Политика защиты персональных данных

Утверждено
Приказом от 12.08.2025 года № 78
Директор ООО МКК «Двина-МФ»
Н.Г. Шайтанова
ПОЛИТИКА
ОПЕРАТОРА В ОТНОШЕНИИ ОБРАБОТКИ И
ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
ООО МКК «Двина-МФ»
1. Общие положения и определения
1.1. Настоящая Политика Общества с ограниченной ответственностью микрокредитная компания «Двина-Микрофинанс» в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152 ФЗ «О персональных данных» (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика действует в отношении всех персональных данных, которые обрабатывает общество с ограниченной ответственностью «Микрокредитная компания «Двина-Микрофинанс» (далее - Оператор, ООО «МКК «Двина-МФ»).
1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.
1.5. Настоящая Политика регламентируется Конституцией Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27.07.2006, Федеральным законом «О персональных данных» от 27.07.2006 г. № 152 ФЗ, Федеральным законом «О кредитных историях» № 218-ФЗ от 30.12.2004 г., Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Уставом Общества, локальными актами Общества, регламентирующими вопросы Обработки Персональных данных и другими нормативно-правовыми актами.
1.6. Основные понятия, используемые в Политике:
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном 152-ФЗ;
- оператор персональных данных (оператор) - Общество с ограниченной ответственностью микрокредитная компания «Двина-Микрофинанс»;
- субъект персональных данных (субъект) — клиент - физическое лицо, вступившее в договорные отношения с Обществом, пользующиеся услугами Общества, иные физические лица являющиеся потенциальными клиентами Общества, а также выгодоприобретатели (т.е. лица, к выгоде которых действует клиент), при осуществлении своей деятельности; физические лица - работники Общества.
- обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- сайт - сайт в сети «Интернет» доступ, к которому осуществляется по адресу: https://www.dvina-mikrofinans.ru/, права на который принадлежат Обществу;
личный кабинет – поддерживаемая Обществом информационная система на сайте, представляющая собой личную страницу Клиента по адресу:
https://www.dvina-mikrofinans.ru/, позволяющая Клиенту и Обществу осуществлять дистанционное взаимодействие в электронной форме, получать финансовые услуги, информацию об исполнении своих обязанностей по договору займа, а также взаимодействовать с Обществом посредством обмена сообщениями и документами.
- пользователь сайта – любой посетитель, который посещает сайт либо личный кабинет Общества;
- защита персональных данных — деятельность Общества по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно технических мер конфиденциальности информации.
1.7. Целью настоящей Политики является определение порядка обработки персональных данных, обеспечение защиты их прав и свобод при обработке персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным клиентов Общества, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных.
1.8. Настоящая Политика утверждается Директором Общества и является обязательным для исполнения всеми сотрудниками, имеющим доступ к персональным данным.
2. Цели обработки персональных данных
2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.3. Обработка Оператором персональных данных осуществляется в следующих целях:
2.3.1. Осуществления деятельности, предусмотренной Уставом
ООО МКК «Двина-МФ», действующим законодательством РФ, в частности Федеральными законами: «О микрофинансовой деятельности и микрофинансовых организациях», «О потребительском кредите (займе)», «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «О персональных данных»:
Категории персональных данных: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; сведения о трудовой деятельности; иные персональные данные.
Категории субъектов, персональные данные которых обрабатываются: клиенты, посетители сайта, иные категории субъектов персональных данных, персональные данные которых обрабатываются.
2.3.2. Заключения, исполнения и прекращения гражданско-правовых договоров с физическими и иными лицами, в случаях, предусмотренных действующим законодательством и Уставом МКК (в частности, заключение и исполнение договоров потребительского займа, рассмотрение заявлений на предоставление займов и оценки платежеспособности);
Категории персональных данных: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; сведения о трудовой деятельности; иные персональные данные.
Категории субъектов, персональные данные которых обрабатываются: клиенты, посетители сайта, иные категории субъектов персональных данных, персональные данные которых обрабатываются.
2.3.3. Регистрация и доступ в личный кабинет клиента (при поддержке сайтом личного кабинета): Категории персональных данных: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; серия, номер паспорта, код подразделения, дата выдачи, кем выдан; СНИЛС; семейное положение; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; доходы; сведения о трудовой деятельности.
