Политика защиты персональных данных

 

 

Утверждено

Приказом от 28.05.2018 года №3

  Директор ООО МКК «Двина-МФ»

Н.Г. Шайтанова

 

 

Политика

в отношении обработки и защиты персональных данных Общества с ограниченной ответственностью микрокредитная компания «Двина-Микрофинанс»

Настоящая Политика в отношении обработки персональных данных (далее-Политика) разработана в соответствии с п.2 ст.18.1 Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 года, действует в отношении всех персональных данных, которые общество с ограниченной ответственностью микрокредитная компания «Двина-Микрофинанс» (сокращенное наименование ООО МКК «Двина-МФ», далее-Оператор или Общество) может получать от субъектов персональных данных- работников Общества в связи с реализацией трудовых отношений, клиентов и контрагентов Общества в связи с осуществлением Обществом уставной деятельности.

1. Общие положения

1.1 В соответствии с действующим законодательством Общество реализует политику безопасности в отношении обработки персональных данных, направленную на защиту информации о клиентах, работниках и иных субъектов персональных данных.

1.2 Персональные данные (ПДн) — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

1.3 Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ (ред. от 23.07.2013) «О персональных данных» и определяет принципы, порядок и условия обработки персональных данных с целью обеспечения защиты прав и свобод человека и гражданина.

1.4 Политика определяет стратегию защиты персональных данных, обрабатываемых  в обществе и формулирует основные принципы и механизмы, защиты персональных данных.

1.5 Политика является основным руководящим документом Общества, определяющим требования, предъявляемые к обеспечению безопасности персональных данных.

1.6 Безопасность персональных данных достигается путем исключения несанкционированного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, иные несанкционированные действия.

1.7 Безопасность персональных данных при их обработки обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в информационной системе информационные технологии.  Персональные данные являются конфиденциальной информацией и на них распространяются все требования,  установленные внутренними документами Общества, к защите конфиденциальной информации.

 

2. Принципы обработки персональных данных

Обработка персональных данных в Обществе осуществляется на основе следующих принципов:

2.1 обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

2.2 не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

2.3 обработке подлежат только персональные данные, которые отвечают целям их обработки;

2.4 содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

2.5 при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

2.6 хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 

 

3. Состав персональных данных

3.1 В Обществе происходит обработка, передача, накопление и хранение информации, содержащей персональные данные и в соответствии с действующим законадательсьвом Российской Федерации подлежащей защите;

3.2 В Обществе определены следующие основания для обработки информации, содержащей персональные данные:

  • Федеральный закон от 27 июля 2006г. №152-ФЗ «О персональных данных»;
  • Трудовой кодекс РФ от 30 декабря 2001г №197-ФЗ;
  • Налоговый кодекс РФ: Налоговый кодекс РФ часть первая от 31 июля 1998г.№146-ФЗ и часть вторая от 5 августа 2000 г.№117-ФЗ;
  • Федеральный закон от 7 августа 2001 г. №115-ФЗ «О противодействии легализации( отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
  • Федеральный закон от 1 апреля 1996г, №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»
  • Федеральный закон от 2 июля 2010г. №151-ФЗ «О микрофинансовой деятельности и микрофинансовых организациях»;
  • Федеральный закон от 21 декабря 2013г №353-ФЗ «О потребительском кредите(займе);
  • Гражданский кодекс РФ: часть первая от 30 ноября 1994г №51-ФЗ, часть вторая от 26 января 1996г. №14-ФЗ, часть третья от 26 ноября 2001г. №146-ФЗ и часть четвертая от 18 декабря 2006г №230-ФЗ.

3.3 Цель обработки информации, содержащей персональные данные- осуществление Обществом своей основной деятельности в соответствии с Уставом;

3.4 Определен следующий перечень обрабатываемых персональных данных:

3.4.1 Общество обрабатывает следующие категории персональных данных в связи с реализацией

Реализацией трудовых отношений:

  • Фамилия, имя, отчество;
  • Образование;
  • Сведения о трудовом стаже;
  • Сведения о составе семьи;
  • Паспортные данные;
  • ИНН;
  • Налоговый статус( резидент/ нерезидент);
  • Сведения о заработной плате работника;
  • Сведения о социальных льготах;
  • Специальность;
  • Занимаемая должность;
  • Адрес местожительства;
  • Телефон;
  • Место работы или учебы членов семьи и родственников;
  • Содержание трудового договора;
  •  Состав декларируемых сведений о наличии материальных ценностей;
  • Содержание декларации, подаваемой в налоговую инспекцию;
  • Информацию, являющуюся основанием к приказам по личному составу;
  • Информацию, содержащуюся в страховом свидетельстве обязательного пенсионного страхования, страховом медицинском полисе обязательного медицинского страхования;
  • Дела, содержащие материалы по повышению квалификации и переподготовки сотрудников, их аттестации, служебным расследованиям.

