Политика обработки и защиты персональных данных акционерного общества страховая компания «Турикум»

Персональные данные– любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:

• сбор
• запись
• систематизацию
• накопление
• хранение
• уточнение (обновление, изменение)
• извлечение
• использование
• передачу (распространение, предоставление, доступ)
• обезличивание
• блокирование
• удаление
• уничтожение

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Обеспечение конфиденциальности информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию/не предоставлять доступ к такой информации третьим лицам без согласия ее обладателя.

Субъект персональных данных — физическое лицо, которое прямо или косвенно определено или может быть определено с помощью персональных данных.

Общество обеспечивает соблюдение принципов обработки персональных данных, установленных ст.3 ФЗ-152 «О персональных данных», в частности:

• законность и справедливость
• конкретные, заранее определенные и законные цели обработки
• запрет объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой
• соответствие объема персональных данных целям обработки (данные не должны быть избыточными)
• точность, достаточность и актуальность
• хранение в пределах установленных сроков
• конфиденциальность

К основным обязанностям Общества как оператора персональных данных относятся:

• предоставлять субъекту персональных данных по его просьбе информацию в соответствии с законодательством о персональных данных
• в течение 10 рабочих дней с даты получения запроса субъекта персональных данных или его представителя сообщить в предусмотренном законодательством порядке субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также безвозмездно предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя, либо в случае отказа предоставить информацию/доступ – предоставить в письменной форме мотивированный ответ, содержащий ссылку на конкретное положение законодательства, являющееся основанием для такого отказа
• внести необходимые изменения в персональные данные в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными
• уничтожить персональные данные в срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки
• в соответствующих случаях разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные
• в соответствующих случаях, если персональные данные получены не от субъекта персональных данных, до начала обработки таких персональных данных предоставить субъекту персональных данных информацию в соответствии с законодательством о персональных данных
• при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет» обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренным законодательством
• принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных
• предоставлять информацию по запросу уполномоченного органа
• устранять нарушения законодательства, допущенные при обработке персональных данных; уточнять, блокировать и уничтожать персональные данные – в порядке и по основаниям, предусмотренным действующим законодательством о персональных данных
• назначить лицо, ответственное за организацию обработки персональных данных
• исполнять иные обязанности, установленные законодательством о персональных данных

Общество обязано принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законодательством о персональных данных. Общество обязано принимать (обеспечивать их принятие) необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Субъекты персональных данных имеют право:

• на доступ к своим персональным данным в порядке, предусмотренном законодательством и настоящей Политикой
• на получение информации, касающейся обработки его персональных данных (см. Раздел IX)
• требовать от Общества уточнения своих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки
• обжаловать действия или бездействия Общества как оператора персональных данных в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке

Право на ознакомление с персональными данными и право на получение информации, касающейся обработки персональных данных субъекта, может быть ограничено законодательством РФ.

Субъекты персональных данных обязаны предоставлять полные и точные персональные данные, необходимые для реализации правоотношений, возникающих между субъектом персональных данных и Обществом. Общество не несет ответственности за убытки/затраты, которые могут возникнуть в связи с предоставлением субъектом неполных или неточных персональных данных. В случае изменения персональных данных субъекту персональных данных необходимо сообщить об этом в АО СК «Турикум».

АО СК «Турикум» осуществляет обработку персональных данных в следующих целях:

Осуществление страховой деятельности

• заключение и исполнение договоров страхования (сострахования, перестрахования)
• урегулирование убытков и осуществление страховых выплат
• заключение и исполнение договоров со страховыми посредниками
• выполнение требований законодательства о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма
• организация и осуществление Обществом (самостоятельно или с привлечением третьих лиц) внешнего и внутреннего контроля и аудита
• исполнение иных требований страхового законодательства (в частности, соблюдение требований к квалификации и деловой репутации должностных лиц Общества)

Осуществление общехозяйственной деятельности

• заключение и исполнение договоров гражданско-правового характера, заключаемых Обществом при осуществлении хозяйственной деятельности
• проверка контрагентов, осуществление Обществом процедур должной осмотрительности; проведение тендеров

