Политика конфиденциальности

Политика в отношении обработки персональных данных АО «АльфаСтрахование»

Содержание

Table of Contents

1. Общие положения
2. Категории субъектов персональных данных и цели обработки персональных данных
3. Правовые основания обработки персональных данных
4. Объем и категории обрабатываемых персональных данных
5. Порядок и условия обработки персональных данных
5.2. Принципы обработки персональных данных
5.3. Условия передачи персональных данных
5.4. Обработка персональных данных посредством сайта Компании
5.5. Обеспечение защиты персональных данных при их обработке
5.6. Условия хранения персональных данных
5.7. Условия актуализации и прекращения и обработки персональных данных
6. Права субъектов персональных данных
7. Заключительные положения

История изменений

Версия Описание изменений Автор Дата
1.0 Разработка документа Фирсов М.А. 30.08.2013
2.0 Актуализация документа Солянкин Е.С. 01.07.2019
3.0 Актуализация документа Солянкин Е.С. 10.02.2020
4.0 Актуализация документа Солянкин Е.С. 21.05.2021

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных АО «АльфаСтрахование» (далее — Политика), подготовленная в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон, 152-ФЗ) и EU General Data Protection Regulation 2016/679 (далее — Регламент) в части, непротиворечащей российскому законодательству в сфере обработки и защиты ПДн, определяет позицию АО «АльфаСтрахование» (далее — Оператор, Компания) в области обработки и защиты персональных данных (далее — ПДн) и направлена на обеспечение законных прав и свобод субъектов ПДн.

1.2. На основании приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Компания включена в реестр операторов, осуществляющих обработку ПДн. Регистрационный номер в реестре операторов, осуществляющих обработку ПДн: 08-0024200.

1.3. Настоящая Политика распространяется на ПДн, полученные как до, так и после ввода в действие настоящей Политики.

1.4. В настоящей Политике используются следующие термины:

Группа компаний — группа «АльфаСтрахование» объединяет Акционерное общество «АльфаСтрахование» (АО «АльфаСтрахование»), Общество с ограниченной ответственностью «АльфаСтрахование-Жизнь» (ООО «АльфаСтрахование-Жизнь»), Общество с ограниченной ответственностью «АльфаСтрахование-ОМС» (ООО «АльфаСтрахование-ОМС»), Общество с ограниченной ответственностью «Медицина АльфаСтрахования» (ООО «Медицина АльфаСтрахования»).

Работники — работники АО «АльфаСтрахование».

Работники группы компаний «АльфаСтрахование» — работники компаний АО «АльфаСтрахование», ООО «АльфаСтрахование-Жизнь», ООО «АльфаСтрахование-ОМС», ООО «Медицина АльфаСтрахования».

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор — юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данным.

Конфиденциальность персональных данных — обязательное для соблюдения Компанией или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Целостность персональных данных — состояние персональных данных, при котором отсутствует любое их изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.

Доступность персональных данных — состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.

Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Cookie — небольшой фрагмент данных, отправленный веб-сервером Компании и хранимый на компьютере пользователя сайта(ов) Компании. Применяется для сохранения данных на стороне пользователя сайта Оператора и используется для аутентификации пользователя, хранения персональных предпочтений и настроек пользователя, отслеживания состояния сеанса доступа пользователя, ведения статистики о пользователях.

2. Категории субъектов персональных данных и цели обработки персональных данных

2.1. Компания осуществляет обработку ПДн указанных ниже субъектов ПДн в следующих целях:

2.1.1. Кандидаты на трудоустройство (соискатели):

  • рассмотрение возможности заключения трудового договора;
  • формирование и ведение кадрового резерва соискателей.

2.1.2. Работники:

  • осуществление функций, полномочий и обязанностей, возложенных на Компанию действующим законодательством Российской Федерации, включая отправку отчетности в государственные органы;
  • содействие в трудоустройстве;
  • ведение кадрового учета;
  • обеспечение Компанией (Оператором) необходимых условий, для надлежащего исполнения работниками трудовых обязанностей:
    • оформление зарплатной карты;
    • заказ такси работнику;
    • выдача работнику корпоративной SIM-карты;
    • внешнее архивное хранение документов на бумажных носителях (без права доступа к содержащимся в передаваемых документах данных);
    • направление работника в командировку;
    • осуществление контрольно-пропускного режима;
    • печать для работника корпоративных визитных карточек;
    • организация информационного взаимодействия между компаниями страховой группы АльфаСтрахование, включая публикацию информации на корпоративном портале alfaclub.alfastrah.ru;
  • формирование и ведение кадрового резерва работников;
  • оказание материальной помощи;
  • предоставление добровольного медицинского страхования;
  • организация обучения;
  • организация предварительного и периодического медицинских осмотров1;
  • повышение уровня работника, повышение разряда, продвижение по работе;
  • учет несчастных случаев, аварий и инцидентов;
  • обеспечение личной безопасности работников;
  • обеспечение сохранности имущества Компании;
  • организация тренировок по мини-футболу, а также участие в соревнованиях по мини-футболу.

2.1.3. Работники группы компаний «АльфаСтрахование»:

  • осуществление функций, полномочий и обязанностей, возложенных на Компанию действующим законодательством Российской Федерации;
  • размещение информации о работниках на корпоративном портале и в иных общедоступных источниках.

2.1.4. Студенты-практиканты:

  • осуществление функций, полномочий и обязанностей, возложенных на Компанию действующим законодательством Российской Федерации;
  • ведение кадрового учета;
  • формирование кадрового резерва.

2.1.5. Уволенные работники:

  • осуществление функций, полномочий и обязанностей, возложенных на Компанию действующим законодательством Российской Федерации;
  • ведение кадрового учета.

2.1.6. Родственники работников:

  • осуществление функций, полномочий и обязанностей, возложенных на Компанию действующим законодательством Российской Федерации.

2.1.7. Страховые агенты:

  • осуществление функций, полномочий и обязанностей, возложенных на Компанию действующим законодательством Российской Федерации;
  • рассмотрение возможности заключения договора;
  • заключение и исполнение агентских договоров.

2.1.8. Посетители:

  • организация пропускного режима;
  • обеспечение личной безопасности работников;
  • обеспечение сохранности имущества Компании.