3.4.2 Для целей осуществления уставной (коммерческой) деятельности в Обществе обрабатываются следующие категории персональных данных клиентов и контрагентов:

  •  Фамилия, имя, отчество;
  • Паспортные данные;
  • Налоговый статус( резидент/ нерезидент);
  • Сведения о доходах;
  • Адрес место жительства;
  • Место работы и занимаемая должность;
  • Телефон;
  • Иные сведения указанные заявителем.

 

4 Цели сбора и обработки персональных данных

4.1 Общество осуществляет обработку персональных данных в следующих целях:

  • Осуществления деятельности, предусмотренной Уставом Общества, действующим законодательством РФ, в частности ФЗ: «О микрофинансовой деятельности и микрофинансовых организациях», «О потребительском кредите( займе)», «О противодействии легализации( отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «О валютном регулировании и валютном контроле», « Об индивидуальном( персонифицированном) учете в системе обязательного пенсионного страхования», « О персональных данных»;
  • Заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическими лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и Уставом Общества;
  • Организации кадрового учета Общества, обеспечения соблюдения законов и иных нормативно- правовых актов, заключения исполнения обязательств по трудовым договорам и гражданско- правовым договорам; ведения кадрового делопроизводства, исполнение требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и предоставлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: «Об индивидуальном пенсионном учете в системе обязательного пенсионного страхования», «О персональных данных», а также Уставом и локальными актами Общества.

4.2 С согласия субъекта персональных данных, Общество может использовать персональные данные клиентов и контрагентов в следующих целях:

  • Для связи с клиентами и контрагентами в случае необходимости, в том числе для направления уведомлений, запросов, связанных с оказанием услуг, а также обработкт заявлений, запросов, клиентов и контрагентов;
  • Для улучшения качества услуг, оказываемых Обществом;
  • Для продвижения услуг на рынке путем осуществления прямых контактов с клиентами и контрагентами.

 

5. Передача персональных данных

5.1 Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные работников, клиентов и контрагентов третьей стороне без письменного согласия субъекта  персональных данных, за исключением случаев, когда это необходимо в случаях установленных в федеральными законами;

5.2 Работники Общества, ведущие обработку персональных данных, не отвечают на вопросы, связанные с передачей персональных данных по телефону или факсу.

 

 6. Сроки обработки и хранения персональных данных

6.1 Период обработки и хранения персональных данных определяется в соответствии с Законом «О персональных данных»;

6.2 Обработка персональных данных осуществляется с момента поступления персональных данных в информационную систему персональных данных и прекращается:

  • В случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления, Общество устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений, Общество, в срок, не  превышающий трех рабочих дней с даты  выявления неправомерности действий с персональными данными, уничтожает персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Общество уведомляет субъекта персональных данных, а в случае если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, Общество уведомляет также указанный орган;
  • В случае достижения цели обработки персональных данных или в случае утраты необходимости достижения этой целей, если иное не предусмотрено федеральным законом, Общество незамедлительно прекращает обработку персональных данных и уничтожает соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения целей обработки персональных данных, и уведомляет об этом субъект персональных данных, а в случае , если запрос или обращение были направлены уполномоченным органом по защите персональных данных, Общество уведомляет также указанный орган;
  • В случает отзыва субъектом персональных данных согласия на обработку его персональных данных Общество прекращает обработку персональных данных;
  • В случае прекращения деятельности общества.

6.3 Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем это требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

6.4 В случае получения согласия клиента (контрагента) на обработку персональных данных   в целях продвижения услуг Общества на рынке путем осуществления прямых контактов с помощью средств связи, данные клиента (или контрагента) хранятся бессрочно( до отзыва субъектом персональных данных согласия на обработку его персональных данных).

