Ваш браузер устарел. Рекомендуем обновить его до последней версии.

УТВЕРЖДЕНО

Приказом директора

ООО МКК «Банкнота»

№ 1ПД от 01.02.2017 

Матюшина В.В.

 

 Политика

в отношении обработки и защиты персональных данных

общества с ограниченной ответственностью микрокредитной компании «Банкнота»

 

1. ОБЩИЕ ПОЛОЖЕНИЯ

 Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с п. 2 ст. 18.1 Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 года, действует в отношении всех персональных данных, которые ООО МКК «Банкнота» (далее – Общество) может получить от субъектов персональных данных – работников Общества в связи с реализацией трудовых отношений, клиентов и контрагентов Общества в связи с осуществлением Обществом уставной деятельности.

Важнейшим условием реализации целей Общества, является обеспечение необходимого и достаточного уровня информационной безопасности, к которым в том числе относятся персональные данные и технологические процессы, в рамках которых они обрабатываются.

 Обеспечение безопасности персональных данных является одной из приоритетных задач Общества.

 В Обществе введен в действие комплекс локальных документов Общества в отношении персональных данных, который является обязательным для исполнения.

 Обработка и обеспечение безопасности информации, отнесенной к персональным данным, в Обществе осуществляется в соответствии с комплексом локальных документов Общества в отношении персональных данных, что позволяет обеспечить защиту персональных данных, обрабатываемых как в информационных системах персональных данных, т.е. в системах, целью создания которых является обработка персональных данных и к защите которых требования и рекомендации по обеспечению безопасности персональных данных предъявляют Федеральная служба безопасности Российской Федерации (ФСБ России), Федеральная служба по техническому и экспортному контролю (ФСТЭК России), так и в иных информационных системах, в которых персональные данные обрабатываются совместно с информацией, защищаемой в соответствии с требованиями, установленными для этой информации.

Настоящая Политика определяет принципы, порядок и условия обработки персональных данных работников, клиентов и контрагентов Общества, чьи персональные данные обрабатываются Обществом, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность работников Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

Политика определяет стратегию защиты персональных данных, обрабатываемых в Обществе и формулирует основные принципы и механизмы защиты персональных данных.

Политика является основным руководящим документом Общества, определяющим требования, предъявляемые к обеспечению безопасности персональных данных.

Безопасность персональных данных достигается путем исключения несанкционированного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, иные несанкционированные действия.

Безопасность персональных данных при их обработке обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в информационной системе информационные технологии.

Персональные данные являются конфиденциальной информацией и на них распространяются все требования, установленные внутренними документами Общества к защите конфиденциальной информации.

 

Основные понятия и термины:

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Субъект персональных данных — физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных

 

2. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка персональных данных включает в себя, в том числе:

-          сбор;

-          запись;

-          систематизацию;

-          накопление;

-          хранение;

-          уточнение (обновление, изменение);

-          извлечение;

-          использование;

-          передачу (распространение, предоставление, доступ);

-          обезличивание;

-          блокирование;

-          удаление;

-          уничтожение.

Обработка персональных данных в Обществе осуществляется на основе следующих принципов:

- законности и справедливости целей и способов обработки персональных данных;

- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Общества;

- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;

- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

- уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

Общество вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

Общество не вправе раскрывать третьим лицам и распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

 

3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ  ПЕРСОНАЛЬНЫХ ДАННЫХ

Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных. В Обществе происходит обработка, передача, накопление и хранение информации, содержащей персональные данные. Во исполнение Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» в Обществе определены следующие основания для обработки информации, содержащей персональные данные:

  • Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ;
  • Конституция РФ;
  • Федеральный закон от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
  • Налоговый кодекс Российской Федерации: Налоговый кодекс Российской Федерации: часть первая от 31 июля 1998 г. № 146-ФЗ и часть вторая от 5 августа 2000 г. №117-ФЗ;
  • Федеральный закон от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
  • Федеральный закон от 2 июля 2010 г. № 151-ФЗ «О микрофинансовой деятельности и микрофинансовых организациях»;
  • Федеральный закон от 21 декабря 2013 г. № 353-ФЗ «О потребительском кредите (займе)»;
  • Гражданский кодекс Российской Федерации: часть первая от 30 ноября 1994 г. № 51-ФЗ, часть вторая от 26 января 1996 г. № 14-ФЗ, часть третья от 26 ноября 2001 г. № 146-ФЗ и часть четвертая от 18 декабря 2006 г. № 230-ФЗ.
  • договоры, заключаемые между Обществом и субъектом персональных данных;
  • согласие субъекта персональных данных на обработку персональных данных.

