Перейти к содержимому
Financial AllianceFAФинансовый Альянс
+996 222 177 711Открыть счёт

Раскрытие информации

Политика обработки персональных данных

Документ определяет принципы, условия и способы обработки и защиты персональных данных в ОАО «Финансовый Альянс».

1. Термины и определения

1.1. В настоящей Политике ОАО «Финансовый Альянс» в отношении обработки персональных данных (ПДн) используются следующие термины:

1.1.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

1.1.2. Близкие родственники — супруг, супруга, родители, дети, усыновители, усыновленные, родные братья и родные сестры, дедушка, бабушка, внуки.

1.1.3. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

1.1.4. Внутренний нормативный документ – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию, создаваемая в ОАО «Финансовый Альянс» и используемая в его деятельности, а также содержащая нормы (правила) общего характера, рассчитанные на неоднократное применение. Виды внутренних нормативных документов регламентируются Положением о порядке работы с внутренними нормативными документами ОАО «Финансовый Альянс». Приложения к внутреннему нормативному документу являются его неотъемлемой частью.

1.1.5. Доступ к персональным данным – возможность получения персональных данных и их использование.

1.1.6. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.1.7. Информационный актив – информация с реквизитами, позволяющими ее идентифицировать, имеющая ценность для ОАО «Финансовый Альянс», находящаяся в распоряжении Общества и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передачи форме.

1.1.8. Информация – сведения (сообщения, данные) независимо от формы их представления.

1.1.9. Использование персональных данных – действия (операции) с персональными данными, совершаемые уполномоченным лицом в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

1.1.10. Конфиденциальная информация (сведения конфиденциального характера) – сведения, содержащие информацию, составляющую коммерческую, банковскую тайну ОАО «Финансовый Альянс», информацию, являющуюся информацией «Для служебного пользования» и инсайдерскую информацию.

1.1.11. Конфиденциальность информационных активов – свойство информационной безопасности банковской системы Кыргызской Республики, состоящее в том, что обработка, хранение и передача информационных активов осуществляются таким образом, что информационные активы доступны только авторизованным пользователям, объектам системы или процессам.

1.1.12. Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своему функциональному предназначению и техническим характеристикам.

1.1.13. Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

1.1.14. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

1.1.15. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.1.16. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

1.1.17. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

1.1.18. Работники – субъекты трудового права, физические лица, работающие по трудовому договору у работодателя и получающие за это заработную плату.

1.1.19. Субъект персональных данных – лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

1.1.20. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.1.21. Угроза информационной безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, а также иные несанкционированные действия при их обработке в информационной системе персональных данных или без использования средств автоматизации.

1.1.22. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.1.23. Файлы «cookie» – небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя.

Используемые сокращения

  • Общество – ОАО «Финансовый Альянс».
  • ВНД – Внутренний нормативный документ.
  • ДПИБ – Департамент по информационной безопасности.
  • ИСПДн – Информационная система персональных данных.
  • ПДн – Персональные данные.
  • Политика – Политика ОАО «Финансовый Альянс» в отношении обработки персональных данных (ПДн).

2. Общие положения

2.1. Настоящая Политика определяет принципы, условия и способы обработки ПДн, в том числе защиты ПДн в Обществе.

2.2. Настоящая Политика разработана в целях обеспечения необходимого и достаточного уровня информационной безопасности ПДн и процессов, связанных с их обработкой, а также для обеспечения защиты прав и свобод субъектов ПДн при обработке их ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

2.3. В Обществе обработка и обеспечение безопасности ПДн осуществляется в соответствии с законодательством Кыргызской Республики, ВНД Общества в области ПДн, в том числе требованиями к защите ПДн.

2.4. ПДн являются конфиденциальной, строго охраняемой информацией. На них распространяются все требования, установленные ВНД Общества к защите конфиденциальной информации.