Категории субъектов, персональные данные которых обрабатываются: потенциальные клиенты/клиенты.
2.3.4. Также с согласия субъекта персональных данных МКК может использовать персональные данные клиентов для связи с ними в случае необходимости, в том числе для направления уведомлений, информации и запросов, связанных с оказанием услуг, обработки заявлений, запросов и заявок клиентов и контрагентов, для улучшения качества услуг, оказываемых МКК и для продвижения услуг на рынке путем осуществления прямых контактов с клиентами (в частности, информирование в электронном виде, не связанное с продвижением финансовых услуг, предоставление скидок и льготных условий по договорам потребительского займа, получение предложений продуктов и услуг):
Категории персональных данных: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; гражданство; данные документа, удостоверяющего личность; иные персональные данные.
Категории субъектов, персональные данные которых обрабатываются: клиенты.
2.3.5. Обеспечение соблюдения Трудового, Налогового, Пенсионного законодательства РФ и ведение кадрового и бухгалтерского учета:
Категории персональных данных: фамилия, имя, отчество: год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; сведения о судимости; иные персональные данные.
Категории субъектов, персональные данные которых обрабатываются: работники; соискатели; родственники работников.
2.3.6. Обработка персональных «Liveinternet» для следующих целей (при поддержке сайтом): посредством сервисом веб-аналитики - аналитики посещений сайта https://www.dvina-mikrofinans.ru/ в целях улучшения качества сайта и его содержания, проведения ретаргетинга, проведения статистических исследований и обзоров с использованием сервиса «Liveinternet»
- конверсионные цели: с их помощью анализируют поведение пользователя на сайте и отслеживают действия, которые влияют на прибыль компании.
- ретаргетинговые цели: они нужны для сбора данных пользователей для показа контекстной рекламы на основе полученной информации. Метрика отслеживает промежуточные действия потенциальных клиентов.
Категории персональных данных: данные собираемые метрическими программами, в том числе IP-адрес, информация из файлов cookie, информация о браузере пользователя (или иной программе, с помощью которой осуществляется доступ к сервисам Сайта), информация об аппаратном и программном обеспечении устройства пользователя, время доступа, адреса запрашиваемых страниц.
Категории субъектов, персональные данные которых обрабатываются: все Пользователи Сайта, которые дали согласие на обработку файлов "cookie" (куки-файлы). Категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которые обрабатываются, способы, сроки их обработки их хранения для каждой цели указаны в Приложении №1.
3. Правовые основания обработки персональных данных
3.1. Общество осуществляет Обработку Персональных данных, основываясь на следующих законах и нормативных актах:
-Конституция Российской Федерации;
-Гражданский кодекс Российской Федерации;
-Трудовой кодекс Российской Федерации;
-Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; -Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
-Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
-иные применимые нормативные правовые акты Российской Федерации.
Общество осуществляет Обработку Персональных данных, руководствуясь также:
-Уставом Общества;
-Локальными актами Общества, регламентирующими вопросы Обработки Персональных данных.
3.2. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
3.3. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных
3.4. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
3.5. Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
4. Обработка персональных данных
4.1. Обработка персональных данных субъектов осуществляется смешанным путем:
- неавтоматизированным способом обработки персональных данных;
- автоматизированным способом обработки персональных данных (с помощью ПЭВМ и специальных программных продуктов);
- с передачей по сети Интернет.
4.2. Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов, третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.
4.3. По мотивированному запросу исключительно для выполнения возложенных законодательством функций и полномочий персональные данные субъекта без его согласия могут быть переданы:
- в судебные органы, в связи с осуществлением правосудия;
- в органы федеральной службы безопасности;
- в органы прокуратуры;
- в органы полиции;
- в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.
4.4. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в № 152-ФЗ.
4.5. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
4.6. Сроки хранения носителей персональных данных, порядок уничтожения носителей персональных данных установлены Инструкцией по делопроизводству.
4.7. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.
5.1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обеспечивает субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
5.2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.
5.3. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.
5.4. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, без права распространения.
5.5. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные п. 5.7., или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с п. 5.7., такие персональные данные обрабатываются оператором, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.
5.6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:
1) непосредственно;
2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
5.7. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий не допускается.
5.8. Оператор в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовывает информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.
5.9. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.
5.10. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, прекращается в любое время по требованию субъекта персональных данных. В таком случае, данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.