 

4. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Общество осуществляет обработку персональных данных в следующих целях:

- осуществления своей основной деятельности, предусмотренной Уставом Общества, действующим законодательством РФ, в частности ФЗ: «О микрофинансовой деятельности и микрофинансовых организациях», «О потребительском кредите (займе)», «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» и «О персональных данных», а именно выдача потребительских займов физическим лицам, в том числе принятие поручительства и прием платежей по выданным займам;

- заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и Уставом Общества;

- организации бухгалтерского учета и кадрового учета Общества, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также Уставом и локальными актами Общества.

С согласия субъекта персональных данных, Общество может использовать персональные данные клиентов и контрагентов в следующих целях:

- для связи с клиентами и контрагентами в случае необходимости, в том числе для направления уведомлений, информации и запросов, связанных с оказанием услуг, а также обработки заявлений, запросов и заявок клиентов и контрагентов;

- для улучшения качества услуг, оказываемых Обществом;

- для продвижения услуг на рынке путем осуществления прямых контактов с клиентами и контрагентами;

- для проведения статистических и иных исследований на основе обезличенных персональных данных.

Цель обработки информации, содержащей персональные данные – осуществление Обществом своей основной деятельности в соответствии с Уставом.

Определен следующий перечень обрабатываемых персональных данных:

Общество обрабатывает следующие категории персональных данных в связи с реализацией трудовых отношений:

 

  • фамилия, имя, отчество;
  • образование;
  • сведения о трудовом и общем стаже;
  • сведения о составе семьи;
  • паспортные данные;
  • сведения о воинском учете;
  • ИНН;
  • налоговый статус (резидент/нерезидент);
  • сведения о заработной плате работника;
  • сведения о социальных льготах;
  • специальность;
  • занимаемая должность;
  • адрес места жительства;
  • телефон;
  • место работы или учебы членов семьи и родственников;
  • характер взаимоотношений в семье;
  • содержание трудового договора;
  • состав декларируемых сведений о наличии материальных ценностей;
  • содержание декларации, подаваемой в налоговую инспекцию;
  • иную, не указанную выше информацию, содержащуюся в личных делах и трудовых книжках сотрудников;
  • информацию, являющуюся основанием к приказам по личному составу;
  • информацию, содержащуюся в страховом свидетельстве обязательного пенсионного страхования, свидетельстве о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации, страховом медицинском полисе обязательного медицинского страхования граждан, медицинском заключении установленной формы об отсутствии у гражданина заболевания, препятствующего поступлению на работу в Общество.
  • дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;

Для целей осуществления уставной (коммерческой) деятельности в Обществе обрабатываются следующие категории персональных данных клиентов и контрагентов: 

  • фамилия, имя, отчество;
  • образование;
  • сведения о трудовом и общем стаже;
  • сведения о составе семьи;
  • паспортные данные;
  • адрес электронной почты;
  • ИНН;
  • налоговый статус (резидент/нерезидент);
  • сведения о доходах;
  • специальность;
  • занимаемая должность;
  • адрес места жительства;
  • телефон;
  • место работы или учебы членов семьи и родственников;
  • состав декларируемых сведений о наличии материальных ценностей;
  • содержание декларации, подаваемой в налоговую инспекцию;
  • СНИЛС;

иные сведения, указанные заявителем.

 

5. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

Общество не предоставляет и не раскрывает сведения, содержащие персональные данные работников, клиентов и контрагентов третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.

По мотивированному запросу исключительно для выполнения возложенных законодательством функций и полномочий персональные данные субъекта персональных данных без его согласия могут быть переданы:

 - в судебные органы в связи с осуществлением правосудия;

 - в органы государственной безопасности;

 - в органы прокуратуры;

 - в органы полиции;

 - в следственные органы;

- в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.

Работники Общества, ведущие обработку персональных данных, не отвечают на вопросы, связанные с передачей персональных данных по телефону или факсу.

 

6. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Период обработки и хранения персональных данных определяется в соответствии с Законом «О персональных данных».

Обработка персональных данных начинается с момента поступления персональных данных в информационную систему персональных данных и прекращается:

- в случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления, Общество устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений, Общество, в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, уничтожает персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Общество уведомляет субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, Общество уведомляет также указанный орган;

- в случае достижения цели обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, Общество незамедлительно прекращает обработку персональных данных и уничтожает соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, и уведомляет об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, Общество уведомляет также указанный орган;

- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных Общество прекращает обработку персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва. Об уничтожении персональных данных Общество уведомляет субъекта персональных данных.

- в случае прекращения деятельности Общества.

Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

В случае получения согласия клиента (или контрагента) на обработку персональных данных в целях продвижения услуг Общества на рынке путем осуществления прямых контактов с помощью средств связи, данные клиента (или контрагента) хранятся бессрочно (до отзыва субъектом персональных данных согласия на обработку его персональных).

 

7. АКТУАЛИЗАЦИЯ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации Обществом, а обработка должна быть прекращена.