2.5. Законодательные и иные нормативные правовые акты Кыргызской Республики, ВНД, в соответствии с которыми определяется Политика в отношении обработки ПДн в ОАО «Финансовый Альянс».

2.5.1.1. Политика обработки ПДн в ОАО «Финансовый Альянс» определяется в соответствии со следующими нормативными правовыми актами законодательства: Конституция Кыргызской Республики.

2.6. Требования настоящей Политики распространяются на всех работников Общества.

2.7. Владельцем настоящей Политики является ДПИБ.

3. Цели, условия и порядок обработки ПДн, а также перечень ПДн, обрабатываемых в Обществе

3.1. Содержание и объем обрабатываемых в Обществе ПДн соответствует заявленным целям обработки:

3.1.1. Ведение кадрового и бухгалтерского учета

3.1.1.1. Обрабатываемые ПДн: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; пол; адрес места жительства; адрес регистрации; номер телефона; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете.

3.1.1.2. Категории субъектов, ПДн которых обрабатываются: работники; родственники работников; уволенные работники; контрагенты; представители контрагентов; студенты.

3.1.1.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн; обработка ПДн необходима для достижения целей, предусмотренных международным договором Кыргызской Республики или законом, для осуществления и выполнения возложенных законодательством Кыргызской Республики на оператора функций, полномочий и обязанностей; обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн.

3.1.1.4. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

3.1.1.5. Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.

3.1.2. Обеспечение соблюдения трудового законодательства КР

3.1.2.1. Обрабатываемые ПДн: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; пол; адрес места жительства; адрес регистрации; номер телефона; ИНН; гражданство; данные документа, удостоверяющего личность; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; данные свидетельства о рождении детей, данные свидетельства о браке.

3.1.2.2. Категории субъектов, ПДн которых обрабатываются: работники; родственники работников; уволенные работники.

3.1.2.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн; обработка ПДн необходима для достижения целей, предусмотренных международным договором Кыргызской Республики или законом, для осуществления и выполнения возложенных законодательством Кыргызской Республики на оператора функций, полномочий и обязанностей.

3.1.2.4. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

3.1.2.5. Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.

3.1.3. Обеспечение соблюдения налогового законодательства КР

3.1.3.1. Обрабатываемые ПДн: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес регистрации; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Кыргызской Республики.

3.1.3.2. Категории субъектов, ПДн которых обрабатываются: работники.

3.1.3.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн; обработка ПДн необходима для достижения целей, предусмотренных международным договором Кыргызской Республики или законом, для осуществления и выполнения возложенных законодательством Кыргызской Республики на оператора функций, полномочий и обязанностей.

3.1.3.4. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

3.1.3.5. Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.

3.1.4. Обеспечение соблюдения пенсионного законодательства КР

3.1.4.1. Обрабатываемые ПДн: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес регистрации; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Кыргызской Республики; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); данные свидетельства о рождении детей.

3.1.4.2. Категории субъектов, ПДн которых обрабатываются: работники; уволенные работники.

3.1.4.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн; обработка ПДн необходима для достижения целей, предусмотренных международным договором Кыргызской Республики или законом, для осуществления и выполнения возложенных законодательством Кыргызской Республики на оператора функций, полномочий и обязанностей.

3.1.4.4. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

3.1.4.5. Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.

3.1.5. Обеспечение соблюдения страхового законодательства КР

3.1.5.1. Обрабатываемые ПДн: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; пол; номер телефона; данные документа, удостоверяющего личность.

3.1.5.2. Категории субъектов, ПДн которых обрабатываются: клиенты.

3.1.5.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн.

3.1.5.4. Перечень действий: сбор; передача (предоставление, доступ).

3.1.5.5. Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.

3.1.6. Обеспечение соблюдения законодательства КР о противодействии легализации финансированию терроризма

3.1.6.1. Обрабатываемые ПДн: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; доходы; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Кыргызской Республики.