2.1.9. Посетители сайта(ов) Компании:

  • поддержка работоспособности сайта(ов) Компании;
  • проведение аналитических исследований относительно использования сайта(ов) Компании;
  • предоставление пользователям сведений маркетингового характера;
  • обеспечение удобства использования сайта(ов) Компании.
  • улучшение клиентского опыта, качества обслуживания, предоставление дополнительных возможностей и услуг, а также персонифицированных предложений Оператора и третьих лиц2, в том числе путем осуществления прямых контактов с помощью средств связи;
  • построение моделей, профилирование, таргетирование, статистические, аналитические и иные исследования взаимодействия с Оператором и третьими лицами, скоринг, обогащение и сегментация для формирования и адаптации возможных услуг и предложений Оператора и третьих лиц.

2.1.10. Пользователи приложений:

  • заключение и исполнение агентских договоров;
  • исполнение обязательств по договорам страхования;
  • поддержка работоспособности приложений Компании;
  • проведение аналитических исследований относительно использования приложений Компании;
  • предоставление сведений маркетингового характера;
  • предоставление услуг;
  • улучшение клиентского опыта, качества обслуживания, предоставление дополнительных возможностей и услуг, а также персонифицированных предложений Оператора и третьих лиц, в том числе путем осуществления прямых контактов с помощью средств связи;
  • построение моделей, профилирование, таргетирование, статистические, аналитические и иные исследования взаимодействия с Оператором и третьими лицами, скоринг, обогащение и сегментация для формирования и адаптации возможных услуг и предложений Оператора и третьих лиц.

2.1.11. Заявители (потенциальные клиенты):

  • рассмотрение возможности заключения договоров страхования;
  • улучшение клиентского опыта, качества обслуживания, предоставление дополнительных возможностей и услуг, а также персонифицированных предложений Оператора и третьих лиц, в том числе путем осуществления прямых контактов с помощью средств связи;
  • построение моделей, профилирование, таргетирование, статистические, аналитические и иные исследования взаимодействия с Оператором и третьими лицами, скоринг, обогащение и сегментация для формирования и адаптации возможных услуг и предложений Оператора и третьих лиц.

2.1.12. Клиенты (Страхователи (физические лица или работники юридических лиц), Застрахованные, Выгодоприобретатели):

  • осуществление функций, полномочий и обязанностей, возложенных на Компанию действующим законодательством Российской Федерации;
  • исполнение обязательств по договорам страхования;
  • перестрахование;
  • урегулирование убытков;
  • осуществление досудебной и судебной работы, в том числе, в целях взыскания дебиторской задолженности;
  • осуществление рекламных и иных информационных рассылок;
  • архивное хранение и уничтожение документов;
  • улучшение клиентского опыта, качества обслуживания, предоставление дополнительных возможностей и услуг, а также персонифицированных предложений Оператора и третьих лиц, в том числе путем осуществления прямых контактов с помощью средств связи;
  • построение моделей, профилирование, таргетирование, статистические, аналитические и иные исследования взаимодействия с Оператором и третьими лицами, скоринг, обогащение и сегментация для формирования и адаптации возможных услуг и предложений Оператора и третьих лиц.

2.1.13. Клиенты, с которыми окончены договорные отношения:

  • осуществление функций, полномочий и обязанностей, возложенных на Компанию действующим законодательством Российской Федерации, включая исполнение требований Федерального закона от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
  • улучшение клиентского опыта, качества обслуживания, предоставление дополнительных возможностей и услуг, а также персонифицированных предложений Оператора и третьих лиц, в том числе путем осуществления прямых контактов с помощью средств связи;
  • построение моделей, профилирование, таргетирование, статистические, аналитические и иные исследования взаимодействия с Оператором и третьими лицами, скоринг, обогащение и сегментация для формирования и адаптации возможных услуг и предложений Оператора и третьих лиц.

2.1.14. Владельцы автомобилей, собственники недвижимого имущества (титульное страхование), иные лица, упомянутые в договорах страхования:

  • осуществление функций, полномочий и обязанностей, возложенных на Компанию действующим законодательством Российской Федерации;
  • исполнение обязательств по договорам страхования;
  • урегулирование убытков;
  • архивное хранение и уничтожение документов.

2.1.15. Третьи лица, пострадавшие в результате наступления страхового случая:

  • осуществление функций, полномочий и обязанностей, возложенных на Компанию действующим законодательством Российской Федерации;
  • урегулирование убытков;
  • архивное хранение и уничтожение документов.

2.1.16. Лица, оказывающие услуги (выполняющие работы) по договору ГПХ, индивидуальные предприниматели, работники юридических лиц:

  • осуществление функций, полномочий и обязанностей, возложенных на Компанию действующим законодательством Российской Федерации;
  • заключение и исполнение условий договоров;
  • осуществление контрольно-пропускного режима.

3. Правовые основания обработки персональных данных

3.1. Компания осуществляет обработку ПДн при наличии следующих правовых оснований:

  • с согласия субъектов ПДн на обработку их ПДн;
  • для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных действующим законодательством Российской Федерации на Компанию функций, полномочий и обязанностей, в том числе в рамках следующих нормативно-правовых актов Российской Федерации:
    • Трудовой кодекс Российской Федерации;
    • Гражданский кодекс Российской Федерации;
    • Закон Российской Федерации от 27.11.1992 № 4015-1 «Об организации страхового дела в Российской Федерации»;
    • Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;
    • Федеральный закон от 25.04.2002 № 40-Ф3 «Об обязательном страховании гражданской ответственности владельцев транспортных средств»;
    • Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в РФ»;
    • Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ»;
    • Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
    • Федеральный закон от 14.06.2012 № 67-ФЗ «Об обязательном страховании гражданской ответственности перевозчика за причинение вреда жизни, здоровью, имуществу пассажиров и о порядке возмещения такого вреда, причиненного при перевозках пассажиров метрополитеном»;
    • Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма»;
    • Федеральный закон от 07.02.1992 № 2300-1 «О защите прав потребителей»;
    • Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
    • Федеральный закон от 26.12.1995 № 208-ФЗ «Об акционерных обществах» и др.
  • для исполнения договоров, стороной которых либо выгодоприобретателями или поручителями по которым являются субъекты ПДн, а также для заключения договоров по инициативе субъектов ПДн или договоров, по которым субъекты ПДн будут являться выгодоприобретателями или поручителями;
  • осуществление прав и законных интересов Компании или третьих лиц.

