Обработка персональных данных

Положение об обработке персональных данных

УТВЕРЖДАЮ
Директор
ООО МФО«Микрофинансовая Компания г. Магнитогорск»
_________________

«02»декабря 2014 г.

Положение об обработке персональных данных
Общества с ограниченной ответственностью МФО «Микрофинансовая Компания г.Магнитогорск».

1 Общие положения.

1.1 Настоящее Положение об обработке персональных данных (далее – Положение) Общества с ограниченной ответственностью МФО «Микрофинансовая Компания г.Магнитогорск» (далее – Организация) разработано и введено в действие во исполнение требований законодательства о персональных данных и является основным внутренним документом Организации, определяющим ключевые принципы и требования, направленные на обеспечение защиты персональных данных при их обработке Организацией.

1.2 Настоящее положение Организации характеризуется следующими признаками:

• Разработана в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных;

• Раскрывает способы и принципы обработки в Организации персональных данных, права и обязанности Организации при обработке персональных данных, а также включает перечень мер, применяемых в целях обеспечения безопасности персональных данных при их обработке;

• Является общедоступным документом, декларирующим концептуальные основы деятельности Организации при обработке и защите персональных данных.

1.3 Настоящее Положение утверждается единоличным исполнительным органом Организации. Пересмотр и обновление настоящей Политики осуществляется в случае изменения законодательства Российской Федерации в области персональных данных, а также случае внедрения Организацией новых мер и процедур, направленных на обеспечение информационной безопасности.

1.4 Действующая редакция Положения размещается на официальном сайте Организации www.dengozaim.ru в общем доступе и вступает в силу с момента размещения.

1.5 Действие Положения распространяется на все процессы Организации, связанные с обработкой персональных данных .

2 Термины и определения.

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных); Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельное или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

Смешанная обработка персональных данных – обработка персональных данных с помощью средств автоматизации, а также без нее.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случае, если обработка необходима для уточнения персональных данных);

Уничтожение персональных данных – действия в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

3 Категории субъектов, персональные данные которые обрабатываются Организацией:

3.1 Перечень персональных данных, подлежащих защите в Организации, формируется в соответствии с требованиями Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон) и Уставом Организации.

3.2 В соответствии с ч. 1 ст. 3 Федерального закона под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу.

3.3 Организация обрабатывает персональные данные следующих категорий субъектов персональных данных:

• Персональные данные работника Организации – информация, необходимая Организации в связи с трудовыми отношениями и касающаяся конкретного работника;

• Персональные данные аффилированного лица или персональные данные руководителя, участника или сотрудника юридического лица, являющегося аффилированным лицом по отношению к Организации, информация необходимая Организации для составления отчетных документов о деятельности Организации в соответствии с требованиями законодательства Российской Федерации;

• Персональные данные контрагента, а также персональные данные руководителя, участника или сотрудника юридического лица, являющегося контрагента Организации – информация необходимая Организации для выполнения своих обязательств в рамках договорных отношений с контрагентом и в целях исполнения требований законодательства Российской Федерации;

• Персональные данные заемщика (потенциального заемщика) – информация, необходимая Организации для выполнения своих договорных обязательств и осуществления прав в рамках соответствующего договора займа, для минимизации рисков Организации, связанных с нарушением обязательств по договору займа, осуществления и выполнения возложенных законодательством Российской Федерации на Организацию функций и обязанностей.

4 Цели и основания обработки персональных данных.

Организация осуществляет обработку персональных данных в следующих целях:

• Осуществление финансовых операций и иной деятельности, предусмотренной Уставом Организации, действующим законодательством Российской Федерации, в частности Федеральными законами от 02.07.2010 N 151-ФЗ “О микрофинансовой деятельности и микрофинансовых организациях”, от 30.12.2004 № 218-ФЗ «О кредитных историях», от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, от 27.07.2006 № 152ФЗ «О персональных данных»;

• Заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическими и иными лицами в случаях, предусмотренных действующим законодательством и Уставом Организации;

• Организации кадрового учета Организации, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, уставом и внутренними документами Организации;

• Иные цели, для достижения которых в соответствии с законодательством Российской Федерации Организация вправе обрабатывать персональные данные физических лиц.

5 Основные принципы обработки персональных данных.

5.1 Обработка персональных данных Организацией осуществляется на основе принципов:

• Законности целей и способов обработки персональных данных;

• Добросовестности Организации, как оператора персональных данных, что достигается путем выполнения требований законодательства Российской Федерации в отношении обработки персональных данных;

• Соответствия состава и объема обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям обработки;

• Точности и достаточности, в необходимых случаях и актуальности персональных данных по отношению к заявленным целям их обработки;

• Уничтожения персональных данных о достижении целей обработки способом, исключающим возможность их восстановления;

• Недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

5.2 Работники Организации, допущенные к обработке персональных данных, обязаны:

• Знать и неукоснительно выполнять положения:

✔ Законодательства Российской Федерации в области персональных данных;

✔ Настоящего Положения;

✔ Локальных актов по вопросам обработки персональных данных;

• Обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;

• Не разглашать персональные данные, обрабатываемые в Организации;

• Сообщать о действиях других лиц, которые могут привести к нарушению положений настоящего Положения;

• Сообщать об известных фактах нарушения требований настоящего Положения Ответственному за организацию обработки персональных данных в Организации.