3.1.6.2. Категории субъектов, ПДн которых обрабатываются: работники; клиенты; выгодоприобретатели по договорам; субъект ПДн, предоставивший согласие на трансграничную передачу ПДн; законные представители; иные категории субъектов ПДн, ПДн которых обрабатываются; члены Совета Директоров и члены Правления.

3.1.6.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн; обработка ПДн необходима для достижения целей, предусмотренных международным договором Кыргызской Республики или законом, для осуществления и выполнения возложенных законодательством Кыргызской Республики на оператора функций, полномочий и обязанностей; обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн.

3.1.6.4. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

3.1.6.5. Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.

3.1.7. Обеспечение соблюдения законодательства КР о противодействии коррупции

3.1.7.1. Обрабатываемые ПДн: фамилия, имя, отчество; адрес электронной почты; ИНН; данные документа, удостоверяющего личность; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации).

3.1.7.2. Категории субъектов, ПДн которых обрабатываются: работники; контрагенты; представители контрагентов; клиенты; субъект ПДн, предоставивший согласие на трансграничную передачу ПДн; законные представители; иные категории субъектов ПДн, ПДн которых обрабатываются; члены Совета Директоров и члены Правления.

3.1.7.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн; обработка ПДн необходима для достижения целей, предусмотренных международным договором Кыргызской Республики или законом, для осуществления и выполнения возложенных законодательством Кыргызской Республики на оператора функций, полномочий и обязанностей.

3.1.7.4. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

3.1.7.5. Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.

3.1.8. Подготовка, заключение и исполнение гражданско-правового договора

3.1.8.1. Обрабатываемые ПДн: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; ИНН; гражданство; данные документа, удостоверяющего личность; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации).

3.1.8.2. Категории субъектов, ПДн которых обрабатываются: контрагенты; представители контрагентов; клиенты; выгодоприобретатели по договорам; субъект ПДн, предоставивший согласие на трансграничную передачу ПДн; иные категории субъектов ПДн, ПДн которых обрабатываются; члены Совета Директоров и члены Правления.

3.1.8.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн; обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн.

3.1.8.4. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

3.1.8.5. Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.

3.1.9. Добровольное медицинское страхование

3.1.9.1. Обрабатываемые ПДн:

3.1.9.1.1. Общедоступные ПДн: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес места жительства; адрес регистрации; гражданство; данные документа, удостоверяющего личность; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации).

3.1.9.1.2. Специальные ПДн: сведения о состоянии здоровья.

3.1.9.2. Категории субъектов, ПДн которых обрабатываются: работники.

3.1.9.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его персональных данных.

3.1.9.4. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

3.1.9.5. Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.

3.1.10. Продвижение товаров, работ, услуг на рынке

3.1.10.1. Обрабатываемые ПДн: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; пол; адрес электронной почты; номер телефона.

3.1.10.2. Категории субъектов, ПДн которых обрабатываются: клиенты.

3.1.10.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн.

3.1.10.4. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

3.1.10.5. Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.

3.1.11. Обеспечение пропускного режима на территорию оператора

3.1.11.1. Обрабатываемые ПДн:

3.1.11.1.1. Общедоступные ПДн: фамилия, имя, отчество; данные документа, удостоверяющего личность.

3.1.11.1.2. Биометрические ПДн: данные изображения лица, полученные с помощью фото- видео устройств, позволяющие установить личность субъекта ПДн.

3.1.11.2. Категории субъектов, ПДн которых обрабатываются: работники; соискатели; контрагенты; представители контрагентов; студенты.

3.1.11.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн.

3.1.11.4. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

3.1.11.5. Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.

3.1.12. Подбор персонала (соискателей) на вакантные должности оператора

3.1.12.1. Обрабатываемые ПДн: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; ИНН; гражданство; данные документа, удостоверяющего личность; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании.

3.1.12.2. Категории субъектов, ПДн которых обрабатываются: соискатели.

3.1.12.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн.