4. Объем и категории обрабатываемых персональных данных

4.1. Перечень ПДн (в том числе специальных категорий ПДн), обрабатываемых в Компании, определяется в соответствии с действующим законодательством Российской Федерации и внутренними нормативными документами Компании с учетом целей обработки ПДн, указанных в разделе 2 и в соответствии с уведомлением об обработке ПДн, направленным Компанией в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

5. Порядок и условия обработки персональных данных

5.1. Компания при осуществлении своей деятельности осуществляет обработку ПДн, включая сбор, получение, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ) и поручение обработки третьим лицам, блокирование, удаление, уничтожение ПДн как с использованием средств автоматизации, так и без использования таких средств, а также путем смешанной обработки ПДн.

5.2. Принципы обработки персональных данных

5.2.1. Обработка ПДн в Компании осуществляется на основе следующих принципов:

  • обработка ПДн осуществляется на законной и справедливой основе;
  • обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн. По достижении цели обработка ПДн прекращается, за исключением случаев, предусмотренных действующим законодательством Российской Федерации;
  • не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только ПДн, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям их обработки;
  • при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Обеспечивается принятие необходимых мер по удалению или уточнению неполных или неточных данных;
  • обрабатываемые ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законом.

5.3. Условия передачи персональных данных

5.3.1. Передача ПДн Компанией в адрес сторонних организаций осуществляется при наличии согласий субъектов ПДн или в иных случаях, установленных действующим законодательством Российской Федерации. Перечень сторонних организаций, в адрес которых Компания может осуществлять передачу и поручение ПДн опубликован по адресу alfastrah.ru/docs/Partner_2019.pdf. Указанный перечень сторонних организаций может быть скорректирован в случае изменения его состава.

5.3.2. Компания вправе поручить обработку ПДн другим лицам с согласия субъектов ПДн, если иное не предусмотрено действующим законодательством Российской Федерации, на основании заключаемых с этими лицами договоров, предусматривающих обязанность указанных лиц соблюдать конфиденциальность полученных от Компании ПДн, а также выполнять требования к защите ПДн в соответствии с действующим законодательством Российской Федерации. При поручении обработки ПДн соблюдаются принципы и правила обработки ПДн, предусмотренные Законом.

5.3.3. В ходе своей деятельности компания осуществляет трансграничную передачу ПДн в иностранные государства. Компания удостоверяется в том, что иностранным государством, на территорию которого осуществляется передача ПДн, обеспечивается адекватная защита прав субъектов ПДн, до начала осуществления трансграничной передачи ПДн. Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн, может осуществляться в случаях, предусмотренных действующим законодательством Российской Федерации.

5.4. Обработка данных посредством сайта Компании

5.4.1. Официальный сайт Компании расположен в сети Интернет по адресу https://www.alfastrah.ru/ (далее — Сайт). В работе Сайта задействованы, в том числе, технологии cookie и веб-маяки (web beacons). Указанные технологии позволяют предоставлять пользователям Сайта настроенное под них окружение при повторном посещении Сайта.

5.4.2. Файлы cookie, используемые на Сайте, подразделяются на такие категории как: «необходимые», «эксплуатационные» и «функциональные».

5.4.3. Необходимые файлы cookie обязательны для просмотра веб-страниц Сайта и полноценного использования их функций. Без их использования невозможно обеспечить работу таких сервисов как корзина покупок и интернет-оплата.

5.4.4. Эксплуатационные файлы cookie собирают информацию об использовании Сайта, например, о наиболее часто посещаемых его страницах. Указанные файлы используются для оптимизации работы Сайта и упрощения для пользователей навигации по нему. Эксплуатационные файлы cookie также используются аффилированными лицами Компании в целях определения переходов пользователей на Сайт с сайтов аффилированных лиц, а также определения использования сервисов Компании, таких как осуществление онлайн-покупок в результате посещения Сайта. Вся информация, собранная с помощью указанных файлов предназначена для статистических целей и остается анонимной.

5.4.5. Функциональные файлы cookie позволяют Сайту запоминать пользовательский выбор при использовании Сайта. Такие файлы могут запоминать месторасположение пользователей для отображения Сайта на языке страны, в которой располагается пользователь, а также запоминать настройки размера шрифта текста и других настраиваемых параметров Сайта.

5.4.6. Информация собираемые посредством файлов cookie не позволяет однозначно идентифицировать пользователей Сайта.

5.4.7. Компания может обрабатывать файлы cookie самостоятельно или с привлечением сторонних Сервисов, опубликованных на официальном сайте Компании, указанном в п. 5.4.1, для целей, указанных выше.

5.4.8. Если пользователи Сайта предпочитают не получать файлы cookie при просмотре Сайта, они могут настроить свой браузер таким образом, чтобы не получать такие файлы, либо так, чтобы браузер предупреждал пользователей перед принятием файлов cookie либо блокировал их.

5.5. Обеспечение защиты персональных данных при их обработке

5.5.1. Безопасность ПДн, обрабатываемых в Компании, обеспечивается принятием правовых, организационных и технических мер, определенных действующим законодательством Российской Федерации, а также внутренними нормативными документами Компании в области защиты информации.

5.5.2. Обеспечение Компанией защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн достигается, в частности, следующими принятыми мерами:

  • назначение лица, ответственного за организацию обработки ПДн;
  • издание документа, определяющего политику Компании в отношении обработки ПДн, а также иных внутренних нормативных документов Компании в области обработки и защиты ПДн;
  • определение угроз безопасности ПДн при их обработке в ИСПДн;
  • применение организационных и технических мер безопасности ПДн, соответствующих требованиям к защите ПДн, установленных Правительством Российской Федерации к уровням защищенности ПДн;
  • осуществляется внутренний контроль соответствия обработки ПДн действующему законодательству Российской Федерации и принимаются в соответствии с ним внутренние нормативные документы Компании;
  • проводится оценка вреда, который может быть причинен субъектам ПДн в случае нарушения 152-ФЗ, а также определяется соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ;
  • проводится оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
  • осуществляется учет машинных носителей ПДн;
  • осуществляется мониторинг событий информационной безопасности с целью обнаружения фактов несанкционированного доступа к ПДн и принятия предупредительных мер защиты;
  • применяются технические и организационные меры для обеспечения восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • устанавливаются правила доступа к ПДн, обрабатываемым в информационных системах ПДн, а также обеспечивается регистрация и учет всех действий, совершаемых с ПДн в ИСПДн;
  • осуществляется контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровней защищенности ИСПДн.
  • внедрены организационные меры, необходимые для исполнения требований Регламента.

