Политика защиты персональных данных

ПОЛИТИКА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ И КЛИЕНТОВ

Общества с ограниченной ответственностью Микрокредитной компании «ДВСК»

1.1 Настоящий документ определяет политику ООО МКК «ДВСК» (далее – «Общество») в отношении обработки персональных данных и реализации требований к защите персональных данных (далее –«Политика») в соответствии с требованиями ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

1.2. В настоящей Политике используются следующие основные понятия:

персональные данные - любая информация, относящаяся к прямо или косвенно определённому, или определяемому физическому лицу (субъекту персональных данных);

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределённому кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Административно-хозяйственная деятельность – внутренние  процессы, направленные на текущее обеспечение деятельности Общества товарно-материальными ценностями (осуществление закупок канцтоваров, офисного оборудования, расходных материалов, хозяйственных товаров, услуг связи и т.п.); на организацию документооборота (ведение архива, библиотек, баз данных); на организацию эксплуатации зданий, помещений, территорий (содержание, уборка, оформление и ремонт помещений); на организацию рабочего процесса.

Общество (оператор обработки персональных данных) – ООО МКК «Выдающиеся Кредиты», осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, и действия, совершаемые с персональными данными.

Близкие родственники - являются родственники по прямой восходящей и нисходящей линии (родители и дети, дедушки, бабушки и внуки), полнородные и неполнородные (имеющие общих отца или мать) братья и сестры

Кандидат – физическое лицо, претендующее на вакантную должность в Обществе, персональные данные которого приняты Обществом.

Клиент – термин, используемый при совместном упоминании Корпоративного клиента и Розничного клиента.

Обработка персональных данных – любое действие Общества или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (Предоставление, доступ), Обезличивание, Блокирование, удаление и Уничтожение персональных данных. В рамках Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» установлены следующие определения:

  • Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
  • Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
  • Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
  • Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Представитель клиента – физическое лицо, персональные данные которого переданы Обществу и

  • входящее в органы управления Клиента;
  • являющееся владельцем/учредителем/акционером/участником клиента;
  • действующее от имени клиента на основании доверенности/указанное в карточке с образцами подписей и оттиска печати клиента.

Работник Общества – физическое лицо, заключившее с Обществом трудовой договор. 

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Субъект персональных данных – физическое лицо, которое прямо или косвенно определено с помощью персональных данных. 

  • Политика разработана в целях реализации требований законодательства в области обработки и обеспечения безопасности персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Обществе.
  • Политика устанавливает:
  • цели обработки персональных данных;
  • классификацию персональных данных и Субъектов персональных данных;
  • общие принципы обработки персональных данных;
  • основных участников системы управления процессом обработки персональных данных;
  • основные подходы к системе управления процессом обработки персональных данных. 

Положения настоящей Политики являются основой для организации работы по обработке персональных данных в Обществе положений методик, технологических схем и пр.), регламентирующих процесс обработки персональных данных в Обществе. Положения настоящей

Политики являются обязательными для исполнения всеми Работниками Общества, имеющими доступ к персональным данным. В случае если отдельные положения настоящей Политики войдут в противоречие с действующим Законодательством о персональных данных, применяются положения действующего законодательства. Запросы Субъектов персональных данных в отношении обработки их персональных данных Обществом принимаются по адресам:

  • 632122, Россия, Новосибирская область, город Татарск, улица Пушкина 100А/78
  • E-mail: lana.s4@mail.ru

Настоящая Политика размещается на общедоступном ресурсе - официальном сайте Общества https://www.mkkdvsk.ru

Ознакомление субъектов персональных данных с положениями настоящей Политики осуществляется на официальном сайте Общества.

В настоящей Политике используются термины, определенные в Законодательстве о персональных данных и термины, определения которых приведено в п. 1.2. Настоящей Политики ЗПД.