3.1.12.4. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

3.1.12.5. Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.

3.1.13. Обеспечение прохождения ознакомительной, производственной или преддипломной практики на основании договора с учебным заведением

3.1.13.1. Обрабатываемые ПДн: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; ИНН; данные документа, удостоверяющего личность; сведения об образовании.

3.1.13.2. Категории субъектов, ПДн которых обрабатываются: студенты.

3.1.13.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн.

3.1.13.4. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

3.1.13.5. Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.

3.1.14. Осуществление прав, выполнение обязанностей и соблюдение запретов, предусмотренных нормами законодательства Соединенных Штатов Америки (FATCA, Foreign Account Tax Compliance Act — Закон о налогообложении иностранных счетов)

3.1.14.1. Обрабатываемые ПДн: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; адрес регистрации; гражданство; данные документа, удостоверяющего личность; адрес регистрации за пределами Кыргызской Республики; номер TIN (Taxpayer Identification Number — идентификационный номер налогоплательщика США).

3.1.14.2. Категории субъектов, ПДн которых обрабатываются: клиенты; субъект ПДн, предоставивший согласие на трансграничную передачу ПДн.

3.1.14.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн.

3.1.14.4. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

3.1.14.5. Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.

3.1.15. Осуществление прав, выполнение обязанностей и соблюдение запретов, предусмотренных нормами AML законодательства (Anti-Money Laundering, Противодействие отмыванию денег) в рамках процедуры «Знай своего клиента»

3.1.15.1. Обрабатываемые ПДн: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; гражданство; данные документа, удостоверяющего личность.

3.1.15.2. Категории субъектов, ПДн которых обрабатываются: работники; субъект персональных данных, предоставивший согласие на трансграничную передачу ПДн; иные категории субъектов ПДн, ПДн которых обрабатываются; члены Совета Директоров и члены Правления.

3.1.15.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн; обработка ПДн необходима для достижения целей, предусмотренных международным договором Кыргызской Республики или законом, для осуществления и выполнения возложенных законодательством Кыргызской Республики на оператора функций, полномочий и обязанностей.

3.1.15.4. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

3.1.15.5. Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.

3.1.16. Обработка биометрических ПДн в целях размещения и обновления биометрических ПДн в Единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических ПДн физических лиц

3.1.16.1. Обрабатываемые ПДн:

3.1.16.1.1. Общедоступные ПДн: фамилия, имя, отчество; пол; адрес электронной почты; номер телефона; ИНН; гражданство; данные документа, удостоверяющего личность.

3.1.16.1.2. Биометрические ПДн: данные изображения лица, полученные с помощью фото- видео устройств, позволяющие установить личность субъекта ПДн; данные голоса человека.

3.1.16.2. Категории субъектов, ПДн которых обрабатываются: работники; контрагенты; представители контрагентов; клиенты.

3.1.16.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн.

3.1.16.4. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

3.1.16.5. Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.

3.1.17. Организация обучения работников

3.1.17.1. Обрабатываемые ПДн: фамилия, имя, отчество; адрес электронной почты; номер телефона; СНИЛС; данные документа, удостоверяющего личность; должность; сведения об образовании.

3.1.17.2. Категории субъектов, ПДн которых обрабатываются: работники; субъект ПДн, предоставивший согласие на трансграничную передачу ПДн.

3.1.17.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн.

3.1.17.4. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

3.1.17.5. Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.

4. Принципы и условия обработки ПДн в ОАО «Финансовый Альянс»

4.1. В Обществе соблюдаются следующие принципы обработки ПДн:

4.1.1. Обработка ПДн осуществляется в соответствии с конкретными заранее определенными и законными целями и производится только до момента достижения этих целей.

4.1.2. Содержание и объем ПДн не противоречат заявленным целям, не являются избыточными по отношению к ним.

4.1.3. При обработке ПДн в Обществе обеспечиваются точность, достаточность, актуальность ПДн по отношению к целям обработки за счет применения необходимых мер по удалению или уточнению неполных, или неточных данных.