Обработка персональных данных в целях кадрового делопроизводства

• исполнение своих обязанностей и осуществление своих прав как работодатель
• проведение собеседований, принятие решения о приеме на работу
• выполнение требований действующего трудового законодательства РФ
• содействие работникам в трудоустройстве
• обучение работников; содействие в обучении и продвижении по службе
• обеспечение личной безопасности работников
• контроль количества и качества выполняемой работы и обеспечение сохранности имущества
• направление в служебные командировки и их организация (трансферы, проживание, питание и прочее)
• предоставление услуг корпоративной мобильной связи
• открытие в банке счета для начисления заработной платы и иных выплат
• страхование во внешних организациях, оформление полисов добровольного медицинского страхования
• выполнение требований законодательства при заключении трудовых договоров с иностранными лицами (оформление виз, разрешений на работу и т.д.)
• подача отчетности
• ведение воинского учета

Иные цели обработки, необходимые для осуществления Обществом своей деятельности

• осуществление резервного копирования и хранения информации
• архивное хранение персональных данных после прекращения действия договора
• оформление доверенностей (для работников Общества или третьих лиц)
• участие в гражданском, арбитражном, уголовном, административном процессах, а также исполнение судебных актов
• взаимодействие с регулирующими органами
• обеспечение безопасности и надлежащего функционирования информационных систем, баз данных, программного обеспечения и/или технических и иных средств, а также содержащихся в них сведений и информации

Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных, в частности:

• Страховое законодательство РФ, в том числе Закон РФ от 27 ноября 1992 г. N 4015-I «Об организации страхового дела в Российской Федерации», нормативно-правовые акты Банка России
• Законодательство об акционерных обществах, в частности Федеральный закон от 26 декабря 1995 г. N 208-ФЗ «Об акционерных обществах»
• Законодательство о противодействии (отмыванию) легализации доходов, полученных преступным путем, и финансирования терроризма, в частности Федеральный закон от 7 августа 2001 г. N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», соответствующие нормативно-правовые акты Банка России и Федеральной службы по финансовому мониторингу
• Трудовой кодекс РФ и иные нормативно-правовые акты, регулирующие трудовые отношения
• Пенсионное законодательство, законодательство о социальном страховании, налоговое законодательство
• Нормативно-правовые акты, устанавливающие требования к хранению документов (в частности, Указание Банка России от 12 сентября 2018 г. N 4902-У «О перечне документов, сохранность которых должны обеспечить страховщики, и требованиях к обеспечению сохранности таких документов»
• договоры, которые Общество заключает с субъектами персональных данных, либо выгодоприобретателями по которым являются субъекты персональных данных (застрахованные лица, выгодоприобретатели по договорам страхования)
• согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Общества)

Общество вправе осуществлять обработку персональных данных, если это необходимо для осуществления прав и законных интересов Общества или третьих лиц.

Общество уведомило уполномоченный орган по защите прав субъектов персональных данных об обработке персональных данных.

Общество осуществляет обработку следующих категорий субъектов персональных данных:

• работники Общества
• бывшие работники Общества
• кандидаты на замещение вакантных должностей
• лица по договору страхования (страхователи, застрахованные лица, выгодоприобретатели, иные лица, указанные в договоре страхования, и лица, чьи персональные данные необходимы в целях исполнения договора страхования (в частности, работники страхователей))
• владельцы и бенефициарные владельцы клиентов (страхователей)
• страховые агенты (физические лица и индивидуальные предприниматели)
• представители страховых агентов и страховых брокеров (юридических лиц)
• субъекты персональных данных, с которыми у Общества заключены договоры оказания иных (нестраховых) услуг
• представители контрагентов, осуществляющие взаимодействие с Обществом, не связанное со страховой деятельностью

Общество осуществляет сбор и обработку только тех персональных данных, которые необходимы для достижения заявленных в настоящей Политике целей.

Общество осуществляет обработку специальных категорий персональных данных (сведений о судимости, состоянии здоровья) в соответствии с требованиями действующего законодательства РФ (в частности, для проверки соответствия квалификационным требованиям, предусмотренным страховым законодательством), а также на основании письменного согласия субъекта персональных данных.

Общество не осуществляет обработку биометрических персональных данных.

Общество осуществляет обработку персональных данных: сбор, запись, систематизацию, накопление, хранение, уточнение, обновление, изменение, извлечение, использование, распространение, предоставление, доступ, передачу, обезличивание, блокирование и уничтожение – следующими способами: автоматизированная, неавтоматизированная обработка.

При сборе персональных данных Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории РФ, за исключением случаев, предусмотренных требованиями действующего законодательства РФ.

Общество обеспечивает конфиденциальность персональных данных, не являющихся общедоступными.