5.5.3. Обеспечение конфиденциальности ПДн, обрабатываемых в Компании, является обязательным требованием для всех работников Компании, допущенных к обработке ПДн в связи с исполнением трудовых обязанностей. Все работники, имеющие действующие трудовые отношения, деятельность которых связана с получением, обработкой и защитой ПДн, подписывают соглашение о конфиденциальности, проходят инструктажи по обеспечению информационной безопасности под подпись и несут персональную ответственность за соблюдение требований по обработке и обеспечению безопасности ПДн.

5.6. Условия хранения персональных данных

5.6.1. Компания осуществляет хранение ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен действующим законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

5.6.2. Хранение ПДн на материальных (бумажных) носителях осуществляется Компанией способом, позволяющим исключить несанкционированный доступ к ПДн, включая использование металлических запираемых на ключ шкафов, запираемых тумб, сейфов.

5.6.3. При сборе ПДн, в том числе посредством сети Интернет, Компания обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

5.7. Условия актуализации и прекращения и обработки персональных данных

5.7.1. Субъекты ПДн вправе требовать от Компании уточнения их ПДн, их блокирования или уничтожения в случаях, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5.7.2. В случае подтверждения факта неточности ПДн или неправомерности их обработки, ПДн в Компании подлежат их актуализации либо уничтожению соответственно.

5.7.3. В случае достижения цели обработки ПДн Компания прекращает обработку ПДн или обеспечивает ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) и уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Компанией и субъектом ПДн либо если Компания не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Законом или иными нормативными актами Российской Федерации.

5.7.4. Для осуществления отзыва согласия на обработку ПДн, субъект ПДн может в любой момент времени направить письменный отзыв согласия по адресу: 115162, г. Москва, ул. Шаболовка, д. 31, стр. Б, либо через официальный сайт Компании https://www.alfastrah.ru/ в разделе «Служба контроля качества сервиса» с указанием сведений документа, удостоверяющего личность.

5.7.5. В случае получения отзыва согласия на обработку ПДн от субъекта, Компания прекращает их обработку или обеспечивает прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании), и в случае если сохранение ПДн более не требуется для целей обработки ПДн, уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Компанией и субъектом ПДн либо если Компания не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных действующим законодательством Российской Федерации.

6. Права субъектов персональных данных

6.1. Субъект ПДн имеет право на получение следующей информации, касающейся обработки его ПДн, в том числе содержащей:

  • подтверждение факта обработки ПДн Компанией;
  • правовые основания и цели обработки ПДн Компанией;
  • цели и применяемые Компанией способы обработки ПДн;
  • наименование и местонахождение Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Компанией или на основании Закона;
  • обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок предоставления таких данных не предусмотрен Законом;
  • сроки обработки ПДн, в том числе сроки их хранения;
  • порядок осуществления субъектом ПДн прав, предусмотренных Законом;
  • информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Компании, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные 152-ФЗ или другими федеральными законами.

6.2. Субъект ПДн вправе требовать от Компании уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Законом меры по защите своих прав.

6.3. Субъект ПДн имеет право на переносимость данных в предусмотренных в Регламентах случаях.

7. Заключительные положения

7.1. Настоящая Политика является внутренним нормативным документом Компании. Настоящая Политика является общедоступной и подлежит обязательному опубликованию в сети Интернет на официальном сайте компании по адресу https://www.alfastrah.ru/.

7.2. Актуализация3 настоящей Политики осуществляется не реже одного раза в 3 года или в любом из следующих случаев:

  • по решению руководства Компании;
  • при изменении законодательства Российской Федерации в области обработки и защиты ПДн;
  • при изменении законодательства Европейского Союза в области обработки и защиты ПДн в случае, если изменения не противоречат законодательству Российской Федерации;
  • в случаях получения предписаний на устранение несоответствий, затрагивающих область действия настоящей Политики;
  • при появлении необходимости в изменении процесса обработки ПДн, связанной с деятельностью Компании.

7.3. В случае внесения изменений в настоящую Политику, такие изменения вступают в силу с момента размещения измененного текста документа на официальном сайте компании по адресу https://www.alfastrah.ru/, если иной срок вступления изменений в силу не определен при таком размещении дополнительно.

7.4. В случае неисполнения положений настоящей Политики Компания и ее работники несут ответственность в соответствии с действующим законодательством Российской Федерации.

7.5. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки ПДн в Компании, контакты которого указаны в реестре Роскомнадзора (rkn.gov.ru/personal-data/portal/).

1 Для водителей и работников в возрасте до 21 года.

2 Здесь и далее под третьими лицами подразумевается перечень сторонних организаций, указанных в п. 5.3.1.

3 Под актуализацией понимается проверка Политики на соответствие требованиям действующего законодательства Российской Федерации, требованиям бизнес-деятельности и т.п. По результатам актуализации в текст Политики могут быть внесены изменения.

1. General Provisions
2. Data Subject Categories and Purposes of Personal Data Processing
3. Lawful Bases of the Personal Data Processing
4. Amount and Categories of Processed Personal Data
5. Data Processing Procedure and Requirements
5.2. Principles of Personal Data Processing
5.3. Requirements to Personal Data Transfers
5.4. Data Processing via the Company’s Website
5.5. Personal Data Protection in Processing
5.6. Requirements to Personal Data Storage
5.7. Requirements to Personal Data Update and Termination of Personal Data Processing
6. Data Subject Rights
7. Final Provisions

Change history

Version Description Developer Date
1.0 Developed by M.A. Firsov 30.08.2013
2.0 Updated by Ye.S. Solyankin 01.07.2019
3.0 Updated by Ye.S. Solyankin 10.02.2020
4.0 Updated by Ye.S. Solyankin 21.05.2021

1. General Provisions

1.1. This Personal Data Processing Policy of AlfaStrakhovanie PLC (the Policy) developed in accordance with Federal Law No. 152-FZ On Personal Data of 27.07.2006 (the Law, or 152-FZ) and General Data Protection Regulation (EU) 2016/679 (GDPR) to the extent that does not contravene the Russian data processing and protection laws shall determine the position of AlfaStrakhovanie PLC (the Controller, or the Company) in the field of processing and protection of personal data (PD) and is aimed at ensuring legitimate rights and freedoms of data subjects.