4.1.4. Объединение баз данных, содержащих ПДн, цели обработки которых не совместимы между собой, недопустимо.

4.1.5. Хранение ПДн субъектов ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки в соответствии со сроками хранения, определяемыми законодательством Кыргызской Республики и ВНД Общества:

  • ПДн, содержащиеся в приказах по личному составу работников Общества (о приеме, о переводе, об увольнении, об установлении надбавок), подлежат хранению в кадровом подразделении Общества в течение трех лет, с последующим формированием и передачей указанных документов в архив Общества в порядке, предусмотренном законодательством Кыргызской Республики, где хранятся в течение 50/75 лет;
  • ПДн, содержащиеся в личных делах и личных карточках работников Общества, хранятся в кадровом подразделении Общества в течение трех лет после увольнения с последующим формированием и передачей указанных документов в архив Общества, где хранятся в течение 50/75 лет;
  • сроки обработки и хранения ПДн, предоставляемых субъектами ПДн в Общество в связи с получением услуг, определяются внутренними нормативными документами Общества, регламентирующими порядок их сбора и обработки;
  • ПДн, содержащиеся в приказах о поощрениях, материальной помощи работников Общества, подлежат хранению в кадровом подразделении Общества в течение трех лет с последующим формированием и передачей указанных документов в архив Общества, где хранятся в течение 50/75 лет;
  • ПДн, содержащиеся в приказах о предоставлении отпусков, о краткосрочных командировках, о дисциплинарных взысканиях работников Общества, подлежат хранению в кадровом подразделении Общества в течение пяти лет с последующим уничтожением;
  • срок хранения ПДн, внесенных в ИСПДн, соответствует сроку хранения бумажных оригиналов.

4.1.6. В случае выявления неправомерной обработки ПДн при обращении Субъекта ПДн или его представителя либо по запросу Субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн Общество в течение трех рабочих дней от даты этого выявления осуществляет блокирование неправомерно обрабатываемых ПДн, относящихся к этому Субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества). В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Общество осуществляет блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

4.1.7. В случае подтверждения факта неточности ПДн на основании сведений, представленных Субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов Общество обязано уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.

4.1.8. В случае выявления неправомерной обработки ПДн, осуществляемой Обществом или лицом, действующим по поручению Общества, Общество в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку ПДн или обеспечивает прекращение неправомерной обработки ПДн лицом, действующим по поручению Общества. В случае, если обеспечить правомерность обработки ПДн невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, уничтожает такие ПДн или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Общество уведомляет Субъекта ПДн или его представителя, а в случае, если обращение Субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.

4.1.9. В случае достижения цели обработки ПДн Общество прекращает обработку ПДн или обеспечивает ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) и уничтожает соответствующие ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати календарных дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПДн, иным соглашением между Обществом и Субъектом ПДн либо если Общество не вправе осуществлять обработку ПДн без согласия Субъекта ПДн на основаниях, предусмотренных Законом.

4.1.10. По достижении целей обработки или в случае утраты необходимости их достижения ПДн подлежат уничтожению в соответствии с законодательством.

4.2. В Обществе соблюдаются следующие условия обработки ПДн:

4.2.1. Обработка ПДн в Обществе осуществляется только с согласия субъекта ПДн на обработку его ПДн, если иное не предусмотрено законодательством.

4.2.2. Общество вправе поручить обработку ПДн третьему лицу, в том числе находящемуся за пределами Кыргызской Республики (трансграничная передача) с согласия субъекта ПДн на основании заключаемого с этим лицом договора.

4.2.3. Общество несет ответственность перед субъектом ПДн за обработку ПДн, в том числе выполняемую третьим лицом на основании договора между Обществом и таким третьим лицом. В случае, если Общество поручает обработку ПДн иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом ПДн за действия указанных лиц несет Общество и лицо, осуществляющее обработку ПДн по поручению Общества.