5.11. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в п. 5.10.
5.12. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.
5.13. Требования п. 5.1.-5.12. не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей.
6. Сроки обработки и хранения персональных данных
6.1. Сроки обработки персональных данных определяются в соответствии со сроком, указанным в согласии субъекта персональных данных, а также в соответствии с требованиями законодательства РФ и локальными актами Общества.
6.2. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому, является субъект персональных данных.
6.3. Хранение и использование персональных данных клиентов Оператора: 6.3.1. Порядок хранения и использования документов, содержащих персональные данные клиентов осуществляется в соответствии с:
- Федеральным Законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральным Законом от 27.07.2006 г № 152-ФЗ «О персональных данных». 6.3.2. Доступ к персональным данным клиентов Общества имеют сотрудники Общества, допущенные к работе с персональными данными клиентов Общества приказом руководителя Общества, а так же лица осуществляющие деятельность в интересах Общества по договору подряда, а так же любого гражданско-правового договора, в случае, если в этом договоре предусмотрено соглашение о конфиденциальности сведений, полученной Подрядчиком в интересах Общества. Данным категориям сотрудников и подрядчиков в их должностные обязанности, и условия договоров включается пункт о сохранении конфиденциальности обрабатываемой информации.
6.3.3. Персональные данные клиентов Общества преимущественно хранятся на бумажных носителях. Основными документами, содержащими персональные данные клиентов Общества, являются: - копии личных документов, необходимых для оформления договора займа (микрозайма) и иных договоров оказания услуг Обществом клиенту; - анкета клиента; - договор займа (микрозайма).
6.3.4. Действующие документы, содержащие персональные данные клиентов Оператора хранятся в офисном помещении ООО МКК «Двина-МФ».
6.3.5. Персональные данные клиентов Общества могут также храниться в электронном виде в персональных компьютерах офисов
ООО МКК «Двина-МФ».
6.3.6. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом 152-ФЗ, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законодательством.
6.3.7. Хранение документов, содержащих персональные данные клиентов Общества, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению в порядке, предусмотренном приказами по архивному делу.
7. Принципы и условия обработки персональных данных
7.1.Принципы обработки персональных данных:
7.1.1. Обработка персональных данных осуществляется на законной и справедливой основе;
7.1.2. Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
7.1.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
7.1.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки;
7.1.5. Содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки и не является избыточным по отношению к заявленным целям их обработки;
7.1.6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Принимаются необходимые меры по удалению или уточнению неполных, или неточных данных;
7.1.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению либо обезличиванию.
7.2. Условия обработки персональных данных:
7.2.1. Обработка персональных данных субъекта персональных данных осуществляется на основании его письменного согласия, за исключением случаев, прямо предусмотренных действующим законодательством РФ. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором. Письменное согласие субъекта персональных данных на обработку персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество (при наличии) и адрес Оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Для обработки персональных данных, содержащихся в письменной форме согласия субъекта персональных данных на обработку его персональных данных, дополнительное согласие не требуется.
7.2.2. В целях обеспечения прав и свобод человека и гражданина Оператор и его представители при обработке персональных данных субъектов персональных данных обязаны соблюдать следующие общие требования:
1) обработка персональных данных субъекта персональных данных может осуществляться исключительно в заявленных целях;
2) все персональные данные субъекта персональных данных Оператор должен получать у него самого. Если, по какой-либо уважительной причине персональные данные субъекта персональных данных возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие;
3) при определении объема и содержания обрабатываемых персональных данных субъекта Оператора должен руководствоваться Конституцией РФ, законодательством РФ в сфере защиты персональных данных и обработки информации, Уставом Оператора и иными локально нормативными актами в области защиты персональных данных;
4) Оператор не имеет права получать и обрабатывать персональные данные субъекта, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ;
5) при принятии решений, затрагивающих интересы субъекта и/или порождающих юридические последствия в отношении субъекта, Оператор не имеет права основываться на его персональных данных, полученных исключительно в результате их автоматизированной обработки или электронным путем;
6) решение, порождающее юридические последствия в отношении субъекта Оператора или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия субъекта в письменной форме или в случаях, предусмотренных Федеральным законодательством, устанавливающим также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных. Оператор обязан разъяснить субъекту порядок принятия такого решения, возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом своих прав и законных интересов;
7) Оператор обязан рассмотреть возражение субъекта против решения, принятого на основании исключительно автоматизированной обработки его персональных данных, в течение тридцати дней со дня его получения и уведомить субъекта о результатах рассмотрения такого возражения;
8) защита персональных данных субъекта Оператора от неправомерного их использования или утраты должна быть обеспечена Оператором за счет своих средств, в порядке, установленном Федеральным Законом и другими нормативными документами;
9) субъекты Оператора должны быть ознакомлены с документами, устанавливающими порядок обработки их персональных данных, а также об их правах и обязанностях в этой области.