Цели обработки персональных данных

Общество осуществляет обработку персональных данных в целях:

  • осуществления сделок в соответствии с Уставом Общества и выданными Обществу лицензиями на совершение определенных операций;
  • заключения с Субъектом персональных данных любых договоров и их дальнейшего исполнения;
  • проведения Обществом акций, опросов, исследований;
  • предоставления Субъекту персональных данных информации об оказываемых Обществом услугах, о разработке Обществом новых продуктов и услуг; об услугах Общества по информированию Клиента о предложениях по продуктам и услугам Общества;
  • ведения кадровой работы и организации учета Работников Общества;
  • привлечения и отбора Кандидатов на работу в Обществе;
  • формирования статистической отчетности, в том числе для предоставления Банку России;
  • осуществления Обществом Административно-хозяйственной деятельности;
  • регулирования трудовых и иных, непосредственно связанных с ними отношений;
  • выявления случаев мошенничества, хищения денежных средств со счета, иных противоправных действий, предотвращения таких противоправных действий в дальнейшем и локализации последствий таких действий;

а также для достижения целей, предусмотренных Законодательством РФ, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей.

Для достижения целей обработки персональных данных Общество осуществляет следующие операции с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Общество осуществляет обработку персональных данных, как с использованием средств автоматизации, так и без использования таких средств.

 Классификация персональных данных и Субъектов персональных данных

К персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных), обрабатываемая Обществом для достижения заранее определенных целей.

Общество не обрабатывает специальные категории персональных данных касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, медицинской информации, отражающей состояние здоровья Субъекта персональных данных, за исключением случаев, определенных Законодательством РФ.

Общество не обрабатывает данные о членстве Субъекта персональных данных в общественных объединениях, религиозных организациях и его профсоюзной деятельности

Общество вправе осуществлять обработку специальной категории персональных данных, касающейся состояния здоровья Субъекта персональных данных (застрахованных лиц и иных лиц, в случаях заявления требования клиентом Общества о реструктуризации долга («Базовый стандарт  защиты прав и интересов физических и юридических лиц - получателей финансовых услуг, оказываемых членами саморегулируемых организаций в сфере финансового рынка, объединяющих микрофинансовые организации», утв. Банком России 22.06.2017) или присвоения инвалидности работнику Общества или члену его семьи, а также  в иных случаях, предусмотренных действующим законодательством).

Общество вправе осуществлять обработку биометрических персональных данных с целью идентификации клиентов и работников Общества, при оказании банковских услуг и установления личности работников и посетителей при осуществлении пропуска на территорию Общества.

Общество не принимает решений, порождающих юридические последствия в отношении Субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки или электронного получения персональных данных.

Общество осуществляет обработку персональных данных следующих категорий Субъектов персональных данных:

  • физические лица, являющиеся Кандидатами;
  • физические лица, являющиеся Работниками Общества и их близких родственников;
  • физические лица, осуществляющие выполнение работ по оказанию услуг и заключившие с Обществом договор гражданско-правового характера;
  • физические лица, входящие в органы управления Общества;
  • физические лица, представляющие интересы Корпоративного клиента Общества (Представители Корпоративного клиента);
  • физические лица, приобретшие или намеревающиеся приобрести услуги Общества;
  • физические лица, не относящиеся к Клиентам Общества, заключившие или намеревающиеся заключить с Обществом договорные отношения в связи с осуществлением Обществом Административно-хозяйственной деятельности обрабатываются в соответствии с Законодательством о персональных данных;
  • физические лица, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным Законодательством о персональных данных;
  • иные физические лица, выразившие согласие на обработку Обществом их персональных данных или физические лица, обработка персональных данных которых необходима Обществу для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей.

 Общие принципы обработки персональных данных

Общество осуществляет обработку персональных данных на основе общих принципов:

  • законности заранее определенных конкретных целей и способов обработки персональных данных;
  • обеспечения надлежащей защиты персональных данных;
  • соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
  • соответствия объема, характера и способов обработки персональных данных целям обработки персональных данных;
  • достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
  • недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • хранения персональных данных в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
  • уничтожения или обезличивания персональных данных по достижении целей их обработки, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных;

обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.  Общество осуществляет необходимые мероприятия для поддержания точности, достаточности, а в необходимых случаях актуальности по отношению к целям обработки обрабатываемых персональных данных.

В рамках обработки персональных данных для Субъекта персональных данных и Обществом определены следующие права:

Субъект персональных данных имеет право:

  • получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные Законодательством о персональных данных;  
  • требовать уточнения своих персональных данных, их Блокирования или Уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении Субъектом персональных данных согласия на обработку персональных данных;
  • принимать предусмотренные законом меры по защите своих прав;
  • отозвать свое согласие на обработку персональных данных.
    1.  