1.2. Pursuant to the Order of the Federal Service for Supervision of Communications, Information Technology and Mass Media, the Company has been added to the register of data controllers, registration number: 08-0024200.

1.3. This Policy shall apply to personal data gathered both before and after the entry into force thereof.

1.4. This Policy contains the following terms:

AlfaStrakhovanie Group including AlfaStrakhovanie PLC, AlfaStrakhovanie-Life LLC, AlfaStrakhovanie-OMS LLC, and Medicine AlfaStrakhovanie LLC.

Employees meaning employees of AlfaStrakhovanie PLC.

Employees of AlfaStrakhovanie Group meaning employees of AlfaStrakhovanie PLC, AlfaStrakhovanie-Life LLC, AlfaStrakhovanie-OMS LLC, and Medicine AlfaStrakhovanie LLC.

Personal Data meaning any information relating to a directly or indirectly identified or identifiable individual (the Data Subject).

Personal Data Processing meaning any action (operation) or actions (operations) performed in relation of personal data with or without the use of automation tools and techniques, including collection, recording, systematization, accumulation, storage, rectification (update or modification), extraction, use, transfer (dissemination, disclosure, or access), impersonation, blocking, deletion, and destruction of personal data.

Data Controller meaning a legal entity or an individual arranging for and/or engaged, either independently or jointly with others, in the personal data processing who determines purposes for the personal data processing, the personal data to be processed, and related actions (operations).

Confidentiality and Privacy of Personal Data meaning a requirement binding on the Company or any other person who has access to personal data to prevent its dissemination without the consent of the Data Subject or without other lawful basis.

Personal Data Integrity meaning the quality of personal data of being kept unchanged, or changed but only intentionally by those who are entitled to doing so.

Personal Data Accessibility meaning the quality of data, which enables Data Subjects with the right to access to exercise the same without let or hindrance.

Security of Personal Data meaning the quality of personal data protection, which is described by the capability of users, hardware and information technology to ensure confidentiality, integrity and accessibility of personal data when being processed on information systems;

Personal Data Blocking meaning suspension of the personal data processing (except to the extent that processing is required for the personal data update).

Destruction of Personal Data meaning actions as a result of which contents of personal data cannot be restored on a personal data information system (PDIS) and/or those resulted in destruction of physical media.

Cookie meaning a small piece of data sent from the Company’s web server and stored on the user’s computer; it is used to store data at the user’s and to authenticate the user, store the user’s personal preferences and settings, monitor the user’s access session status, and maintain users statistics.

2. Data Subject Categories and Purposes of Personal Data Processing

2.1. The Company shall process personal data of the below Data Subjects for the following purposes:

2.1.1. Job Candidates (Job Applicants):

  • consider the possibility of entering into employment contracts;
  • build and maintain a talent pool.

2.1.2. Employees:

  • perform functions, powers and duties conferred on the Company by applicable laws of the Russian Federation, including reports filed with government authorities;
  • employment assistance;
  • maintain personnel records;
  • provision by the Company (Data Controller) of the necessary conditions for the proper performance by employees of their labor duties:
    • issue payroll cards;
    • order a taxi to the employee;
    • issuing a corporate SIM card to an employee;
    • external archival storage of documents on paper (without the right of access to the data contained in the transmitted documents);
    • sending an employee on a business trip;
    • provide for pass control;
    • printing corporate business cards for the employee;
    • organization of information interaction between the companies of AlfaStrakhovanie Group, including the publication of information on the corporate web portal alfaclub.alfastrah.ru;
  • build and maintain a talent pool;
  • financial assistance;
  • provision of voluntary health insurance;
  • training organization;
  • arrange for pre-employment and regular medical examinations3;
  • upgrade employee level or category and ensure promotion at work;
  • keep records of accidents, emergencies, and incidents;
  • ensure personal safety of employees;
  • preserve the Company’s property;
  • publishing employee information on the corporate portal and other public sources.

2.1.3. Employees of AlfaStrakhovanie Group:

  • perform functions, powers and duties conferred on the Company by applicable laws of the Russian Federation;
  • publishing employee information on the corporate portal and other public sources.

2.1.4. Interns:

  • perform functions, powers and duties conferred on the Company by applicable laws of the Russian Federation;
  • maintain personnel records;
  • talent pool building.

2.1.5. Resigned/Laid-Off Employees:

  • perform functions, powers and duties conferred on the Company by applicable laws of the Russian Federation;
  • maintain personnel records.

2.1.6. Employee Family Members:

  • perform functions, powers and duties conferred on the Company by applicable laws of the Russian Federation.

2.1.7. Insurance Agents:

  • perform functions, powers and duties conferred on the Company by applicable laws of the Russian Federation;
  • consider the possibility of entering into agreements;
  • enter into and perform agency agreements.

2.1.8. Visitors:

  • provide for pass control;
  • ensure personal safety of employees;
  • preserve the Company’s property.

2.1.9. Visitors of the Company’s Website(s):

Objective Lawful Bases
Corporate website(s) support and maintenance Legitimate interest of the Company
Analytical research on how the corporate website(s) is/are used Consent of the Data Subject
Data provision to users for marketing purposes Consent of the Data Subject
Ensuring ease of use of the corporate website(s) Legitimate interest of the Company
Improving the customer experience, quality of service, providing additional features and services, as well as personalized offers from the Company and third parties4, including through direct contact by means of communication Consent of the Data Subject
Model building, profiling, targeting, statistical, analytical and other studies of interaction with the Company and third parties, scoring, enrichment and segmentation to form and adapt possible services and offers of the Company and third parties Consent of the Data Subject

