ПОЛОЖЕНИЕ по обработке и защите персональных данных заемщиков и работников ООО МКК «ВИВОК-ФИНАНС»

  1. Общие положения

1.1. Настоящее Положение по обработке и защите персональных данных (далее — Положение) Общества с ограниченной ответственностью микрокредитной компании «ВИВОК-ФИНАНС» (ООО МКК «ВИВОК-ФИНАНС») разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», и иными нормативными правовыми актами, действующими на территории Российской Федерации.

1.2. Цель разработки Положения — определение порядка обработки персональных данных в Организации; обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных, а также установление ответственности  лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.3. Порядок ввода в действие и изменения Положения.

1.3.1. Настоящее Положение вступает в силу с момента его утверждения руководителем Организации и действует бессрочно, до замены его новым Положением.

1.3.2. Все изменения в Положение вносятся приказом руководителя.

1.4. Все работники Организации должны быть ознакомлены с настоящим Положением под роспись.

1.5. Режим конфиденциальности персональных данных в отношении персональных данных работников организации снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии Организации, если иное не определено законом.

1.6. Контроль за соблюдением настоящего Положения осуществляет лицо, назначенное выпущенным в соответствии с настоящим Положением приказом .

2. Основные понятия и состав персональных данных

2.1 Для целей настоящего Положения используются следующие основные понятия и определения:

  • «персональные данные» - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • «оператор» - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • «обработка персональных данных» - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • «автоматизированная обработка персональных данных» - обработка персональных данных с помощью средств вычислительной техники;
  • «распространение персональных данных» - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • «предоставление персональных данных» - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • «блокирование персональных данных» - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • «уничтожение персональных данных» - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • «обезличивание персональных данных» - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • «информационная система персональных данных» - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • «трансграничная передача персональных данных» - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
  •  «конфиденциальность персональных данных» - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
  • «информация»  — сведения (сообщения, данные) независимо от формы их представления;
  • «доступ к информации» – возможность получения информации и ее использования:
  • «документированная информация»— зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

 3. Цели и задачи обработки персональных данных

 3.1. В соответствии с разделом 2 настоящего Положения оператором, организующим и осуществляющим обработку персональных данных, является ООО МКК «ВИВОК-ФИНАНС».

 3.2. К персональным данным относятся:

      3.2.1 Сведения, содержащиеся в основном документе,

             удостоверяющем личность субъекта.

      3.2.2. Сведения о месте жительства субъекта.

      3.2.3. Информация, содержащаяся в трудовой книжке работника.

      3.2.4. Сведения об образовании, квалификации или наличии

             специальной подготовки.

      3.2.5. Сведения о заработной плате.

      3.2.6. Страховое свидетельство государственного пенсионного страхования.

      3.2.7. Документы воинского учета.

      3.2.8. Индивидуальный номер налогоплательщика.

      3.2.9. Место работы.

      3.2.10. Должность.

      3.2.11. Стаж работы.

      3.2.12. Номер сотового телефона.

      3.2.13. Номер домашнего телефона.

      3.2.14. Сведения о месячном доходе заемщика.   

3.3. Обработка персональных данных осуществляется с целью содействия субъектам персональных данных в:

- осуществления трудовой деятельности;

- обеспечения личной безопасности;

- исполнения договорных обязательств;

- предложения продуктов и услуг Организации;

- предоставления скидок и льготных условий предоставления займов.

- обслуживание заемщиков и лиц, подающих заявку на получение микрозаймов, (клиентов) организации;

- продвижение товаров, работ и услуг Организации.

3.4. Обработка персональных данных осуществляется для решения следующих задач:

1) учет кадрового состава;

2) бухгалтерский учет и контроль за финансово-хозяйственной  деятельностью организации;

3) контроль за финансово-хозяйственной  деятельностью организации;

4) выплата заработной платы.

