Пропустить навигацию
 

Политика по организации обработки и обеспечению безопасности персональных данных

1.1. В целях выполнения норм действующего законодательства Российской Федерации в полном объеме АО «АИГ» считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.

1.2. Настоящая политика по организации обработки и обеспечению безопасности персональных данных (далее – «Политика») характеризуется следующими признаками:

(1) разработана в целях реализации требований действующего законодательства Российской Федерации в области обработки и защиты персональных данных;

(2) раскрывает способы и принципы обработки АО «АИГ» персональных данных, права и обязанности АО «АИГ» при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых АО «АИГ» в целях обеспечения безопасности персональных данных при их обработке;

(3) является общедоступным документом, декларирующим концептуальные основы деятельности АО «АИГ» при обработке и защите персональных данных.

1.3. АО «АИГ» до начала обработки персональных данных осуществило уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. АО «АИГ» добросовестно и в соответствующий срок осуществляет актуализацию сведений, указанных в уведомлении.

 

2.1. В настоящем документе используются следующие сокращения и аббревиатуры:

ИСПДн

информационная система персональных данных;

Оператор

АО «АИГ»;

ПДн

персональные данные;

Политика

настоящая Политика АО «АИГ» по организации обработки и обеспечению безопасности персональных данных.

 

3.1. Оператор осуществляет обработку ПДн в соответствии с действующим законодательством РФ о ПДн, руководствуясь следующими правовыми основаниями:

(1)     Конституцией РФ (ст.ст.23, 24);

(2)     Трудовым кодексом РФ (ст.ст.65, 66, 86-90, 166);

(3)     Налоговым кодексом РФ (ст.226);

(4)     Гражданским кодексом РФ (гл.гл.39, 40, 52);

(5)     Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (ч.1 ст.6);

(6)     Федеральным законом от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации» (ст.11);

(7)     Федеральным законом от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» (ст.ст.6, 9, 11);

(8)     Федеральным законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации» (ст.38);

(9)     Федеральным законом от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством» (ч.4 ст.13);

(10)  Федеральным законом от 28.12.2013 № 426-ФЗ «О специальной оценке условий труда» (ч.2 ст.4, ст.ст.7, 8);

(11)   постановлением Госкомстата РФ от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты» (п.2);

(12)  постановлением Минтруда РФ от 24.10.2002 № 73 «Об утверждении форм документов, необходимых для расследования и учета несчастных случаев на производстве, и положения об особенностях расследования несчастных случаев на производстве в отдельных отраслях и организациях» (п.2 Приложения №2);

(13)  постановлением Минтруда РФ, Минобразования РФ от 13.01.2003 № 1/29 «Об утверждении Порядка обучения по охране труда и проверки знаний требований охраны труда работников организаций» (п.1.2);

(14)  Федеральный закон от 27 ноября 1992 года № 4015-I «Об организации страхового дела в Российской Федерации»;

(15)  Федеральный закон от 10.12.2003 № 172-ФЗ (ред. от 23.07.2013) «О внесении изменений и дополнений в Закон Российской Федерации «Об организации страхового дела в Российской Федерации» и признании утратившими силу некоторых законодательных актов Российской Федерации»;

(16)  Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;

(17)  Федеральный закон от 27.07.2010 № 225-ФЗ «Об обязательном страховании гражданской ответственности владельца опасного объекта за причинение вреда в результате аварии на опасном объекте»;

(18)  Федеральный закон от 25.04.2002 № 40-ФЗ «Об обязательном страховании гражданской ответственности владельцев транспортных средств;

(19)  Постановление правительства РФ № 263 от 7 мая 2003 г. «Об утверждении Правил обязательного страхования гражданской ответственности владельцев транспортных средств;

(20)  Приказ Министерства финансов РФ № 67н от 1 июля 2009 г. «Об установлении формы заявления о заключении договора обязательного страхования гражданской ответственности владельцев транспортных средств, формы страхового полиса обязательного страхования гражданской ответственности владельцев транспортных средств, формы документа, содержащего сведения о страховании гражданской ответственности владельцев транспортных средств по договору обязательного страхования»;

(21) Постановление правительства РФ №739 от 8 декабря 2005 г. «Об утверждении страховых тарифов по обязательному страхованию гражданской ответственности владельцев транспортных средств, их структуры и порядка применения страховщиками при определении страховой премии»;

(22)  Приказ МВД России от 1 апреля 2011 г. № 154 «Об утверждении формы Справки о дорожно-транспортном происшествии»;

(23)  Приказ МВД России от 23 мая 2008 г. N 449 «Об утверждении формы бланка Извещения о дорожно-транспортном происшествии»;

(24)  Федеральный закон от 07.08.2001 N 115-ФЗ (ред. от 29.06.2015) «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;

(25)  Уставом Оператора;

(26)  согласиями субъектов ПДн (сотрудников, соискателей, участников стимулирующих мероприятий и иных лиц) на обработку их ПДн;

(27)  договорами, стороной которых либо выгодоприобретателем или поручителем по которым являются субъекты ПДн.