Общество вправе передавать персональные данные в уполномоченные органы или сторонние организации в соответствии с требованиями действующего законодательства РФ (в частности, трудового, налогового, страхового законодательства РФ, законодательства о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, законодательства об аудиторской деятельности, законодательства об акционерных обществах, законодательства в сфере социального и пенсионного обеспечения, законодательства о воинском учете в РФ).

Общество вправе передавать персональные данные также третьим лицам на основании согласия субъекта персональных данных и при наличии заключенного с ними договора, содержащего обязательства таких третьих лиц о соблюдении конфиденциальности и обеспечении безопасности персональных данных. Общество передает персональные данные в следующих случаях:

• В целях заключения и исполнения договоров перестрахования (Общество может осуществлять также трансграничную передачу персональных данных на территорию страны перестраховщика в соответствии с применимыми требованиями законодательства). Общество вправе передавать перестраховщику персональные данные, содержащиеся в договорах страхования
• В целях урегулирования убытков
• В целях осуществления резервного копирования
• Передача персональных данных работников Общества в рамках реализации трудовых правоотношений между сторонами (для оформления банковских карточек в рамках зарплатного проекта, оформления договоров добровольного медицинского страхования, оформления пропусков в офис Общества и иных случаях, как предусмотрено письменным согласием работника)
• В целях проведения внешнего аудита и обязательного актуарного оценивания
• В целях получения услуг от третьих лиц (включая договоры аутсорсинга): в частности, юристам, адвокатам, внешним консультантам, ИТ-компаниями

Общество вправе поручить хранение документов, содержащих в том числе персональные данные, третьему лицу на основании договора.

Общество вправе передавать персональные данные уполномоченным органам государственной власти, Банку России по их мотивированному запросу

Сроки хранения персональных данных определяются в соответствии со сроком действия гражданско-правовых отношений между субъектом персональных данных и Обществом, сроком исковой давности, сроками хранения документов на бумажных носителях и документов в электронных базах данных, иными требованиями законодательства Российской Федерации, а также сроком действия согласия субъекта на обработку его персональных данных.

Общество принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законодательством РФ в сфере персональных данных, в частности, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий.

К таким мерам могут относиться (в том числе, но не ограничиваясь):

• назначение ответственного за организацию обработки персональных данных, ответственного за обеспечение безопасности персональных данных в информационных системах, ответственного за режим обеспечения безопасности помещений, в которых производится обработка персональных данных
• разработка локальных актов по вопросам обработки персональных данных
• осуществление внутреннего контроля соответствия обработки персональных данных требованиям действующего законодательства РФ в сфере персональных данных
• оценка вреда, который может быть причинен при обработке персональных данных, и его соотношение с принимаемыми в Обществе мерами
• ознакомление работников Общества с требованиями действующего законодательства РФ в сфере персональных данных, а также их обучение
• определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных
• применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
• оценка эффективности мер по обеспечению безопасности до ввода в эксплуатацию информационной системы персональных данных
• мониторинг и выявление фактов несанкционированного доступа к персональным данным и принятие мер
• установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных
• регулярный контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных

Субъекты персональных данных или их законные представители (далее – субъекты персональных данных) имеют право :

• на получение сведений об обрабатываемых персональных данных, относящихся к соответствующему субъекту персональных данных, в том числе содержащих:
  • сведения об Обществе как операторе, обрабатывающем персональные данные (наименование и место нахождения)
  • подтверждение факта обработки персональных данных Обществом
  • правовые основания и цели обработки персональных данных
  • цели обработки Обществом персональных данных
  • способы обработки персональных данных, применяемые в Обществе
  • сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом (в т.ч. поручения оператора) или на основании федерального (-ых) закона (-ов), за исключением работников, доступ которым предоставлен в связи с исполнением должностных обязанностей
  • перечень обрабатываемых персональных данных, относящихся к конкретному субъекту
  • источник их получения, если иной порядок представления таких данных не предусмотрен законом
  • сроки обработки персональных данных, в том числе сроки их хранения
  • порядок реализации прав субъектов персональных данных, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»
  • сведения об осуществляемой или предполагаемой трансграничной передаче персональных данных с указанием наименования страны
  • информацию о способах исполнения Обществом обязанностей, установленных статьей 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
  • иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», к которым могут относиться соблюдение условий и принципов обработки персональных данных, сведения о выполнении требований по обеспечению безопасности персональных данных, возможные ограничения на доступ субъектов персональных данных к своим персональным данным