2.1.10. Application Users:

Objective Lawful Bases
Enter into and perform agency agreements Contract
Fulfill obligations under insurance contracts Contract
Application support and maintenance Consent of the Data Subject
Analytical research on how the Company’s application(s) is/are run Consent of the Data Subject
Data provision for marketing purposes Consent of the Data Subject
Improving the customer experience, quality of service, providing additional features and services, as well as personalized offers of the Company and third parties4, including through direct contact via means of communication Consent of the Data Subject
Model building, profiling, targeting, statistical, analytical and other studies of interaction with the Company and third parties, scoring, enrichment and segmentation to form and adapt possible services and offers of the Company and third parties Consent of the Data Subject

2.1.11. Applicants (Potential Customers):

Objective Lawful Bases
Consider the possibility of entering into insurance contracts Contract
Improving the customer experience, quality of service, providing additional features and services, as well as personalized offers of the Company and third parties, including through direct contact via means of communication Consent of the Data Subject
Model building, profiling, targeting, statistical, analytical and other studies of interaction with the Company and third parties, scoring, enrichment and segmentation to form and adapt possible services and offers of the Company and third parties Consent of the Data Subject

2.1.12. Customers (i.e., Insurers (individuals or employees of legal entities), Insured, Beneficiaries):

Objective Lawful Bases
Perform functions, powers and duties conferred on the Company by applicable laws of the Russian Federation A legal obligation imposed on the Data Controller
Fulfill obligations under insurance contracts Contract
Reinsurance Contract
Loss settlement Contract
Pre-trial and trial handling, including for the purposes of debt collection Contract
Send advertising and other newsletters Contract
Archiving and destruction of documents A legal obligation imposed on the Data Controller
Improving the customer experience, quality of service, providing additional features and services, as well as personalized offers of the Company and third parties, including through direct contact via means of communication Consent of the Data Subject
Model building, profiling, targeting, statistical, analytical and other studies of interaction with the Company and third parties, scoring, enrichment and segmentation to form and adapt possible services and offers of the Company and third parties Consent of the Data Subject

2.1.13. Former Customers:

  • perform functions, powers and duties conferred on the Company by applicable laws of the Russian Federation, including compliance with Federal Law No. 115-FZ On Counteraction to Legalization (Laundering) of Proceeds from Crime and Financing of Terrorism dated 07.08.2001;
  • improving the customer experience, quality of service, providing additional features and services, as well as personalized offers of the Company and third parties, including through direct contact via means of communication;
  • model building, profiling, targeting, statistical, analytical and other studies of interaction with the Company and third parties, scoring, enrichment and segmentation to form and adapt possible services and offers of the Company and third parties.

2.1.14. Car Owners, Real Estate Owners (Title Insurance) and Other Persons Mentioned in Insurance Contracts:

  • perform functions, powers and duties conferred on the Company by applicable laws of the Russian Federation;
  • fulfillment of obligations under insurance contracts;
  • settlement of losses;
  • archiving and destruction of documents.

2.1.15. Third Parties Injured as a Result of an Insured Event:

  • perform functions, powers and duties conferred on the Company by applicable laws of the Russian Federation;
  • settlement of losses;
  • archiving and destruction of documents.

2.1.16. Service/Work Providers under Civil Law Contracts, Individual Entrepreneurs, and Employees of Legal Entities:

  • perform functions, powers and duties conferred on the Company by applicable laws of the Russian Federation;
  • enter into and perform agreements or contracts;
  • provide for pass control.

3. Lawful Bases of the Personal Data Processing

3.1. The Company shall process personal data in accordance with the following lawful bases:

  • with the consent of Data Subjects to processing of their personal data;
  • in order to achieve goals of international treaties or laws of the Russian Federation, exercise and perform functions, powers and responsibilities conferred on the Company by applicable laws of the Russian Federation, including those under the following regulatory legal acts of the Russian Federation:
    • the Labor Code of the Russian Federation;
    • the Civil Code of the Russian Federation;
    • Russian Law No. 4015-1 On Insurance Business in the Russian Federation dated 27.11.1992;
    • Federal Law No. 165-FZ On the Bases of Compulsory Social Insurance dated 16.07.1999;
    • Federal Law No. 40-FZ On Compulsory Civil Liability Insurance for Car Owners dated 25.04.2002;
    • Federal Law No. 326-FZ On Compulsory Medical Insurance in the Russian Federation dated 29.11.2010, Federal Law No. 323-FZ On the Bases of Public Health Protection in the Russian Federation dated 21.11.2011;
    • Federal Law No. 167-FZ On Compulsory Pension Insurance in the Russian Federation dated 15.12.2001;
    • Federal Law No. 67-FZ On Compulsory Civil Liability Insurance for Carriers Against Injuries to Life, Body, or Health and Damages to Property of Passengers and Indemnifications for Such Injuries/Damages Caused in Underground Passenger Transportation dated 14.06.2012;
    • Federal Law No. 115-FZ On Counteraction to Legalization (Laundering) of Proceeds from Crime and Financing of Terrorism dated 07.08.2001;
    • Federal Law No. 2300-1 On Consumer Protection dated 07.02.1992;
    • Federal Law No. 402-FZ On Accounting dated 06.12.2011;
    • Federal law No. 208-FZ On Joint-Stock Companies dated 26.12.1995, etc.
  • to perform contracts a party to which or beneficiaries, or guarantors under which are Data Subjects and to enter into contracts initiated by Data Subjects or those with Data Subjects to be beneficiaries or guarantors;
  • to exercise the rights and legitimate interests of the Company or third parties.

4. Amount and Categories of Processed Personal Data

4.1. Personal data (including special category personal data) to be processed by the Company shall be determined in accordance with applicable laws of the Russian Federation and internal regulatory documents of the Company depending on purposes of the personal data processing mentioned in Section 2 above and in line with the notification about the personal data processing sent by the Company to the Federal Service for Supervision of Communications, Information Technology, and Mass Media (the Roskomnadzor).

5. Data Processing Procedure and Requirements

5.1. In conducting its business, the Company shall process personal data, including collection, receiving, recording, systematization, accumulation, storage, rectification (update or modification), extraction, use, transfer (dissemination, disclosure, or access) and entrusting processing to third parties, blocking, deletion, and destruction of personal data with or without the use of automation tools and techniques, as well as through mixed processing of personal data.