 

4.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки ПДн, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

4.2. Оператор осуществляет сбор и дальнейшую обработку ПДн в следующих целях:

(1) заключение, сопровождение, исполнение и расторжение Оператором договоров страхования и перестрахования, включая процесс анализа и оценки страховых рисков;

(2) урегулирование Оператором убытков при наступлении страховых случаев по договорам страхования и перестрахования, включая прием заявлений и обращений, осуществление Оператором страховых выплат при наступлении страховых случаев по договорам страхования и перестрахования;

(3) взаимодействие со страховыми посредниками, осуществляющими привлечение застрахованных лиц в пользу Оператора, в том числе ведение Оператором деловых переговоров с указанными страховые посредниками, заключение, сопровождение, изменение, расторжение агентских договоров, сопровождение процессов урегулирования убытков, а также осуществление Оператором контроля деятельности страховых посредников по выполнению обязанностей, предусмотренных указанными договорами;

(4) поставка товаров, выполнение работ и оказание услуг в пользу Оператора со стороны контрагентов (вендоров), а также осуществление Оператором процедур закупок у указанных контрагентов и ведение Оператором деловых переговоров с указанными контрагентами;

(5) осуществление Оператором взаимных расчетов с клиентами и контрагентами;

(6) рассмотрение и учет обращений (запросов, заявлений, предложений, комментариев, претензий, благодарностей), поступающих Оператору от клиентов и иных лиц, и осуществление Оператором информационного обслуживания[1] указанных лиц, а также осуществление контроля качества обслуживания клиентов и иных лиц;

(7) предложение Оператором своих услуг клиентам и потенциальным клиентам, а также участие Оператора в процедурах закупок указанных лиц и ведение Оператором деловых переговоров с указанными лицами;

(8) организация и проведение стимулирующих мероприятий, направленных на повышение узнаваемости и потребительской лояльности в отношении Оператора, а также на продвижение услуг Оператора;

(9)     принятие Оператором мер должной осмотрительности при взаимодействии с действительными и потенциальными клиентами, контрагентами, застрахованными лицами, выгодоприобретателями и другими третьими лицами, включающее в себя оценку соответствующих юридических, финансовых, репутационных и иных рисков;

(10) оформление Оператором доверенностей в рамках наделения сотрудников и иных лиц специальными полномочиями для выполнения возложенных на них трудовых функций и (или) представления интересов Оператора;

(11) участие Оператора в гражданском, арбитражном, уголовном, административном процессах, а также исполнение судебных актов;

(12) замещение вакантных должностей в Операторе соискателями, наиболее полно соответствующими требованиям Оператора;

(13) оказание Оператором помощи лицам, являющимся гражданами иностранных государств, в получении разрешений на работу в Российской Федерации и в оформлении въездных виз в Российскую Федерацию;

(14) соблюдение Оператором трудового законодательства и иных актов, содержащих нормы трудового права, включая учет труда и его оплату, принятие управленческих и кадровых решений в отношении сотрудников, контроль трудовой дисциплиной;

(15) осуществление Оператором расчета и выплаты сотрудникам причитающейся им заработной платы, компенсаций и премий, осуществление пенсионных и налоговых отчислений, а также расчет с подотчетными лицами;

(16) организация и (или) осуществление Оператором обучения, повышения квалификации и проверки знаний для своих сотрудников;

(17) содействие Оператора сотрудникам в общественном признании их профессиональных достижений и личных заслуг, талантов, способностей, а также мотивирование сотрудников;

(18) выполнение Оператором принятых на себя социальных обязательств в отношении сотрудников и их родственников в виде предоставления им возможность участвовать в программах добровольного медицинского страхования, страхования жизни, страхования от несчастного случая и страхования на случай возникновения критических заболеваний;

(19) оформление Оператором командировочных документов для сотрудников, а также осуществление Оператором организации и управления деловыми поездками сотрудников;

(20) организация Оператором обучения, инструктажа, проверки знаний сотрудников и иных лиц по охране труда и технике безопасности, а также проведение специальной оценки условий труда;

(21) содействие Оператором сотрудникам в облегчении и повышении эффективности коммуникаций между ними;