 Общество имеет право:

  • обрабатывать персональные данные Субъекта персональных данных в соответствии с заявленной целью;
  • требовать от Субъекта персональных данных предоставления достоверных персональных данных, необходимых и достаточных для цели их обработки;
  • ограничить доступ Субъекта персональных данных к его персональным данным в случае, если Обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Российской Федерации;
  • обрабатывать общедоступные персональные данные физических лиц;
  • осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации;
  • поручить обработку персональных данных с согласия Субъекта персональных данных лицу, осуществляющему обработку персональных данных по поручению оператора;
  • а также в иных случаях, предусмотренных действующим законодательством.

Основные участники системы управления процессом обработки персональных данных

5.1 В целях осуществления эффективного управления процессом обработки персональных данных определены основные его участники.

Генеральный директор

  • определяет, рассматривает и утверждает Политику Общества в отношении обработки персональных данных.

Лицо, ответственное за организацию обработки персональных данных:

  • разрабатывает, организует и контролирует процесс обработки персональных данных (осуществляемый с использованием средств автоматизации или без использования таких средств, в том числе на бумажных носителях) в соответствии с Законодательством о персональных данных, настоящей Политикой, внутренними нормативными документами Общества;
  • осуществляет управление и постоянное совершенствование процесса обработки персональных данных по единым правилам, стандартизацию и тиражирование процесса
  • разрабатывает и представляет для утверждения Генеральному директору Общества внутренние нормативные документы, регламентирующие обработку персональных данных;
  • разрабатывает и представляет для утверждения Генеральному директору Общества внутренние нормативные документы, регламентирующие процедуры, направленные на предотвращение и выявление нарушений Законодательства о персональных данных, устранение последствий таких нарушений;
  • организует доведение и (или) доводит до сведения работников Общества положения Законодательства о персональных данных, настоящей Политики, внутренних нормативных документов Общества по вопросам обработки персональных данных;
  • осуществляет анализ, оценку и прогноз рисков, связанных с обработкой персональных данных в Обществе, выработку мер по снижению рисков;
  • осуществляет оценку влияния процессов на права и свободы субъектов персональных данных;
  • осуществляет анализ автоматизированных систем и процессов обработки персональных данных на предмет соответствия установленным обязательным требованиям в области обработки персональных данных;
  • осуществляет ведение учета процедур и средств обработки персональных данных;
  • осуществляет контроль наличия и полноты содержания договоров поручения на обработку персональных данных, договоров на передачу персональных данных
  • организует прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов;
  • осуществляет методологическую помощь структурным подразделениям Общества по вопросам взаимодействия с органами государственной власти и надзорными органами по вопросам обработки персональных данных;
  • осуществляет взаимодействие с органами государственной власти по вопросам защиты персональных данных;
  • осуществляет уведомление надзорного органа в соответствии с применимыми требованиями о фактах утечки персональных данных;
  • организует оповещение субъектов персональных данных о фактах утечки их персональных данных;
  • делегирует иные функции, предусмотренные для лица, ответственного за организацию обработки персональных данных, Законодательством о персональных данных, в профильным работникам Общества.

Лицо, ответственное за обеспечение безопасности персональных данных

  • разрабатывает и представляет для утверждения Совету директоров Общества внутренние нормативные документы, регламентирующие меры по обеспечению безопасности персональных данных при их обработке;
  • организует доведение и (или) доводит до сведения работников Общества положений внутренних нормативных документов Общества по обеспечению безопасности обрабатываемых персональных данных;
  • осуществляет анализ автоматизированных систем и процессов обработки персональных данных на предмет соответствия установленным требованиям по обеспечению безопасности обрабатываемых персональных данных;
  • осуществляет контроль наличия и полноты мер по обеспечению безопасности персональных данных в договорах поручения на обработку персональных данных, в договорах на передачу персональных данных;
  • осуществляет разработку и организацию применения правовых, организационных и технических мер защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных;
  • осуществляет определение угроз безопасности персональных данных при их обработке;
  • осуществляет организацию и контроль уровня защищенности информационных систем персональных данных;
  • осуществляет оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;
  • разрабатывает внутренние процедуры, направленные на обеспечение безопасности и защиты персональных данных;
  • в рамках проводимых контрольных процедур оценивает эффективность системы внутреннего контроля Общества по обеспечению соблюдения требований настоящей Политики, а также утвержденных нормативных документов Общества в отношении персональных данных.
  • организует и осуществляет внутренний контроль за соблюдением оператором и его работниками Законодательства о персональных данных, настоящей Политики, внутренних нормативных документов Общества, требований к защите персональных данных;