5) контроль за исполнением финансовых обязательств по заключенным договорам;

6) формирования системы обслуживания заемщиков

7) выдача и обслуживание микрозаймов

3.5. При принятии решений, затрагивающего интересы субъекта персональных данных, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

4. Субъекты персональных данных

4.1. В соответствии с разделом 2 настоящего Положения к субъектам персональных данных относятся следующие категории физических лиц:

            - работники Организации;

            - кандидаты для приема на работу;

            - контрагенты;

            - учредители;

            - лица, подающие заявку на получение займа;

            - заемщики микрофинансовой организации.

4.2. Все персональные данные субъекта персональных данных оператору следует получать у него самого. Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо Организации должно сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.

4.3. Организация не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

4.4. Субъект персональных данных самостоятельно принимает решение о предоставлении своих персональных данных и дает согласие на их обработку.

Обработка указанных персональных данных возможна только с их согласия, либо без их согласия в следующих случаях:

1) обрабатываемых в соответствии с трудовым законодательством;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

4) сделанных субъектом персональных данных общедоступными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

4.5. Субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны.

4.6. Согласие на обработку персональных данных оформляется в письменном виде.

Письменное согласие на обработку своих персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

4.7. В случаях, когда оператор может получить необходимые персональные данные субъекта только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении оператор обязан сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение. Согласие оформляется в письменной форме в двух экземплярах: один из которых предоставляется субъекту, второй хранится у оператора.

4.8. В случае недееспособности либо несовершеннолетия субъекта персональных данных все персональные данные следует получать от его законных представителей.

4.9. Письменное согласие не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

4.10. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных по письменному запросу на имя руководителя организации.           

4.11. Субъект персональных данных имеет право на получение следующей информации:

  • сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
  • перечень обрабатываемых персональных данных и источник их получения;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

4.12. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

4.13. Сведения о персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

4.14. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при получении письменного запроса субъекта персональных данных или его законного представителя. Письменный запрос должен быть адресован на имя руководителя организации или уполномоченного руководителем лицо.

4.15.    Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Оператора при обработке и защите его персональных данных.

5. Порядок сбора, хранения и использования персональных данных

5.1. Субъекты персональных данных при получении от них согласия на обработку персональных данных должны быть ознакомлены с настоящим Положением, а именно с перечнем собираемых и используемых сведений, с целями и задачами сбора, хранения и использования персональных данных.

5.2. Персональные данные субъектов персональных данных могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

5.3. Порядок хранения анкет и иных документов, содержащих информацию персонального характера, а также согласий на обработку персональных данных определяются «Положением о порядке хранения информации персонального характера на бумажных носителях».

5.4. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по истечению установленных сроков хранения информации, по достижении целей обработки или в случае утраты необходимости в их достижении.

5.5. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

5.6. Хранение резервных и технологических копий баз данных автоматизированной информационной системы, содержащих информацию персонального характера, осуществляется на серверах организации и сменных носителях, доступ к которым ограничен.

5.7. Вынос резервных и технологических копий баз данных автоматизированной информационной системы, содержащих информацию персонального характера, из организации запрещен. Передача и копирование резервных и технологических копий баз данных допустима только для прямого использования с целью технологической поддержки автоматизированной информационной системы.

5.8. Копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях с письменного разрешения руководителя или уполномоченного им лица.

6. Особенности предоставления доступа к персональным данным

6.1. Доступ сотрудников к персональным данным, содержащимся как в автоматизированной информационной системы организации, так и на бумажных носителях осуществляется с письменного согласия руководителя организации или уполномоченного им лица (допуск).

6.2. Сотрудник, получивший допуск к персональным данным, должен быть ознакомлен с настоящим Положением.

6.3. При получении доступа к персональным данным сотрудники подписывают Обязательство о неразглашении персональных данных.

6.4. Доступ к автоматизированной информационной системе Организации разграничен политикой безопасности системы, реализуемой с использованием технических и организационных мероприятий.

6.5. Каждый пользователь имеет индивидуальную учетную запись, которая определяет его права и полномочия в автоматизированной информационной системе. Информация об учетной записи не может быть передана другим лицам. Пользователь несет персональную ответственность за конфиденциальность сведений собственной учетной записи.