(22) содействие Оператором сотрудникам в надлежащем выполнении ими возложенных на них трудовых функций посредством выдачи визитных карточек и предоставления корпоративных мобильных телефонов;

(23)  обеспечение личной безопасности и защита жизни, здоровья сотрудников и иных лиц, посещающих объекты недвижимости (помещения, здания, территорию) Оператора, а также обеспечение сохранности материальных и иных ценностей, находящихся в ведении Оператора;

(24) предоставление Оператором служебных транспортных средств сотрудникам для обеспечения текущей деятельности Оператора, для учета и возмещения расходов на эксплуатацию предоставленных транспортных средств, для контроля надлежащего использования и сохранности предоставленных транспортных средств;

(25) выделение (подключение) средств вычислительных средств и оргтехники, находящихся в ведении Оператора, а также управление доступом к ресурсам информационных систем Оператора;

(26) решение проблем, возникающих в процессе работы со средствами вычислительной техники и оргтехникой, находящихся в ведении Оператора, а также при доступе к ресурсам информационных систем;

(27) предоставление Оператором сотрудникам служебных сервисов по использованию мобильной радиосвязи и по доступу к информационно-телекоммуникационной сети «Интернет», а также обеспечение эффективного управления и контроля затрат на предоставление данных сервисов;

(28) организация и осуществление независимой проверки бухгалтерской (финансовой) отчетности Оператора в целях выражения мнения о достоверности такой отчетности;

(29)  организация и осуществление в Операторе внешнего и внутреннего контроля бизнес-процессов и качества оказываемых услуг на соответствие требованиям локальных и глобальных политик Оператора и процедур, российского и международного законодательства, а также применимых стандартов;

(30) организация и осуществление Оператором мероприятий в целях предупреждения, выявления и пресечения деяний, связанных с легализацией (отмыванием) доходов, полученных преступным путем, и финансированию терроризма, в соответствии с требованиями российского законодательства, в том числе идентификация и подтверждение соответствия должностных лиц, акционеров (и их бенефициаров) клиентов Оператора требованиям к деловой репутации;

(31) осуществление Оператором правильного учета, надлежащего хранения и уничтожения по истечении сроков хранения отдельных категорий материальных носителей информации.

4.3. Оператор установил следующие условия прекращения обработки ПДн:

(1) достижение целей обработки ПДн и максимальных сроков хранения;

(2) утрата необходимости в достижении целей обработки ПДн;

(3) предоставление субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;

(4) невозможность обеспечения правомерности обработки ПДн;

(5) отзыв субъектом ПДн согласия на обработку ПДн, если сохранение ПДн более не требуется для целей обработки ПДн;

(6) истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка ПДн.

4.4. Обработка ПДн Оператором включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

4.5. Оператор осуществляет обработку специальных категорий ПДн (сведения о состоянии здоровья) во исполнение требований действующего трудового законодательства Российской Федерации.

4.6. Оператор осуществляет обработку биометрических ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта ПДн).

4.7. Оператор производит трансграничную передачу ПДн (передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу).

4.8. Оператором создаются общедоступные источники ПДн (справочники, адресные книги). ПДн, сообщаемые субъектом, включаются в такие источники только с письменного согласия субъекта ПДн или на основании требований действующего законодательства Российской Федерации.

4.9. Оператором не принимаются решения, порождающие юридические последствия в отношении субъектов ПДн или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки их ПДн.

4.10. Оператор осуществляет обработку ПДн с использованием средств автоматизации и без использования средств автоматизации.

4.11. При сборе ПДн Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, прямо предусмотренных действующим законодательством Российской Федерации о ПДн.

[1] Информационное обслуживание – обеспечение пользователей необходимой информацией, осуществляемое информационными органами и службами путем предоставления информационных услуг (п.3.2.2.1 ГОСТ 7.0-99).

 

5.1. Оператор при обработке ПДн принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности ПДн достигается, в частности, следующими способами:

(1) назначением ответственного лица за организацию обработки ПДн;

(2) осуществлением внутреннего контроля и (или) аудита соответствия обработки ПДн Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, требованиями к защите ПДн, локальными актами Оператора;

(3) ознакомлением сотрудников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, локальными актами в отношении обработки ПДн и (или) обучением указанных сотрудников;

(4) определением угроз безопасности ПДн при их обработке в ИСПДн;

(5) применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн;

(6) оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;

(7) организацией режима безопасности помещений, в которых осуществляется обработка ПДн и (или) размещены ИСПДн Оператора;

(8) определением мест хранения материальных носителей ПДн, а также обеспечением учета и сохранности материальных носителей ПДн;

(9) выявлением фактов несанкционированного доступа к ПДн и принятием соответствующих мер;

(10) восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

(11) установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;

(12) контролем над принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ИСПДн.