Лицо, ответственное за правовое сопровождение: 

  • осуществляет мониторинг законодательства и доведение до сведения заинтересованных подразделений информации об изменении правовых норм;
  • осуществляет управление правовым риском, возникающему при обработке персональных данных;
  • готовит заключения по вопросам обработки и защиты персональных данных;
  • обеспечивает правовую защиту интересов  Общества в судах и государственных  органах по спорам,  связанным  с обработкой персональных данных,  а также при рассмотрении административных дел,  связанных с нарушением законодательства в указанной сфере.

Организация системы управления процессом обработки персональных данных

Обработка персональных данных Субъекта персональных данных осуществляется с его согласия на обработку персональных данных,

Обработка персональных данных осуществляется без согласия субъекта персональных данных в следующих случаях: 

  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных, а также для заключения договора по инициативе Субъекта персональных данных или договора, по которому Субъект персональных данных будет являться выгодоприобретателем или поручителем или в иных случаях, предусмотренных Законодательством о персональных данных.
  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 152-ФЗ, при условии обязательного обезличивания персональных данных;
  • обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);
  • обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

​​​​​​​Обработка специальной категории персональных данных, касающейся состояния здоровья Субъекта персональных данных, осуществляется с согласия Субъекта персональных данных на обработку своих персональных данных в письменной форме.

Общество вправе поручить обработку персональных данных с согласия Субъекта персональных данных лицу осуществляющему обработку персональных данных по поручению оператора.

Общество осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.

Общество несет ответственность перед Субъектом персональных данных за действия лиц, которым Общество поручает обработку персональных данных Субъекта персональных данных.

Доступ к обрабатываемым персональным данным предоставляется ограниченному перечню лиц -  Работникам Общества, доступ которых к персональным данным, обрабатываемым в Обществе, необходим для выполнения ими своих трудовых обязанностей и с соблюдением принципов персональной ответственности.

Обработка персональных данных прекращается при достижении целей обработки, а также по истечении срока, предусмотренного законом, договором, или согласием Субъекта персональных данных на обработку его персональных данных. При отзыве Субъектом персональных данных своего согласия на обработку его персональных данных, Общество вправе продолжить обработку персональных данных без согласия Субъекта персональных данных, в соответствии с п.6.2. настоящей Политики.

Обработка персональных данных осуществляется с соблюдением конфиденциальности, под которой понимается обязанность не раскрывать третьим лицам без согласия Субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

Общество обеспечивает конфиденциальность персональных данных Субъекта персональных данных со своей стороны, со стороны своих Работников, имеющих доступ к персональным данным физических лиц, а также обеспечивает использование персональных данных вышеуказанными лицами исключительно в целях, соответствующих закону, договору или иному соглашению, заключенному с Субъектом персональных данных.

В Обществе регулярно проводится получение объективного перечня условий и факторов, создающих угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.

Обеспечение безопасности обрабатываемых персональных данных осуществляется Обществом путем реализации организационно-технических и правовых мероприятий по защите информации, содержащей персональные данные, в соответствии с требованиями Законодательства о персональных данных. Система информационной безопасности Общества непрерывно развивается и совершенствуется.

В Обществе принимаются необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении обрабатываемых персональных данных.

В Обществе реализуются меры по организации обработки и обеспечению безопасности персональных данных, обрабатываемых без средств автоматизации.

 Заключительные положения

Нарушение норм, регулирующих получение, обработку и защиту персональных данных может повлечь гражданскую, уголовную, административную, дисциплинарную и иную ответственность, предусмотренную законодательством РФ.