Запрещается использование для доступа к автоматизированной информационной системе Организации учетных записей других пользователей.

6.6. Созданием, удалением и изменением учетных записей пользователей автоматизированной информационной системы занимаются уполномоченные администраторы в соответствии с должностными обязанностями.

6.7. При получении доступа к персональным данным сотрудники подписывают Обязательство о неразглашении персональных данных. 

6.8. Право доступа к персональным данным субъектов персональных данных в части их касающейся имеют:

  • Директор Организации;
  • сотрудники бухгалтерии;
  • сотрудники службы персонала;
  • сотрудники канцелярии (информация о фактическом месте проживания и контактные телефоны работников);
  • менеджеры по займам.

7. Порядок передачи информации, содержащей персональные данные

7.1. В соответствии с законодательством Российской Федерации персональные данные Организации могут быть переданы правоохранительным, судебным органам и другим учреждениям в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства, а также в иных случаях, установленных федеральным законом.

7.2. Запрещается сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия. Обработка персональных данных субъектов персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.

7.3. Передача информации третьей стороне возможна только при письменном согласии работников и заемщиков.

 8. Реализованные требования по обеспечению безопасности персональных данных

8.1 С целью обеспечения безопасности персональных данных при их обработке в Компании реализуются требования следующих нормативных документов РФ в области обработки и обеспечения безопасности персональных данных:

  • Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
  • Постановление Правительства Российской Федерации от 15.09.2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена заместителем директора ФСТЭК России 15.02.2008 г.);
  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена заместителем директора ФСТЭК России 14.02.2008 г.)

8.2 Компания проводит оценку вреда, который может быть причинен субъектам персональных данных и определяет угрозы безопасности персональных данных. В соответствии с выявленными актуальными угрозами Компания применяет необходимые и достаточные организационные и технические меры, включающие в себя использование средств защиты информации, обнаружение фактов несанкционированного доступа, восстановление персональных данных, установление правил доступа к персональным данным, а также контроль и оценку эффективности применяемых мер.

8.3 В Компании назначены лица, ответственные за организацию обработки и обеспечения безопасности персональных данных.

8.4 Назначение на должность лица, ответственного за организацию обработки и обеспечение безопасности персональных данных, и освобождение от нее осуществляется руководителем Компании из числа руководящих должностных лиц Компании. При назначении руководителем Компании учитываются полномочия, компетенции и личностные качества должностного лица, призванные позволить ему надлежащим образом и в полном объеме реализовывать свои права и выполнять обязанности как лица, ответственного за организацию обработки и обеспечение безопасности персональных данных.

8.5 Лицо, ответственное за организацию обработки и обеспечение безопасности персональных данных:

  • Организует осуществление внутреннего контроля над соблюдением Компанией и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных.
  • Доводит до сведения работников Компании положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных.
  • Организует прием и обработку обращений и запросов субъектов персональных данных или их представителей и осуществляет контроль над приемом и обработкой таких обращений и запросов.

9. Права субъектов персональных данных

9.1 Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Компанией.

9.2 Субъект персональных данных вправе требовать от Компании уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

9.3 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

9.4 Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться к Компании. Компания рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

9.5 Субъект персональных данных вправе обжаловать действия или бездействие Компании путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

9.6 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

 10. Доступ к Положению

10.1 Действующая редакция Положения на бумажном носителе хранится по месту нахождению исполнительного органа Компании по адресу: г. Пермь, Пушкина, д. 27-147.

10.2 Электронная версия действующей редакции Положения общедоступна на сайте Компании в сети Интернет:

https://бд59.рф

 11. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

11.1. Нарушение требований настоящего Положения может повлечь гражданскую, уголовную, административную, дисциплинарную и иную ответственность, предусмотренную законодательством Российской Федерации.

11.2. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, содержащему персональные данные, несет персональную ответственность за данное разрешение. За нарушение режима обработки персональных данных несет лицо, назначенное в соответствии с Законом «О персональных данных», ответственным за организацию обработки персональных данных.