5.2. Обязанности сотрудников Оператора, осуществляющих обработку и защиту ПДн, а также их ответственность, определяются в «Положении об организации обработки и обеспечении безопасности персональных данных» Оператора.

 

6.1. Права, обязанности и юридическая ответственность лица, ответственного за организацию обработки ПДн, установлены Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», положением Оператора «Об организации обработки и обеспечении безопасности персональных данных», руководством работника по правилам обработки и обеспечения безопасности обрабатываемых персональных данных Оператора, руководством Оператора по обеспечению безопасности персональных данных и иными локальными актами Оператора в сфере обработки и защиты ПДн.

6.2. Назначение лица, ответственного за организацию обработки ПДн, и освобождение от указанных обязанностей осуществляется руководителем Оператора. При назначении лица, ответственного за организацию обработки ПДн, учитываются полномочия, компетенции и личностные качества должностного лица, призванные позволить ему надлежащим образом и в полном объеме реализовывать свои права и выполнять обязанности.

6.3. Лицо, ответственное за организацию обработки ПДн:

(1) организует осуществление внутреннего контроля над соблюдением Оператором и его сотрудниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;

(2) доводит до сведения сотрудников Оператора положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн или обеспечивает доведение;

(3) осуществляет контроль над приемом и обработкой обращений и запросов субъектов ПДн или их представителей.

6.4. Контактные данные лица, ответственного за организацию обработки и обеспечение безопасности ПДн: Нагорная Наталья Алексеевна Тел +7 495 935 8950, доб. (701-1099) natalia.nagornaya@aig.com.

6.5. Вопросы относительно организации процессов обработки ПДн можно также направить Оператору на специально созданный ящик электронной почты personaldata.ru@aig.com.

 

7.1. Субъект ПДн имеет право на получение сведений об обработке его ПДн Оператором.

7.2. Субъект ПДн вправе требовать от Оператора уточнения этих ПДн, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.3. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.

7.4. Для реализации и защиты своих прав и законных интересов субъект ПДн имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов ПДн, соответствующие требованиям закона, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

7.5. Субъект ПДн вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов ПДн.

7.6. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

 

8.1. Действующая редакция Политики на бумажном носителе хранится в месте нахождения исполнительного органа Оператора по адресу: 125315, г. Москва, Ленинградский проект, дом 72, стр. 2, этаж 3.

8.2. Электронная версия действующей редакции Политики общедоступна на сайте Оператора в сети «Интернет»: https://www.aig.ru/privacy-policy

 

 

9.1. Политика утверждается и вводится в действие приказом руководителя Оператора и действует до ее отмены.

9.2. Оператор имеет право вносить изменения в Политику. Изменения утверждаются приказом руководителя Оператора.

9.2.1. Политика пересматривается по мере необходимости, но не реже одного раза в три года с момента проведения предыдущего пересмотра Политики.

9.2.2. Политика может пересматриваться ранее срока, указанного в п.9.2.1 Политики, по мере внесения изменений:

(1) в нормативные правовые акты Российской Федерации в сфере ПДн;

(2) в локальные нормативные и индивидуальные акты Оператора, регламентирующие организацию обработки и обеспечение безопасности ПДн;

(3) в договоры и соглашения, регламентирующие правоотношения Оператора с контрагентами и иными лицами;

(4) в порядок организации Оператором обработки и обеспечения безопасности ПДн.

 

10. Лица, виновные в нарушении норм, регулирующих обработку и защиту ПДн, несут ответственность, предусмотренную законодательством Российской Федерации, локальными актами Оператора и договорами, регламентирующими правоотношения Оператора с третьими лицами.

При нахождении посетителя на сайте ЗАО «АИГ», файлы сookies сохраняются браузером посетителя на жестком диске, и ЗАО «АИГ» получает информацию, посылаемую браузером и компьютером посетителя на сайт ЗАО «АИГ». ЗАО «АИГ» использует полученную таким образом информацию только в статистических целях и в целях совершенствования сайта ЗАО «АИГ» в соответствии с требованиями его посетителей.

Информация, полученная таким образом, не передается и не раскрывается третьим лицам.  Файлы сookies не содержат никакой информации, позволяющей идентифицировать посетителей и через несколько недель после посещения сайта автоматически удаляются. Файлы сookies могут быть удалены с браузера посетителя по его желанию.