Ответственным за уничтожение персональных данных является лицо, ответственное за организацию обработки и обеспечение безопасности персональных данных.

При наступлении любого из событий, повлекших необходимость уничтожения персональных данных, лицо ответственные за организацию обработки и обеспечение безопасности персональных данных обязано:

- принять меры к уничтожению персональных данных;

- оформить соответствующий Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) и представить Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) на утверждение директору;

- в случае необходимости уведомить об уничтожении персональных данных субъекта персональных данных и/или уполномоченный орган.

 

8. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

Субъект персональных данных вправе:

- требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

- требовать перечень своих персональных данных, обрабатываемых Обществом и источник их получения;

- получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;

- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

Для реализации вышеуказанных прав субъект персональных данных, может в порядке, установленном ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», обратиться в Общество с соответствующим запросом. Для выполнения таких запросов представителю Общества может потребоваться установить личность субъекта персональных данных и запросить дополнительную информацию.

Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований вышеуказанного Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества в порядке, предусмотренном законодательством Российской Федерации.

 

9. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки Общества. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

К категориям субъектов персональных данных могут быть отнесены, в том числе:

-          работники Общества, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники и контактные лица работников, клиентов и контрагентов;

-          клиенты и контрагенты Общества (физические и юридические лица);

 

10. МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Общество не вправе обрабатывать персональные данные субъекта персональных данных без его письменного согласия, за исключением случаев, приведенных в п. 2 ст. 6 Федерального закона №152-ФЗ «О персональных данных». Письменное согласие может быть составлено в виде отдельного документа или быть внедрено в структуру иного документа, подписываемого субъектом персональных данных.

Общество предпринимает необходимые организационные и технические меры по защите персональных данных. Принимаемые меры основаны на требованиях ст. 18.1, ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», иных нормативных актов в сфере персональных данных.

В том числе:

1) Назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных.

2) Разработаны локальные акты по вопросам обработки персональных данных.

3) Осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных.

4) Работники, ведущие обработку персональных данных, проинструктированы и ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Общества в отношении обработки персональных данных, нормативными правовыми актами, регламентирующими порядок работы и защиты персональных данных.

5) Опубликован и размещен в доступном для просмотра месте и на сайте Общества документ, определяющий политику в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных.

6) Разработана модель угроз безопасности в информационной системе.

7) Обеспечивается учет машинных носителей персональных данных.

8) Разработано и внедрено Положение о защите персональных данных работников, клиентов и контрагентов Общества.

9) Разработаны правила доступа к персональным данным.

10) Разграничены права доступа к обрабатываемым персональным данным.

 

11. ГАРАНТИИ КОНФИДЕНЦИАЛЬНОСТИ

Информация, относящаяся к персональным данным, ставшая известной в связи с реализацией трудовых отношений, в связи с оказанием услуг клиентам Общества и в связи с сотрудничеством с контрагентами Общества, является конфиденциальной информацией и охраняется законом.

Работники Общества и иные лица, получившие доступ к обрабатываемым персональным данным, предупреждаются о возможной дисциплинарной, административной, гражданско–правовой или уголовной ответственности в случае нарушения норм и требований действующего законодательства, регулирующего правила обработки и защиты персональных данных.

Работники Общества, по вине которых произошло нарушение конфиденциальности персональных данных, и работники, создавшие предпосылки к нарушению конфиденциальности персональных данных, несут ответственность, предусмотренную действующим законодательством Российской Федерации, внутренними документами Общества и условиями трудового договора.

Работники, осуществляющие обработку персональных данных и ответственные за обеспечение её безопасности, должны иметь квалификацию, достаточную для поддержания требуемого режима безопасности персональных данных. В этих целях вводится система обеспечения требуемого уровня квалификации. Для всех лиц, обрабатывающих персональные данные, проводятся инструктажи по обеспечению безопасности персональных данных. Обязанность по реализации системы обеспечения требуемого уровня квалификации возлагается на лицо, ответственное за организацию обработки и обеспечение безопасности персональных данных.

Ответственное лицо:

- организовывает инструктирование и обучение работников;

- ведет персональный учёт работников, прошедших инструктирование и обучение.

 

12. ИЗМЕНЕНИЯ НАСТОЯЩЕЙ ПОЛИТИКИ

Настоящая Политика является внутренним документом Общества.

Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных. В случае внесения в настоящую Политику изменений, к ним будет обеспечен неограниченный доступ всем заинтересованным субъектам персональных данных.

Действующая редакция настоящей Политики хранится в месте нахождения Общества по адресу: Республика Башкортостан, г. Бирск, ул. Мира, д. 129, корп. А, электронная версия Политики – на сайте Общества по адресу: www.banknota-birsk.ru