5.2. Principles of Personal Data Processing

5.2.1. The Company shall process personal data in line with the following principles:

  • lawfulness and fairness;
  • purpose limitation; personal data may not be processed for purposes other than the stated purposes of the personal data processing, and once the purpose is reached, the Company will discontinue to process personal data except to the extent stipulated in applicable laws of Russian Federation;
  • databases containing personal data processed for different purposes may not be intermingled;
  • personal data may not be processed if they fail to satisfy the processing purposes;
  • data minimization, processed personal data are not unnecessary in relation to the stated processing purposes;
  • data accuracy, adequacy and relevancy, if applicable, in relation to the processing purposes, with every reasonable step to be taken to remove or update data that is incomplete or inaccurate;
  • personal data will be deleted as soon as the processing purposes are achieved or if there is no need to achieve these purposes any longer, unless otherwise provided by the Law.

5.3. Requirements to Personal Data Transfers

5.3.1. The Company may not transfer personal data to third parties without the consent of Data Subjects, or in other cases provided by applicable laws of the Russian Federation. The list of third-party entities to which the Company may transfer and entrust personal data is available at alfastrah.ru/docs/Partner_2019.pdf. The above list of third parties is subject to adjustment in case of changes in its composition.

5.3.2. The Company may authorize others to process personal data with the consent of Data Subjects, unless otherwise provided by applicable laws of the Russian Federation, under related agreements binding them by confidentiality obligations and requiring personal data protection in accordance with applicable laws of the Russian Federation. In this case, personal data must be processed in compliance with the processing principles and rules as required by the Law.

5.3.3. While doing its business, the Company is engaged in cross-border data transfers to foreign countries, and it shall make sure that the foreign country to which it transfers personal data provides adequate level of protection of Data Subject rights prior to cross-border data transfer. Personal data may be transferred across the borders to foreign countries, which fail to provide adequate level of protection of Data Subject rights to the extent provided by applicable laws of Russian Federation.

5.4. Data Processing via the Company’s Website

5.4.1. The official website of the Company is located on the Internet at https://www.alfastrah.ru/ (the Website). The Website is operated, among other things, through the use of the cookie technology and web beacons for users to avail of customized environments every time they re-visit the Website.

5.4.2. The Cookies used on the Website are essential, operational, or functional.

5.4.3. Essential Cookies are required to view web pages and make full use of their features; if unused, users cannot take advantage of services, such as shopping cart or online payment.

5.4.4. Operational Cookies gather information about how the Website is used, e.g., the most frequently visited pages, and are used to optimize the operation of the Website and simplify navigation. Operational Cookies are also used by affiliates of the Company in order to check redirection to the Website from websites of the affiliates and to understand how services of the Company, such as online shopping, are used by visitors. All information collected through those files is intended for statistical purposes and will be kept anonymous.

5.4.5. Functional Cookies enable the Website to remember the choices users make when they use the Website. They are able to remember user location in order to display the Website in the user’s language depending on the location, font size settings and other configurable options of the Website.

5.4.6. Information collected by Cookies does not allow the Company to definitely identify users of the Website.

5.4.7. The Company may process Cookies on its own or using third-party services published on the official website of the Company mentioned in Section 5.4.1 for the above purposes.

5.4.8. If users do not want to receive Cookies while browsing the Website, they may configure their browser so that not to receive such files, or so that the browser warns users before accepting a Cookie, or disables Cookies.

5.5. Personal Data Protection in Processing

5.5.1. Personal data processed by the Company is protected through legal, organizational and technical measures as required by applicable data protection laws of the Russian Federation and internal data protection regulations of the Company.

5.5.2. The Company shall protect personal data against unauthorized or accidental access, destruction, modification, blocking, copying, disclosure, or dissemination of personal data and other unlawful actions in relation to personal data, inter alia, through the following steps:

  • appointment of an officer in charge of the personal data processing;
  • publication of a document establishing the Company’s personal data processing policy and other internal regulations of the Company in the field of personal data processing and protection;
  • identification of personal data security threats in the data processing on PDIS;
  • organizational and technical personal data security measures in line with the data protection levels required by the Government of the Russian Federation;
  • internal control of compliance with applicable laws of the Russian Federation and internal regulations of the Company adopted in accordance therewith;
  • assessments of damages that may be caused to Data Subjects if 152-FZ is violated, and measurements of correlations between the above damages and steps taken by the Company in order to fulfil its duties stipulated in 152-FZ;
  • assessments of how effective the steps taken to ensure personal data security are, prior to PDIS deployment;
  • keeping of machine-readable media records;
  • monitoring of information security events in order to identify cases of unauthorized personal data access and take preventive protection measures;
  • technical and organizational measures to ensure the recovery of personal data that has been modified or destroyed as a result of unauthorized access;
  • adoption of access rules for personal data processed on personal data information systems, registration and recording of any and all actions in respect of personal data on PDISs;
  • control of measures taken to ensure personal data security and PDIS protection levels;
  • relevant organizational measures taken to ensure compliance with GDPR.

5.5.3. Confidentiality of personal data to be processed by the Company is a requirement binding on all employees of the Company who are approved for the personal data processing for them to be able to perform their job duties. All employees having effective employment relationships whose job is related to collection, processing or protection of personal data shall sign a NDA, receive information security briefings against personal signature and shall be personally accountable for compliance with data processing and security requirements.

5.6. Requirements to Personal Data Storage

5.6.1. The Company shall store personal data in the format enabling Data Subject identification for no longer than this is necessary for the processing purposes, unless a data shelf life is established by applicable laws of the Russian Federation or by a contract a party to which, or the beneficiary or guarantor under which the Data Subject is.

5.6.2. The Company shall store personal data on physical (paper) media by a method preventing unauthorized access to personal data, including the use of lockable metal cupboards, lockable cabinets, and safes.

5.6.3. When collecting personal data, including on the Internet, the Company shall record, systematize, accumulate, store, rectify (update and modify), and extract personal data of Russian nationals with the use of databases within the Russian Federation.

5.7. Requirements to Personal Data Update and Termination of Personal Data Processing

5.7.1. Data Subjects may require the Company to rectify, block or destroy their personal data to the extent that their personal data is incomplete, outdated, inaccurate, unlawfully obtained or unnecessary for the stated processing purpose and may take statutory actions in order to protect their rights.

5.7.2. If personal data is proved to be inaccurate or unlawfully processed, the Company shall update, or destroy personal data accordingly.