4.2.4. Работники Общества, имеющие доступ к ПДн, не раскрывают ПДн третьим лицам и не распространяют их без согласия субъекта ПДн, если иное не предусмотрено законодательством или договором между Обществом и субъектом ПДн.

4.2.5. Общество обрабатывает обезличенные данные о пользователе в случае, если это разрешено в настройках браузера пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).

4.2.6. В случае принятия решения о запрещении или об ограничении трансграничной передачи ПДн уполномоченным органом по защите прав субъектов ПДн Общество обеспечивает уничтожение органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им ПДн.

5. Права субъекта ПДн

5.1. В установленном законодательством КР порядке субъект ПДн вправе получать доступ к следующим сведениям:

5.1.1. Подтверждение факта обработки ПДн Обществом.

5.1.2. Правовые основания и цели обработки ПДн.

5.1.3. Цели и применяемые Обществом способы обработки ПДн.

5.1.4. Наименование и место нахождения оператора, сведения о лицах (за исключением работников ОАО «Финансовый Альянс»), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Обществом.

5.1.5. Обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен Законом.

5.1.6. Сроки обработки ПДн, в том числе сроки их хранения.

5.1.7. Порядок реализации субъектом ПДн своих прав.

5.1.8. Информация об осуществленной или о предполагаемой трансграничной передаче ПДн.

5.1.9. Наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена или будет поручена такому лицу.

5.1.10. Информация о способах исполнения Обществом обязанностей.

5.1.11. Иные сведения.

5.2. Субъект ПДн имеет право на:

5.2.1. Принятие предусмотренных законом мер по защите своих прав.

5.2.2. Уточнение, блокирование или уничтожение его ПДн в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или избыточными по отношению к заявленной цели обработки.

5.2.3. Получение сведений, указанных в п. 5.1 настоящей Политики, в полном объеме, а также ознакомление с обрабатываемыми ПДн при направлении запроса или обращения в ОАО «Финансовый Альянс».

5.2.4. Повторное обращение или запрос на предоставление информации об обрабатываемых ПДн в случае, если они не были предоставлены в полном объеме относительно первоначального запроса.

5.2.5. Обжалование действия или бездействия Общества в уполномоченный орган в случае осуществления Обществом обработки ПДн субъекта с нарушением требований законодательства, а также прав и свобод субъекта ПДн, в судебном порядке.

5.2.6. Компенсацию морального вреда независимо от возмещения имущественного вреда и понесенных субъектом ПДн убытков и возмещение убытков в судебном порядке.

5.2.7. Отзыв своего согласия на обработку ПДн.

6. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных законодательством Кыргызской Республики о персональных данных

6.1. ОАО «Финансовый Альянс» при осуществлении обработки ПДн:

6.1.1. Назначает лицо, ответственное за организацию обработки ПДн в Обществе, которое доводит до работников Общества положения законодательства Кыргызской Республики и ВНД Общества в области ПДн и осуществляет внутренний контроль за их соблюдением.

6.1.2. Применяет правовые, организационные и технические меры для защиты ПДн от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления ПДн, а также от иных неправомерных действий в отношении ПДн.

6.1.3. Издает ВНД, определяющие политику и вопросы обработки и защиты ПДн в Обществе, а также устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Кыргызской Республики, устранение последствий таких нарушений.

6.1.4. В соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПДн, проводит оценку вреда, который может быть причинен субъектам ПДн в случае нарушения действующего законодательства, соотносит указанный вред и принимаемые оператором меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом.

6.1.5. Осуществляет ознакомление работников Общества, непосредственно осуществляющих обработку ПДн, с положениями законодательства Кыргызской Республики и ВНД Общества в области ПДн, в том числе требованиями к защите ПДн, и проводит обучение указанных работников.

6.1.6. Публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике.