7.2.4. Обработка персональных данных осуществляется с соблюдением Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и Постановления Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
8. Получение персональных данных
8.1. Получение персональных данных преимущественно осуществляется путем предоставления их субъектом, на основании его письменного согласия, за исключением случаев, предусмотренных действующим законодательством РФ.
8.2. Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Ознакомление с настоящим Положением заполнение анкеты и других документов с персональными данными со слов самого субъекта или документов за его подписью является гарантией этого.
8.3. В случае необходимости проверки персональных данных субъекта Оператор должен заблаговременно сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта Оператора дать письменное согласие на их получение.
9. Гарантии конфиденциальности
9.1. Информация, относящаяся к персональным данным, ставшая известной в связи с реализацией трудовых отношений и в связи с оказанием услуг клиентам Общества, является конфиденциальной информацией и охраняется законом.
9.2. Работники Общества и иные лица, получившие доступ к обрабатываемым персональным данным, предупреждаются о возможной дисциплинарной, административной, гражданско–правовой или уголовной ответственности в случае нарушения норм и требований действующего законодательства, регулирующего правила обработки и защиты персональных данных.
9.3. Работники Общества, по вине которых произошло нарушение конфиденциальности персональных данных, и работники, создавшие предпосылки к нарушению конфиденциальности персональных данных, несут ответственность, предусмотренную действующим законодательством Российской Федерации, внутренними документами Общества и условиями трудового договора.
10.1. Защита персональных данных от неправомерного их использования или утраты обеспечивается Обществом в порядке, установленном законодательством РФ.
10.2. К обработке персональных данных могут иметь доступ только сотрудники Общества, допущенные к работе с персональными данными и подписавшие Соглашение о неразглашении персональных данных.
10.3. Сотрудники Общества, имеющие доступ к персональным данным, выполняют действия по обработке персональных данных в соответствии со служебной необходимостью и возложенными на них функциями в рамках должностных инструкций.
10.4. В целях реализации условий настоящего Положения Оператор назначает ответственного за организацию обработки персональных данных. 10.5. Защите подлежат:
10.5.1. Информация о персональных данных всех субъектов.
10.5.2. Документы на бумажных носителях, содержащие персональные данные субъектов.
10.5.3. Персональные данные, содержащиеся на электронных носителях.
10.6. Оператор принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», в том числе:
1) определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
2) принимает организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
З) применяет прошедшую в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных;
5) осуществляет учет машинных носителей персональных данных;
6) осуществляет поиск фактов несанкционированного доступа к персональным данным и принятие мер по данным фактам;
7) восстанавливает персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;
8) устанавливает правила доступа к персональных данным, обрабатывает в информационной системе персональные данные, а также обеспечивает регистрацию и учет всех действий, совершаемых с персональными данных в информационной системе персональных данных;
9) контролирует принимаемые меры по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
10.7. Оператор осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону от 27.07.2006 г.
№ 152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативно-правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Общества.
10.8. Ответственные лица соответствующих подразделений, хранящих персональные данные субъектов на бумажных носителях и машинных носителях информации, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному постановлением Правительства РФ от 15.09.2008 г. № 687. 10.9. Ответственные лица структурных подразделений, обрабатывающие персональные данные субъектов в информационных системах персональных данных и машинных носителях информации, обеспечивают защиту в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 01.11.2012 г. № 1119.
11. Передача персональных данных третьим лицам
11.1. Передача персональных данных субъекта третьим лицам осуществляется только с письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, при поступлении официальных запросов в соответствии с положениями Федерального закона оперативно розыскных мероприятиях, при поступлении официальных запросов из налоговых органов, органов Пенсионного фонда России, органов Федерального социального страхования, судебных органов, а также в случаях, предусмотренных иными федеральными законами.