5.3 Безопасность персональных данных в Организации обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работ информационных систем персональных данных в случае реализации угроз.

6 Организация обработки персональных данных.

6.1 Организация осуществляет обработку персональных данных с использованием средств автоматизации и без использования средств автоматизации.

6.2 В Организации запрещается обработка специальных категорий персональных данных касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, биометрических персональных данных, без письменного согласия субъекта персональных данных на обработку персональных данных.

6.3 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»:

6.3.1 Организация предоставляет субъекту персональных данных или его представителю сведения, указанные в ч. 7 ст. 14 Федерального закона при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Организацией (номер договора, дата заключения и иные сведений), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос должен быть направлен по юридическому адресу Организации.

6.3.2 В случае, если сведения, указанные в ч. 7 ст. 14 Федерального закона, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе направить в Организацию повторный запрос в целях получения сведений, указанных в ч. 7 ст. 14 Федерального закона, и ознакомления с такими персональными данными не ранее чем через тридцать дней после направления первоначального запроса.

6.3.3 Субъект персональных данных вправе направить в Организацию повторный запрос в целях получения сведений, предусмотренных в ч. 7 ст. 14 Федерального закона, а также в

целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 6.3.2 настоящей Политики, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатом рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 6.3.1 настоящей Политики должен содержать обоснование направления повторного запроса.

6.3.4 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с требованиями Федерального закона, и Организация вправе мотивированно отказать субъекту персональных данных в выполнении повторного запроса в случаях предусмотренных Федеральным законом.

6.3.5 В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Организация вносит в них необходимые изменения. Организация уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

6.4 Персональные данные не распространяются, не раскрываются третьим лицам, не распространяются иным образом без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

6.5 Представители органов государственной власти (в том числе, контролирующих, надзорных, правоохранительных и иных органов), получают доступ к персональным данным, обрабатываемым в Организации, в объеме и порядке, установленном законодательством Российской Федерации.

6.6 Согласие на обработку персональных данных может быть отозвано путем направления в Организацию нотариально заверенного заявления не менее чем за 3 (три) месяца до момента отзыва согласия. Нотариально заверенное заявление об отзыве Согласия может быть подано субъектом персональных данных или его представителем по доверенности. Заявление об отзыве согласия на обработку персональных данных должно содержать номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Организацией (номер договора, дата заключения и иные сведения).

6.7 В случае удовлетворения заявления Организация прекращает обработку персональных данных в течение трех месяцев с момента получения соответствующего нотариально заверенного заявления, если более короткий срок не предусмотрен законом или договором, заключенным между Организацией и субъектом персональных данных.

6.8 В случае отзыва субъектом персональных данных согласия на обработку персональных данных Организация вправе продолжать обработку персональных данных при наличии оснований, предусмотренных Федеральным законом.

6.9 Организация вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, условием которого является соблюдение конфиденциальности или неразглашении персональных данных.

6.10 В рамках реализации своего права на проверку достоверности указанной субъектами персональных данных информации Организация также вправе проводить проверку и уточнение предоставленных клиентом данных посредством устных или письменных обращений к работодателю субъекта персональных данных, а также иным лицам, контактные данные которых были предоставлены субъектом персональных данных.

7 Меры, принимаемые Организацией, в целях обеспечения выполнения обязанности по защите персональных данных.

7.1 Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»:

a) Издание документов определяющих политику Организации в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;

b) Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

c) Доведения до сведения работников Организации положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

d) Ознакомление работников Организации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Организации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;

e) Осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Положению об обработке персональных данных, локальным актам Организации.

7.2 Меры, принимаемые Организацией, по обеспечению безопасности персональных данных при их обработке:

a) Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

b) Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;

c) Учет машинных носителей персональных данных;

d) Контроль за принимаемыми мерами по обеспечения безопасности персональных данных и уровня защищённости информационных систем персональных данных;

e) Организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

f) Обеспечение сохранности носителей персональных данных.

7.3 Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными нормативными актами Организации, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.

8 Ответственность.

8.1 Контроль исполнения требований настоящего Положения осуществляется ответственным лицом за организацию обработки и обеспечение безопасности персональных данных, назначенным приказом единоличного исполнительного органа Организации;

8.2 Лица, виновные в нарушении норм, регулирующих получение, обработку, хранение и защиту обрабатываемых в Организации персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации.