей редакции Политики общедоступна на сайте Оператора в сети «Интернет»: https://www.aig.ru/privacy-policy

9. Порядок утверждения и внесения изменений в Политику

  1. Политика утверждается и вводится в действие приказом руководителя Оператора и действует до ее отмены.
  2. Оператор имеет право вносить изменения в Политику. Изменения утверждаются приказом руководителя Оператора.
    1. Политика пересматривается по мере необходимости, но не реже одного раза в три года с момента проведения предыдущего пересмотра Политики.
    2. Политика может пересматриваться ранее срока, указанного в п. 9.2.1 Политики, по мере внесения изменений:
      1. в нормативные правовые акты Российской Федерации в сфере ПДн;
      2. в локальные нормативные и индивидуальные акты Оператора, регламентирующие организацию обработки и обеспечение безопасности ПДн;
      3. в договоры и соглашения, регламентирующие правоотношения Оператора с контрагентами и иными лицами;
      4. в порядок организации Оператором обработки и обеспечения безопасности ПДн.

10. Ответственность

  1. Лица, виновные в нарушении норм, регулирующих обработку и защиту ПДн, несут ответственность, предусмотренную законодательством Российской Федерации, локальными актами Оператора и договорами, регламентирующими правоотношения Оператора с третьими лицами.

 

  1. Файлы cookies

При нахождении посетителя на сайте АО «ГАРДИЯ», файлы сookies сохраняются браузером посетителя на жестком диске, и АО «ГАРДИЯ» получает информацию, посылаемую браузером и компьютером посетителя на сайт АО «ГАРДИЯ». АО «ГАРДИЯ» использует полученную таким образом информацию только в статистических целях и в целях совершенствования сайта АО «ГАРДИЯ» в соответствии с требованиями его посетителей.

Информация, полученная таким образом, не передается и не раскрывается третьим лицам. Файлы cookies не содержат никакой информации, позволяющей идентифицировать посетителей и через несколько недель после посещения сайта автоматически удаляются. Файлы cookies могут быть удалены из браузера посетителя по его желанию.   

 

[1] Информационное обслуживание – обеспечение пользователей необходимой информацией, осуществляемое информационными органами и службами путем предоставления информационных услуг (п.3.2.2.1 ГОСТ 7.0-99).