6.1.7. При обращении либо получении запроса субъекта ПДн или его законного представителя на доступ к ПДн ОАО «Финансовый Альянс» предоставляет ему сведения, указанные в п. 5.1 настоящей Политики, в доступной форме, не раскрывая при этом ПДн, относящихся к другим субъектам ПДн, за исключением случаев наличия законного основания.

6.1.8. Устраняет нарушения законодательства, допущенные при обработке ПДн, в установленном порядке.

6.1.9. Прекращает обработку и уничтожает ПДн в случаях, предусмотренных законодательством Кыргызской Республики в области ПДн и в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПДн.

6.1.10. Совершает иные действия, предусмотренные законодательством Кыргызской Республики в области ПДн.

7. Меры, принимаемые ОАО «Финансовый Альянс» для обеспечения безопасности ПДн

7.1. В ОАО «Финансовый Альянс» реализуются следующие необходимые и достаточные меры по защите ПДн:

7.1.1. Назначение лица, ответственного за организацию обработки ПДн.

7.1.2. Распределение обязанностей и установление персональной ответственности лиц, осуществляющих обработку ПДн, за нарушение правил обработки ПДн, установленных ВНД Общества и законодательством Кыргызской Республики.

7.1.3. Принятие ВНД и иных документов в области обработки и защиты ПДн.

7.1.4. Обособление ПДн, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях ПДн, в специальных разделах.

7.1.5. Исключение объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

7.1.6. Осуществление внутреннего контроля соответствия обработки Закону и нормативным правовым актам, требованиям к защите ПДн, настоящей Политике, ВНД Общества.

7.1.7. Организация пропускного режима в помещениях, в которых обрабатываются ПДн.

7.1.8. Организация работы с документами и материальными носителями, содержащими ПДн.

7.1.9. Реализация необходимых организационных и технических мер для обеспечения безопасности ПДн от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

7.1.10. Назначение ответственного за организацию обработки ПДн в Обществе в целях координации действий по обеспечению безопасности ПДн.

7.1.11. Контроль за реализацией требований информационной безопасности при обработке ПДн.

7.1.12. Иные меры по обеспечению безопасности обрабатываемых в Обществе ПДн.

8. Контроль за соблюдением законодательства КР и ВНД ОАО «Финансовый Альянс» в области ПДн

8.1. Организация и осуществление внутреннего контроля за соблюдением подразделениями Общества законодательства Кыргызской Республики и ВНД ОАО «Финансовый Альянс» в области ПДн, в том числе требований к защите ПДн, обеспечиваются лицом, ответственным за организацию обработки ПДн в Обществе.

8.2. Внутренний контроль соответствия обработки ПДн Закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящей Политике, ВНД Общества осуществляет ДПИБ.

8.3. Ответственность за соблюдение требований законодательства Кыргызской Республики и ВНД Общества в области ПДн, а также за обеспечение конфиденциальности и безопасности ПДн в подразделениях Общества возлагается на их руководителей.

9. Заключительные положения

9.1. Настоящая Политика утверждается генеральным директором Общества и вступает в силу с момента утверждения.

9.2. Настоящая Политика подлежит размещению на официальном сайте ОАО «Финансовый Альянс».

9.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки ПДн в Обществе.

9.4. Ответственность должностных лиц Общества, имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн, определяется в соответствии с законодательством Кыргызской Республики и внутренними документами ОАО «Финансовый Альянс».

9.5. Пересмотр настоящей Политики должен производиться в случае изменения законодательства в области ПДн и специальных нормативных документов по обработке и защите ПДн, изменения бизнес-процессов Общества, требующих изменения перечня обрабатываемых ПДн, а также по результатам анализа инцидентов информационной безопасности, актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности банковских информационных технологических процессов, но не реже одного раза в три года.

9.6. Ответственным за актуализацию Политики является ответственное лицо Общества за информационную безопасность.