Общество самостоятельно или совместно с другими лицами организует и (или)
осуществляет обработку ПДн, а также определяет цели обработки ПДн, состав ПДн,
подлежащих обработке, действия (операции), совершаемые с ПДн.
Обработка ПДн субъектов ПДн осуществляется в Обществе в следующих целях, в
зависимости от выбранного Пользователем типа Сервиса:
– осуществление хозяйственной деятельности, направленной на удовлетворение
общественных потребностей физических и юридических лиц в работах, товарах и услугах
в соответствии с Уставом Общества;
– исполнение договоров, сторонами которых является, с одной стороны, Банк и иные
третьи лица в качестве оператора ПДн, а с другой, юридические и физические лица –
пользователи системы и Терминала O.Pay;
– обеспечение осуществления расчетов Пользователя с применением электронных
средств платежа с помощью Мобильного приложения;
– предоставление персональных данных Пользователей лицам, определяемым в
соответствии с настоящей Политикой в целях принятия указанными лицами решений на
основании предоставленных Пользователем персональных данных;
– использование обезличенных персональных данных для статистических целей;
– исполнение договоров, сторонами которых либо выгодоприобретателями или
поручителями, по которым являются субъекты персональных данных, а также заключение
договоров по инициативе субъектов персональных данных или договоров, по которым
субъекты персональных данных будут являться выгодоприобретателями или
поручителями;
– исполнение запросов субъектов персональных данных уполномоченных
государственных и муниципальных органов, а также;
– проведение рекламных и маркетинговых акций, в том числе рекламных и маркетинговых
акций третьих лиц;
– кадровое обеспечение деятельности Общества;
– ведение бухгалтерского учета и составление налоговой отчетности.
Обработка ПДн должна осуществляться на законной и справедливой основе. Обработке
подлежат только ПДн, которые отвечают целям их обработки. Обработка ПДн должна
ограничиваться достижением конкретных, заранее определенных и законных целей. Не
допускается обработка ПДн, не совместимая с целями сбора ПДн. Содержание и объем
обрабатываемых ПДн должны соответствовать заявленным целям обработки.
Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки. Не допускается объединение баз данных, содержащих ПДн, обработка
которых осуществляется в целях, несовместимых между собой.
При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в
необходимых случаях и актуальность по отношению к целям обработки ПДн. В Обществе
должны приниматься необходимые меры по удалению или уточнению неполных или
неточных данных. Ответственность за своевременное предоставление в Общество
сведений об изменении ПДн, обрабатываемых в Обществе, возлагается на субъектов
ПДн, которым они принадлежат.
Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн,
не дольше, чем этого требуют цели обработки ПДн, если иной срок хранения ПДн не
установлен федеральным законом, договором, стороной которого, выгодоприобретателем
или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн подлежат
уничтожению либо обезличиванию по достижении целей обработки или в случае утраты
необходимости в достижении этих целей, если иное не предусмотрено федеральным
законом.
Обработка в Обществе специальных категорий ПДн, касающихся расовой, национальной
принадлежности, политических взглядов, религиозных или философских убеждений,
состояния здоровья, интимной жизни, допускается только в случаях, предусмотренных
федеральным законодательством. Обработка указанных специальных категорий ПДн
должна быть незамедлительно прекращена, если устранены причины, вследствие
которых осуществлялась их обработка, если иное не установлено федеральным законом.
Биометрические ПДн, которые используются для установления личности субъекта ПДн,
могут обрабатываться в Обществе только при наличии согласия в письменной форме
субъекта ПДн, за исключением случаев, предусмотренных ч. 2 ст. 11 ФЗ «О персональных
данных».
Обработка ПДн в Обществе может осуществляться:
– работниками Общества;
– другими лицами, осуществляющими обработку ПДн по поручению Общества.
Общество вправе поручить обработку персональных данных другому лицу с согласия
субъекта персональных данных, если иное не предусмотрено федеральным законом, на
основании заключаемого с этим лицом договора. Обработка ПДн другими лицами может
осуществляться на основании соответствующего договора/соглашения с Обществом, в
котором содержится поручение на обработку ПДн. В поручении должны быть определены
перечень действий (операций) с ПДн, которые будут совершаться лицом,
осуществляющим обработку ПДн, и цели обработки, должна быть установлена
обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать
безопасность ПДн при их обработке, а также должны быть указаны требования к защите
обрабатываемых ПДн в соответствии со статьей 19 ФЗ «О персональных данных».
Обработка ПДн в Обществе может осуществляться как с использованием, так и без
использования средств автоматизации.
Автоматизированная обработка ПДн должна осуществляться в ИСПДн Общества в
строгом соответствии с настоящей политикой.
В Обществе запрещается принятие на основании исключительно автоматизированной
обработки ПДн решений, порождающих юридические последствия в отношении субъекта
ПДн или иным образом затрагивающих его права и законные интересы, за исключением
случаев, предусмотренных законодательством РФ.
Неавтоматизированная обработка ПДн должна осуществляться таким образом, чтобы
ПДн обособлялись от иной информации, в частности путем фиксации их на отдельных
материальных носителях ПДн, в специальных разделах или на полях форм (бланков) и
иным способом.
Лица, осуществляющие обработку ПДн без использования средств автоматизации
(работники Общества и другие лица, осуществляющие обработку ПДн по поручению
Общества), должны быть проинформированы о факте обработки ими ПДн, обработка
которых осуществляется Обществом без использования средств автоматизации,
категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления
такой обработки, установленных нормативными правовыми актами федеральных органов
исполнительной власти, органов исполнительной власти субъектов Российской
Федерации, а также нормативными документами Общества.
При неавтоматизированной обработке ПДн, предполагающей использование типовых
форм документов, характер информации в которых предполагает или допускает
включение в них ПДн (далее – типовая форма), необходимо выполнять следующие
условия:
a) типовая форма или связанные с ней документы (инструкция по ее заполнению,
карточки, реестры и журналы) должны содержать:
– сведения о цели обработки ПДн, осуществляемой без использования средств
автоматизации;
– реквизиты Общества (наименование и адрес);
– фамилию, имя, отчество и адрес субъекта ПДн;
– источник получения ПДн, сроки обработки ПДн;
– перечень действий с ПДн, которые будут совершаться в процессе их обработки;
– общее описание используемых оператором способов обработки ПДн;
b) типовая форма должна предусматривать поле, в котором субъект ПДн может поставить
отметку о своем согласии на обработку ПДн, осуществляемую без использования средств
автоматизации, – при необходимости получения письменного согласия на обработку ПДн;
c) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов
ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн,
содержащимися в документе, не нарушая прав и законных интересов иных субъектов
ПДн;
d) типовая форма должна исключать объединение полей, предназначенных для внесения
ПДн, цели обработки которых заведомо не совместимы.
При сохранении ПДн на материальных носителях не допускается сохранение на одном
материальном носителе ПДн, цели обработки которых заведомо не совместимы. Для
обработки различных категорий ПДн, осуществляемой без использования средств
автоматизации, для каждой категории ПДн следует использоваться отдельный
материальный носитель.