• на ознакомление с персональными данными, имеющимися в Обществе и относящимися к соответствующему субъекту персональных данных
• требовать актуализации, уточнения соответствующих персональных данных
• требовать блокирования или уничтожения персональных данных в случаях, предусмотренных законодательством
• в любое время отозвать свое согласие на обработку персональных данных

Для реализации перечисленных выше прав субъект персональных данных направляет в Общество письменное обращение (на почтовый адрес Общества или адрес электронной почты, указанные на сайте Общества), либо может обратиться лично. Отзыв согласия направляется по форме Приложения 1 к настоящей Политике. Запрос о предоставлении сведений, требование об уточнении, актуализации, блокировании или уничтожении направляется субъектом персональных данных письменно в свободной форме с приложением копий обосновывающих требование документов.

Любое письменное обращение субъекта персональных данных (запрос о предоставлении сведений, доступа, отзыв согласия, требование об уточнении, актуализации, блокировании или уничтожении) должно содержать номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных. Запрос может быть направлен в электронной форме и подписан квалифицированной электронной цифровой подписью в соответствии с законодательством Российской Федерации. При личном обращении для получения доступа к персональным данным субъект персональных данных обязан иметь при себе документ, удостоверяющий личность.

Все запросы субъектов персональных данных рассматриваются лицом, назначенным в Обществе ответственным за организацию обработки персональных данных («Ответственное лицо»).

Ответственное лицо обязано рассмотреть полученные обращения субъектов персональных данных и предоставить соответствующий ответ (предоставить субъекту возможность ознакомиться с его персональными данными) в течение 10 рабочих дней с момента получения запроса. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Обществом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

Право на доступ к персональным данным может быть ограничено в соответствии с положениями действующего законодательства. В таком случае субъекту персональных данных должен быть направлен письменный мотивированный отказ со ссылкой на конкретные положения законодательства.

В случае если обращение лица не содержит обязательных реквизитов (паспортные данные, личная подпись, если применимо – обосновывающие документы), Ответственное лицо в разумно короткий срок, но в любом случае в течение 10 рабочих дней, уведомляет отправителя о необходимости устранить недостатки. В таком случае срок предоставления ответа начинает течь с даты, когда Общество получит надлежащим образом оформленный и подписанный запрос.

Общество вправе не отвечать на анонимные запросы, а также на запросы, которые не содержат обратного адреса, которые невозможно прочесть, или в которых содержатся нецензурные либо оскорбительные выражения или угрозы.

В случае получения запроса (требования) от субъекта об исправлении или уточнении неполных, неточных или неактуальных персональных данных, Ответственное лицо проверяет наличие и содержание подтверждающих документов и обеспечивает внесение необходимых исправлений в документы и базы данных, в которых обрабатываются персональные данные, в течение семи рабочих дней со дня получения запроса. Ответственное лицо персональных данных обязано уведомить субъекта персональных данных о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

В случае получения от субъекта персональных данных сведений, подтверждающих, что соответствующие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Ответственное лицо обязано обеспечить уничтожение таких персональных данных в течение семи рабочих дней со дня получения сведений.

В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Ответственное лицо обязано:

• уведомить соответствующего субъекта персональных данных о возможных последствиях отзыва согласия на обработку персональных данных
• в случае наличия действующего договора с данным субъектом обеспечить прекращение обработки персональных данных в целях, выходящих за рамки исполнения договорных обязательств перед субъектом, а также иных обязательств Общества, установленных законодательством
• в случае отсутствия действующего договора с данным субъектом прекратить обработку персональных данных субъекта и уничтожить персональные данные в срок, не превышающий семи рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено действующим законодательством

Ответственное рассматривает запросы и (или) обращения уполномоченного органа по защите прав субъектов персональных данных и обеспечивает направление ответа в установленный запросом срок.

Отзыв согласия на обработку персональных данных

В АО СК «Турикум»

От ________________________________________ 

фамилия, имя, отчество, адрес субъекта персональных данных

Я,___________________________________________________________________________________

__________________________________________________________________________ (фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе)

в соответствии с пунктом 2 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» отзываю у АО СК «Турикум» согласие на обработку моих персональных данных _________________________________________________ (указать перечень персональных данных) путем _________________________________________ (указать действия — сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных) и прошу прекратить их обработку.

Настоящим я подтверждаю, что уведомлен о том, что АО СК «Турикум» вправе продолжать обработку данных после отзыва согласия в случае, если обработка необходима для целей исполнения заключенного со мной договора, а также в иных целях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», включая ст. 9, ст. 6, ст. 10.

Дата

Подпись