АО Управляющая компания «Первая»

1.1. Настоящий документ определяет Политику АО Управляющая компания «Первая» (далее – Общество, Оператор) в отношении обработки персональных данных и реализации требований к защите персональных данных (далее - Политика) в соответствии с требованиями законодательства Российской Федерации в области обработки персональных данных.

1.2. Политика раскрывает принципы, порядок и условия обработки персональных данных Общества. Она разработана в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности, в целях защиты от несанкционированного доступа и неправомерного распространения персональных данных, обрабатываемых Обществом.

1.3. В настоящей Политике используются следующие основные понятия:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);

оператор - государственный орган, муниципальный орган, юридическое или физическое

лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие

персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Cookies - небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя. Веб-клиент (обычно веб-браузер ) всякий раз при попытке открыть страницу соответствующего сайта пересылает этот фрагмент данных веб-серверу в составе HTTP -запроса. Применяется для сохранения данных на стороне пользователя, на практике обычно используется для:

• аутентификации пользователя;

• хранения персональных предпочтений и настроек пользователя;

• отслеживания состояния сеанса доступа пользователя;

• сведения статистики о пользователях.

2.1. Обработка персональных данных осуществляется на законной и справедливой основе.

2.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных.

2.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

2.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

2.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки.

2.6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Принимаются необходимые меры по удалению или уточнению неполных или неточных данных.

2.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных или срок, установленный законом или договором, одной из сторон которого является субъект персональных данных. Если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения обрабатываемые персональные данные подлежат уничтожению либо обезличиванию. Обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению либо обезличиванию при наступлении следующий условий:

• достижение целей обработки персональных данных или максимальных сроков хранения — в течение 30 дней;

• утрата необходимости в достижении целей обработки персональных данных — в течение 30 дней;

• предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки — в течение 7 дней;

• невозможность обеспечения правомерности обработки персональных данных — в течение 10 дней;

• отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных — в течение 30 дней;

• отзыв субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными потребителями при продвижении товаров и услуг — в течение 3 дней;

• истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;

• ликвидация (реорганизация) Оператора.

2.8. Общество не осуществляет трансграничную передачу персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов персональных данных за исключением случаев, когда субъект лично даст на это письменное согласие.

2.9. Обработка персональных данных осуществляется с соблюдением условий, определенных законодательством Российской Федерации.

2.10. Обработка персональных данных на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений Оператора, а также соглашений с лицами, которым поручена обработка или которые поручили обработку на законных основаниях. Такие соглашения могут определять, в частности:

• меры по обеспечению конфиденциальности;

• права, обязанности и ответственность сторон, касающиеся обработки персональных данных.

2.11. При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация.

2.12. Уничтожение документов, содержащих персональные данные, производится любым способом, исключающим возможность ознакомления посторонними лицами с уничтожаемыми материалами и возможность восстановления их текста.

2.13. В Обществе не допускается обработка следующих категорий персональных данных:

• расовая принадлежность;

• политические взгляды;

• философские убеждения;

• сведения о состоянии здоровья;

• сведения об интимной жизни;

• национальная принадлежность;

• религиозные убеждения.

4.1. Обработка персональных данных осуществляется Обществом в целях оказания услуг в рамках осуществляемой деятельности в рамках:

• лицензии на осуществление деятельности по управлению ценными бумагами;

• лицензии на осуществление деятельности по управлению паевыми инвестиционными фондами и негосударственными пенсионными фондами.

4.2. Обработка персональных данных осуществляется также в целях организации кадрового учета, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, обеспечения сохранности имущества Общества; установления и расчета размера заработной платы; оформления полисов обязательного медицинского страхования работников; обеспечения пропускного режима Общества; рассмотрения резюме и подбора кандидатов на вакантные должности для дальнейшего трудоустройства; осуществления лицензированной деятельности; а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, иными целями, предусмотренными согласиями, полученными Обществом.

4.3. Обработка персональных данных осуществляется также в целях в виде Cookies осуществляется в целях улучшения работы веб-сайта Общества.

5.1. Обществом обрабатываются персональные данные следующих категорий субъектов персональных данных (физических лиц):

• клиентов;

• работников Общества;

• родственников работников Общества;

• - руководителей и (или) представителей юридических лиц и индивидуальных предпринимателей, имеющих договорные отношения с Обществом;

• лиц, обратившихся в Общество с обращением, жалобой или заявлением;

• претендующих на замещение вакантных должностей работников Общества;

• иных физических лиц, состоящих в правоотношениях с Обществом.

5.2. Состав обрабатываемых Обществом персональных данных определяется в зависимости от услуг, продуктов Общества и иных обстоятельств, влияющих на оказание услуг и цели обработки персональных данных, зафиксированных в разделе 4.

6.1. Обработка персональных данных осуществляется Обществом с использованием средств автоматизации, а также без использования таких средств (на бумажных носителях информации).

6.2. Общество не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов, третьей стороне без согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.

6.3. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных, полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Обществом.

6.4. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, указанных в действующем законодательстве.

6.5. По мотивированному запросу, исключительно для выполнения возложенных законодательством функций и полномочий, персональные данные субъекта ПДн без его согласия, могут быть переданы:

• в судебные органы в связи с осуществлением правосудия;

• в органы федеральной службы безопасности;

• в органы прокуратуры;

• в органы полиции;

• в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.

6.6. Обработка персональных данных в виде Cookies осуществляется веб-сайтом с использованием метрических программ, таких как Yandex, Google, Facebook, Rutarget, Mail.Ru, Vkontakte.

7.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных в соответствии со статьёй 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

7.2. Субъект персональных данных вправе требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.3. Субъект персональных данных имеет иные права, определенные главой 3 Федерального закона «О персональных данных».

7.4. Субъект персональных данных вправе отказаться от предоставления Cookies, и в этом случае веб-сайт Общества будет использовать только те Cookies, которые необходимы для функционирования сайта и предлагаемых им сервисов.

8.1. Информация, представляющая собой персональные данные, предоставленные субъектом персональных данных Общества, является конфиденциальной информацией и охраняется Обществом в соответствии с требованиями законодательства Российской Федерации.

8.2. В целях обеспечения безопасности персональных данных при их обработке Обществом применяются необходимые и достаточные правовые, организационные и технические меры, направленные на защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных. В том числе:

9.1. Настоящая Политика является локальным правовым актом Общества, она относится к общедоступной информации и подлежит размещению на официальном сайте Общества.

9.2. Действующая редакция Политики публикуется на официальном сайте Общества: https://www.sber-am.ru.

9.3. Контроль исполнения требований настоящей Политики, а также ее своевременная актуализация осуществляется лицом, ответственным за организацию обработки персональных данных.

9.4. Ответственность работников Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Общества.