5.7.3. Once the processing purpose is achieved, the Company will stop processing personal data, or provide for termination thereof (if personal data is processed by another person acting on behalf of the Company) and destroy personal data or provide for destruction thereof (if personal data is processed by another person acting on behalf of the Company) within thirty days upon achieving the processing purpose, unless otherwise is required in a contract a party to which, or the beneficiary or guarantor under which the Data Subject is, or other agreement between the Company and the Data Subject, or if the Company may not process personal data without the consent of the Data Subject because this is stipulated by the Law or other regulations of the Russian Federation.

5.7.4. In order to withdraw their consent to the personal data processing, the Data Subject may at any time submit a Withdrawal of Consent Letter at: 31/B Shabolovka Str., Moscow, 115162, or via the Company’s official website at https://www.alfastrah.ru/ under Quality Control, indicating details of their identity document.

5.7.5. Once the Withdrawal of Consent Letter is received, the Company will stop processing personal data, or provide for termination thereof (if personal data is processed by another person acting on behalf of the Company) and destroy personal data or provide for destruction thereof (if personal data is processed by another person acting on behalf of the Company), if storage of the personal data is no longer required for the processing purposes, within thirty days upon receipt of the above letter, unless otherwise is required in a contract a party to which, or the beneficiary or guarantor under which the Data Subject is, or other agreement between the Company and the Data Subject, or if the Company may not process personal data without the consent of the Data Subject because this is stipulated by the applicable laws of the Russian Federation.

6. Data Subject Rights

6.1. The Data Subject shall have the right to receive the following information about processing of their personal data, including:

  • confirmation that their personal data is being processed by the Company;
  • lawful bases and purposes of the personal data processing by the Company;
  • processing purposes and processing methods applied by the Company;
  • the Company’s name and principal place of business, details of persons (other than employees of the Company) who have access to their personal data or to whom their personal data may be disclosed under a contract with the Company or pursuant to the Law;
  • processed personal data relating to the respective Data Subject and the source of their receipt, unless a different procedure for the provision of such data is provided for by the Law;
  • timeframes for the personal data processing, including shelf life;
  • the procedure for exercising Data Subject rights as described in the Law;
  • information on actual or expected cross-border transfers of their personal data;
  • name, or full name, and address of the person who processes personal data on behalf of the Company, if the processing is, or will be, assigned to such person;
  • other information required by 152-FZ, or other federal laws.

6.2. The Data Subject may require the Company to rectify, block or destroy their personal data, if their personal data is incomplete, outdated, inaccurate, unlawfully obtained or unnecessary for the stated processing purpose, and may take actions required by the Law in order to protect their rights.

The Data Subject shall have the right to data portability to the extent that this is provided for in Regulations.

7. Final Provisions

7.1. This Policy is an internal regulation of the Company. It is public and will be available on the Internet on the Company’s official website at https://www.alfastrah.ru/.

7.2. This Policy should be updated5 every 3 years or in any of the following cases:

  • by the decision of the Company’s management;
  • in the event of changes to data processing and protection laws of the Russian Federation;
  • in the event of changes to data processing and protection legislation of the European Union to the extent that the changes do not contravene the laws of the Russian Federation;
  • in case of receiving instructions to rectify inconsistencies or non-compliances affecting the scope of this Policy;
  • if there is a business need to modify the personal data processing procedure.

7.3. If this Policy is amended, such amendments shall become effective from the moment the amended document is posted on the Company’s official website at https://www.alfastrah.ru/, unless a different effective date is additionally specified in such posting.

7.4. The Company and its employees shall be liable for failure to comply with this Policy in accordance with applicable laws of the Russian Federation.

7.5. Control of compliance with this Policy shall be the responsibility of the Company’s officer who is in charge of the personal data processing and whose contact details are given in the Roskomnadzor Register (at rkn.gov.ru/personal-data/portal/).

3 For drivers and employees younger than 21 years of age

4 Hereinafter third parties shall mean the list of third parties specified in 5.3.1

5 Updating shall mean checking the Policy for compliance with the requirements of the applicable laws of the Russian Federation, business requirements, etc. Based on the updating results, amendments may be made to the text of the Policy.

Оставив отметку в специальном поле, пользователь выражает согласие на обработку (в том числе передачу) персональных данных с использованием средств автоматизации АО «АльфаСтрахование», зарегистрированному по адресу: 115162, г. Москва, ул. Шаболовка, д.31, стр. Б (далее по тексту — Оператор).

Настоящее Согласие дается Оператору в отношении следующих персональных данных, содержащихся в файлах cookie:

  • сведения о пользовательской сессии (включая, но не ограничиваясь: сведения о посещенных страницах, сведения о количестве посещений страниц, сведения о длительности пользовательской сессии, сведения о сторонних сайтах, с которых пользователь по ссылке переходит на сайт АО «АльфаСтрахование», сведения о ссылках на сайте АО «АльфаСтрахование», по которым пользователь переходит на сторонние сайты);
  • сведения об устройстве пользователя (включая, но не ограничиваясь: сведения о браузере пользователя, сведения о системных языках пользователя, сведения о поддерживаемых шрифтах пользователя, сведения об операционной системе пользователя, сведения о стране и регионе пользователя (службы геолокации в мобильном приложении «АльфаСтрахование Мобайл», включая данные о местоположении в фоновом режиме (background location)1), сведения о провайдере пользователя, сведения о разрешении экрана пользователя, сведения о количестве цветов экрана пользователя, сведения о внутреннем номере устройства, сведения о процессоре устройства, сведения о настройках устройства сведения о аудио- и видеоустройствах, сведения об установленных плагинах);
  • сведения о действиях пользователя (переходы между разделами сайта и нажатия клавиш).

В случае выражения несогласия на обработку вышеуказанных персональных данных пользователь может изменить настройки браузера или прекратить использование сайта / мобильного приложения.

1 Включенные службы геолокации помогают найти ближайший офис или клинику рядом с пользователем, помогают определить местоположение при заявлении страхового случая по авто, необходимы для анализа езды в программе «КаскоЭкономия», а также помогают пользоваться инновационными продуктами: «Каско on/off» и «Travel on/off».
Выберите Ваш город
Если ваше местонахождение определено не точно или вы хотите узнать условия страхования другого региона, введите название города. Если в списке нет интересующего вас города или населенного пункта — укажите ближайший крупный город.