11.2. Передача персональных данных Оператором третьим лицам может допускаться только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
11.3. При передаче персональных данных субъектов третьим лицам Оператор обязуется предупредить лиц, получающих персональные данные субъектов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъектов, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных данных.
11.4. Не допускается отвечать на вопросы, связанные с передачей информации, содержащей персональные данные, по телефону или факсу.
11.5. В соответствии с действующим законодательством РФ Общество имеет право в порядке и на условиях, установленных Федеральным законом РФ от 30.12.2004 года № 218-ФЗ «О кредитных историях», предоставлять имеющуюся у него информацию, необходимую для формирования кредитных историй, в отношении своих Клиентов в бюро кредитных историй, включенное в государственный реестр бюро кредитных историй.
11.6. В целях соблюдения законов и иных нормативных правовых актов Российской Федерации и обеспечения положений заключенных договоров возможна передача:
- документов, содержащих сведения о доходах и налогах на доходы, сведений о пенсионных и других отчислениях, о движении и остатках по счетам клиента в соответствии с Федеральным законодательством Российской Федерации;
- персональных данных клиента при принятии решений, порождающих юридические последствия в отношении клиента Оператора или иным образом затрагивающее его права и законные интересы, Передача указанных сведений и документов осуществляется с согласия клиента, оформленного письменно в виде отдельного документа. После получения согласия клиента дальнейшая передача указанных сведений и документов данным лицам, дополнительного письменного согласия не требует.
12. Права субъектов персональных данных
12.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
12.1.1. подтверждение факта обработки персональных данных Оператором;
12.1.2. правовые основания и цели обработки персональных данных;
12.1.З. цели и применяемые Оператором способы обработки персональных данных;
12.1.4. наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
12.1.5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
12.1.6. сроки обработки персональных данных, в том числе сроки их хранения;
12.1.7. порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
12.1.8. информацию об осуществлённой или о предполагаемой трансграничной передаче данных;
12.1.9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
12.1.10. иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
12.2. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
12.3. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в судебном порядке.
12.4. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
12.5. Иные права, определённые главой 3 Федерального закона «О персональных данных».
13. Право на обжалование действий или бездействия Оператора
13.1. Если субъект считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального Закона «О персональных данных» или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи) или в судебном порядке.
13.2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
14.1. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором в срок, не превышающий трех рабочих дней с даты выявления неправомерной обработки, прекращает неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, осуществляет уничтожение этих персональных данных. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор уведомляет субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, Оператор уведомляет также указанный орган.
14.1.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
14.2. В случае достижения цели обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, МКК незамедлительно прекращает обработку персональных данных и уничтожает соответствующие персональные данные в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных или утраты необходимости в достижении этих целей, и уведомляет об этом субъект персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, Оператор уведомляет также указанный орган.
14.3. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор, за исключением случаев, предусмотренных п. 2 ст. 9 ФЗ «О персональных данных», прекращает обработку персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий 10 рабочих дней с даты поступления указанного отзыва. Об уничтожении персональных данных Оператор уведомляет субъекта персональных данных.
14.4. В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных, Оператор в срок, не превышающий 10 рабочих дней с даты получения оператором соответствующего требования, прекращает их обработку, за исключением случаев, предусмотренных пунктами 2-11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 ФЗ «О персональных данных». Указанный срок может быть продлен в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
14.5. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 14.1.-14.4. настоящего раздела, Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами. Подтверждение уничтожения персональных данных в случаях, предусмотренных статьей 21 152-ФЗ, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.
15.1. Политика работы с персональными данными может быть дополнена/изменена Обществом в любое время без направления какого-либо специального уведомления в адрес Субъекта. Новая редакция (версия) Политики обработки персональных данных вступает в силу с момента подписания Приказа Руководителем. Знакомство с действующей редакцией Политики работы персональных данных является обязанностью Субъекта.