 

7. Порядок уничтожения персональных данных

7.1 Ответственным за уничтожение персональных дынных является лицо, ответственное за организацию обработки и обеспечение безопасности персональных данных;

7.2 При наступлении любого из событий, повлекших необходимость уничтожения персональных данных, лицо ответственное за организацию обработки и обеспечение безопасности персональных данных обязано:

  • Принять меры к уничтожению персональных данных;
  • Оформить соответствующий акт об уничтожении персональных данных.

 

8. Права субъектов персональных данных

8.1 Субъект персональных данных вправе:

  • Требовать от Оператора уточнение его персональных данных, их блокирование или уничтожение, в случае если его персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
  • Требовать перечень своих персональных данных, обрабатываемых Обществом и источник их получения;
  • Получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
  • Для реализации вышеуказанных прав субъект персональных данных, может в порядке, установленном ст.14 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», обратиться в Общество с соответствующим запросом.

 

9. Меры по обеспечению защиты персональных данных

 

9.1 Общество не вправе обрабатывать персональные данные субъекта персональных данных без его письменного согласия, за исключением случаев, приведенных в п.2 ст.6 Федерального закона №152 «О персональных данных». Письменное согласие может быть составлено в виде отдельного документа или быть внедрено в структуру иного документа, подписываемого субъектом персональных данных.

9.2 Оператор предпринимает необходимые организационные и технические меры по  защите персональных данных. Принимаемые меры основаны на требованиях ст.18.1, ст.19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», иных нормативных актов в сфере персональных данных. В том числе:

  • Назначены лица, ответственные за организацию и обеспечение безопасности персональных данных;
  • Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию и обработку персональных данных Общества;
  • Разработано и внедрено положение о защите персональных данных работников, клиентов и контрагентов Общества;
  • Разграничены права доступа к обрабатываемым персональным данным;
  • Лица, ведущие обработку персональных данных, проинструктированы и ознакомлены с нормативными правовыми актами, регламентирующие порядок работы и защиты персональных данных;
  • Обеспечено раздельное хранение  персональных данных( материальных носителей), обработка которых осуществляется в различных целях;
  • В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованием проводятся периодические проверки условий обработки персональных данных;
  • Помимо вышеуказанных мер, осуществляются меры технического характера, направленные  на предотвращение несанкционированного доступа к системам, в которых хранятся персональные данные.

 

10. Гарантия конфиденциальности

10.1 Информация, относящаяся к персональным данным, ставшая известной в связи с реализацией трудовых отношений, в связи с оказанием услуг клиентам МФО и в связи с сотрудничеством с контрагентами МФО, является конфиденциальной информацией и охраняется законом.

 10.2 Работники МФО и иные лица, получившие доступ к обрабатываемым персональным данным, предупреждаются о возможной дисциплинарной, административной, гражданско–правовой или уголовной ответственности в случае нарушения норм и требований действующего законодательства, регулирующего правила обработки и защиты персональных данных.

10.3 Работники МФО, по вине которых произошло нарушение конфиденциальности персональных данных, и работники, создавшие предпосылки к нарушению конфиденциальности персональных данных, несут ответственность, предусмотренную действующим законодательством Российской Федерации, внутренними документами МФО и условиями трудового договора.

10.4 Работники, осуществляющие обработку персональных данных и ответственные за обеспечение еѐ безопасности, должны иметь квалификацию, достаточную для поддержания требуемого режима безопасности персональных данных.

В этих целях вводится система обеспечения требуемого уровня квалификации. Для всех лиц, обрабатывающих персональные данные, проводятся инструктажи по обеспечению безопасности персональных данных.

10.5 Обязанность по реализации системы обеспечения требуемого уровня квалификации возлагается на лицо, ответственное за организацию обработки и обеспечение безопасности персональных данных.

10.6 Ответственное лицо:

  • организовывает инструктирование и обучение работников;
  • ведет персональный учѐт работников, прошедших инструктирование и обучение.

 

11 Изменения настоящей Политики

11.1 Настоящая Политика является внутренним документом Общества.

11.2 Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных. В случае внесения в настоящую Политику изменений, к ним будет обеспечен неограниченный доступ всем заинтересованным субъектам персональных данных.

11.3 Действующая редакция настоящей Политики хранится в месте нахождения Общества. Текущая редакция Политики размещена на сайте www.dvina-mikrofinans.ru

 

Документы для скачивания:

Согласие на обработку персональных данных.docx

Список лиц, оказывающих влияние.jpg

Свидетельство о членстве в СРО.jpg