15.2. Политика обработки персональных данных регулируется и толкуется в соответствии с законодательством РФ и является действующим для всех Пользователей. Все вопросы, не урегулированные Политикой, подлежат разрешению в соответствии с законодательством РФ. 15.3. Действующая редакция Политики разработана Обществом на основании Федерального закона от 27.07.2006 152-ФЗ (ред. от 30.12.2020) «О персональных данных» (с изм. и доп., вступ. в силу с 01.03.2021). 15.4. Общество вправе осуществлять без уведомления уполномоченного органа по защите прав Субъектов Персональных данных Обработку Персональных данных на основании подп. 2 п. 2 ст. 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Приложение № 1
к Политике в отношении обработки и
защиты персональных данных
Цель обработки |
Категория и перечь персональных данных |
Категории субъектов |
Способы обработки персональных данных |
Сроки хранения персональных данных |
---|---|---|---|---|
Осуществление деятельности, предусмотренной Уставом ООО МКК «Двина-МФ», действующим законодательством РФ, в частности Федеральными законами: «О микрофинансовой деятельности и микрофинансовых организациях», «О потребительском кредите (займе)», «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «О персональных данных» |
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; сведения о трудовой деятельности; иные персональные данные. |
Потенциальны е клиенты/клиен ты |
С использованием средства автоматизации |
5 лет c момента прекращения отношений с Оператором |
Заключения, исполнения и прекращения гражданско-правовых договоров с использованием средства автоматизации физическими и иными лицами, в случаях, предусмотренных действующим законодательством и Уставом МКК (в частности, заключение и исполнение договоров потребительского займа, рассмотрение заявлений на предоставление займов и оценки платежеспособности); |
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; сведения о трудовой деятельности; Сведения о номере банковской карты (в случае выбора банковской карты в качестве способа получения займа); Номер расчетного счета (в случае выбора расчетного счета в качестве способа получения займа). |
Потенциальны е клиенты/клиенты |
С использованием средства автоматизации |
5 лет c момента прекращения отношений с Оператором |
Регистрация и доступ в личный кабинет клиента |
Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; серия, номер паспорта, код подразделения, дата выдачи, кем выдан; СНИЛС; семейное положение; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; доходы; сведения о трудовой деятельности; СНИЛС |
Потенциальны е клиенты/клиенты |
С использованием средства автоматизации |
5 лет c момента прекращения отношений с Оператором |
С согласия субъекта персональных данных МКК может использовать персональные данные клиентов для связи с ними в случае необходимости, в том числе для направления уведомлений, информации и запросов, связанных с оказанием услуг, обработки заявлений, запросов и заявок клиентов и контрагентов, для улучшения качества услуг, оказываемых МКК и для продвижения услуг на рынке путем осуществления прямых контактов с клиентами (в частности, информирование в электронном виде, не связанное с продвижением финансовых услуг, предоставление скидок и льготных условий по договорам потребительского займа, получение предложений продуктов и услуг) |
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; гражданство; данные документа, удостоверяющего личность; иные персональные данные. |
Потенциальны е клиенты/клиен ты |
С использованием средства автоматизации |
5 лет c момента прекращения отношений с Оператором |
Обеспечение соблюдения Трудового, Налогового, Пенсионного законодательства РФ и ведение кадрового и бухгалтерского учета |
фамилия, имя, отчество: год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; сведения о судимости; иные персональные данные. |
работники; соискатели; родственники работников. |
|
3 года c момента прекращения отношений с Оператором |
Обработка персональных посредством сервисом веб-аналитики «Liveinternet» для следующих целей: - аналитики посещений сайта в целях улучшения качества сайта и его содержания, проведения ретаргетинга, проведения статистических исследований и обзоров с использованием сервиса «Liveinternet». - конверсионные цели: с их помощью анализируют поведение пользователя на сайте и отслеживают действия, которые влияют на прибыль компании. - ретаргетинговые цели: они нужны для сбора данных пользователей для показа контекстной рекламы на основе полученной информации. Метрика отслеживает промежуточные действия потенциальных клиентов. |
данные собираемые метрическими программами, в том числе IP-адрес, информация из файлов cookie, информация о браузере пользователя (или иной программе, с помощью которой осуществляется доступ к сервисам Сайта), информация об аппаратном и программном обеспечении устройства пользователя, время доступа, адреса запрашиваемых страниц. |
все Пользователи сайта, которые дали согласие на обработку файлов "cookie" (куки файлы). |
С использованием средства автоматизации: (сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение персональных данных.) |
Срок обработки и хранения: до получения от субъекта персональных данных требования о прекращении обработки/отзыва согласия. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимо сти в достижении этих целей, если иное не предусмотрено федеральным законодательством. |
Документы для скачивания: