Политика обработки и защиты персональных данных
УТВЕРЖДЕНО
Приказом АНО
«МКК Магаданской области»
от «14» июля 2023 года № 14
1.1. Автономная некоммерческая организация «Микрокредитная компания Магаданской области» (далее – Организация) является оператором персональных данных.
1.2. Политика Организации в отношении «обработки персональных данных» (далее – Политика) определяет позицию и намерения Организации в области обработки и защиты персональных данных лиц, состоящих в договорных, гражданско-правовых и иных отношениях с Организацией, соблюдения прав и основных свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
1.3. Политика предназначена для изучения и неукоснительного исполнения всеми сотрудниками Организации, а также подлежит доведению до сведения лиц, состоящих в договорных, гражданско-правовых и иных отношениях с Организацией (далее по тексту – субъекты персональных данных), партнеров и других заинтересованных сторон.
1.4. Основные термины и определения, применяемые в настоящей Политике:
1.4.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1.4.2. Персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном законодательством.
1.4.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.4.4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
1.4.5. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.4.6. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
1.4.7. Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
1.4.8. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.4.9. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.4.10. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.4.11. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.4.12. Конфиденциальная информация – информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.
1.4.13. Конфиденциальность персональных данных – обязательное для соблюдения оператором, или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
1.4.14. Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
1.4.15. Сотрудники – лица, имеющие трудовые отношения с Организацией, либо кандидаты на вакантную должность, вступившие в отношения по поводу приема на работу.
1.4.16. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.4.17. Трансграничная передача персональных данных — это передача персональных данных оператором через государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.
1.5. Порядок ввода в действие и изменения Политики.
1.5.1. Настоящая Политика вступает в силу с момента ее утверждения исполнительным директором Организации и действует бессрочно до утверждения текста Политики в новой редакции.
1.5.2. Все изменения в Политику вносятся на основании приказа исполнительного директора Организации.
1.5.3. Все сотрудники Организации должны быть ознакомлены с настоящей Политикой под роспись.
1.6. Режим конфиденциальности персональных данных в отношении персональных данных сотрудников Организации снимается в случаях их обезличивания и по истечении 5 лет срока их хранения, если иное не определено законом.
2. Права и обязанности оператора и субъектов персональных данных
2.1. Субъект персональных данных обязан:
– передать Организации или ее представителю комплект достоверных, документированных персональных данных, состав которых установлен трудовым законодательством, иными законами Российской Федерации;
– своевременно сообщать оператору об изменении своих персональных данных.
2.2. Субъект персональных данных, персональные данные которого обрабатываются в Организации, имеет право:
– подтверждение факта обработки персональных данных;
– сведения о правовых основаниях и целях обработки персональных данных;
– сведения о применяемых способах обработки персональных данных;
– сведения о наименовании и местонахождении оператора;
– сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
– перечень обрабатываемых персональных данных, относящихся к гражданину, от которого поступил запрос и источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
– сроки обработки персональных данных, в том числе сроки их хранения;
– порядок осуществления гражданином прав, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»);
– информацию об осуществляемой или о предполагаемой трансграничной передаче персональных данных;
– наименование (ФИО) и адрес лица, осуществляющего обработку персональных данных по поручению оператора;
– иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами;
2.2.2. требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
2.2.3. отозвать свое согласие на обработку персональных данных;
2.2.4. требовать устранения неправомерных действий оператора в отношении его персональных данных;
2.2.5. в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается;
2.2.6. обжаловать действия или бездействие оператора в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор);
2.2.7. обжаловать действия или бездействие оператора в судебном порядке в случае, если гражданин считает, что Организация осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы;
2.2.8. на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
2.3. Оператор персональных данных обязан:
– предоставить субъекту персональных данных доступ к своим персональным данным или его законному представителю при личном обращении либо при получении письменного запроса;
– предоставить субъекту персональных данных сведения о его персональных данных в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных;
– разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты своих прав и законных;
– рассмотреть возражение субъекта персональных данных в течение 30 (тридцати) дней со дня его получения и уведомить его о результатах рассмотрения такого возражения;
– сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;
– предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы;
– сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;
– в случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки;
– в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии);
– в случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц;
– в случае подтверждения факта неточности персональных данных на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней и снять блокирование персональных данных;
– в случае достижения цели обработки персональных данных прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами, и уведомить об этом субъекта персональных данных и уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты прекращения обработки персональных данных или их уничтожения;
– в случае отзыва субъектом персональных данных согласия на обработку его персональных данных прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами;
– в случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 – 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;
– в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения;
– в случае поступления требования субъекта персональных данных немедленно прекратить передачу (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено;
– до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, а в случае изменения сведений, содержащихся в уведомлении, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить уполномоченный орган по защите прав субъектов персональных данных обо всех произошедших за указанный период изменениях. В случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты прекращения обработки персональных данных;
– обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных;
– уведомить уполномоченный орган по защите прав субъектов персональных данных о своём намерении осуществлять трансграничную передачу персональных данных до начала осуществления деятельности по трансграничной передаче персональных данных.
2.4. Оператор персональных данных имеет право:
– поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее – поручение оператора), на основании которого указанное лицо обязуется соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных»; соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных». В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона «О персональных данных», обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных», в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона «О персональных данных»;
– отстаивать свои интересы в суде;
– отказывать в предоставлении персональных данных в случаях, предусмотренных ч.8 ст. 14 Федерального закона «О персональных данных»;
– использовать персональные данные субъекта без его согласия, в случаях, предусмотренных ч.2 ст. 6 Федерального закона «О персональных данных».
3. Цели сбора и обработки персональных данных
3.1. Организация осуществляет обработку персональных данных в следующих целях:
3.1.1 рассмотрение возможности установления договорных отношений с субъектом персональных данных по его инициативе с целью дальнейшего предоставления финансовых и иных услуг путем заключения договора, одной из сторон которого, либо выгодоприобретателем по которому является субъект персональных данных:
– категории субъектов: заемщики, поручители, залогодатели, супруга (супруг) заемщика/залогодателя/самозанятого, представители юридических и физических лиц, учредители юридических лиц, бенефициары;
– категории персональных данных: общедоступные, специальные;
– перечень обрабатываемых персональных данных: фамилия, имя, отчество, пол, гражданство, ИНН, СНИЛС, дата и место рождения, адрес регистрации и проживания, адрес электронной почты, семейное положение, сведения о доходах, имущественное положение, сведения о стаже трудовой деятельности, сведения об образовании/профессии/должности, паспортные данные, место работы, данные водительского удостоверения, контактный телефон, номера расчетных счетов, сведения о судимости;
– способы обработки: смешанный (с использованием средств автоматизации и без их использования), с передачей по внутренней сети юридического лица, без передачи по сети Интернет;
– срок обработки и хранения: обработка персональных данных осуществляется по мере заключения и исполнения договора, срок хранения персональных данных составляет 5 лет;
– порядок уничтожения: уничтожение персональных данных осуществляется в соответствии с Положением о порядке уничтожения персональных данных субъектов персональных данных.
3.1.2. проведение мероприятий по урегулированию заявлений, претензий, сообщений субъектов персональных данных по вопросам качества обслуживания, предоставления продуктов, деятельности Организации:
– категории субъектов: посетители Организации/сайта Организации и/или физические лица, обратившиеся к Организации с запросом любого характера, и предоставившие, в связи с этим, свои персональные данные; заемщики, поручители, залогодатели, супруга (супруг) заемщика/залогодателя/самозанятого, представители юридических и физических лиц, учредители юридических лиц, бенефициары;
– категории персональных данных: общедоступные;
– перечень обрабатываемых персональных данных: фамилия, имя, отчество, адрес регистрации и проживания, адрес электронной почты, контактный телефон;
– способы обработки: смешанный (с использованием средств автоматизации и без их использования), с передачей по внутренней сети юридического лица, без передачи по сети Интернет;
– срок обработки и хранения: обработка персональных данных осуществляется до момента достижения цели взаимодействия; срок хранения персональных данных составляет 5 лет;
– порядок уничтожения: уничтожение персональных данных осуществляется в соответствии с Положением о порядке уничтожения персональных данных субъектов персональных данных.
3.1.3. предоставление сведений уведомительного или маркетингового характера, в том числе, о новых финансовых продуктах, услугах, проводимых акциях, мероприятиях (по которым имеется предварительное согласие субъекта персональных данных на их получение):
– категории субъектов: посетители Организации/сайта Организации, заемщики, учредители и представители юридических лиц;
– категории персональных данных: общедоступные;
– перечень обрабатываемых персональных данных: фамилия, имя, отчество, ИНН, адрес электронной почты, контактный телефон;
– способы обработки: смешанный (с использованием средств автоматизации и без их использования), с передачей по внутренней сети юридического лица, без передачи по сети Интернет;
– срок обработки и хранения: обработка персональных данных осуществляется до момента достижения цели взаимодействия; срок хранения персональных данных составляет 5 лет;
– порядок уничтожения: уничтожение персональных данных осуществляется в соответствии с Положением о порядке уничтожения персональных данных субъектов персональных данных.
3.1.4. заключение и исполнение договоров с субъектами персональных данных и/или реализация совместных проектов;
– категории субъектов: контрагенты/представители контрагентов и иные лица, состоящие в договорных, гражданско-правовых и иных отношениях с Организацией;
– категории персональных данных: общедоступные;
– перечень обрабатываемых персональных данных: фамилия, имя, отчество, дата и место рождения, адрес регистрации и проживания, пол, гражданство, ИНН, СНИЛС, паспортные данные, адрес электронной почты, контактный телефон, номера расчетных счетов;
– способы обработки: смешанный (с использованием средств автоматизации и без их использования), с передачей по внутренней сети юридического лица, без передачи по сети Интернет;
– срок обработки и хранения: обработка персональных данных осуществляется по мере заключения и исполнения договора, срок хранения персональных данных составляет 5 лет;
– порядок уничтожения: уничтожение персональных данных осуществляется в соответствии с Положением о порядке уничтожения персональных данных субъектов персональных данных.
3.1.5. рассмотрение возможности заключения трудового соглашения/договора с субъектом персональных данных и дальнейшее регулирование трудовых (гражданско-правовых) отношений субъекта персональных данных с Организацией (обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества работника и Организации как работодателя):
– категории субъектов: сотрудники/бывшие сотрудники Организации и их родственники, кандидаты для приема на работу;
– категории персональных данных: общедоступные, специальные;
– перечень обрабатываемых персональных данных: фамилия, имя, отчество, дата и место рождения, пол, адрес регистрации и проживания, гражданство, ИНН, СНИЛС, номер полиса ОМС, паспортные данные, данные военного билета или удостоверения личности офицера, данные о наградах (поощрениях) и почетных званиях, основная должность, структурное подразделение, сумма оклада, место работы и стаж, сведения об образовании/профессии, состав семьи, сведения о судимости, адрес электронной почты, контактный телефон, номера расчетных счетов;
– способы обработки: смешанный (с использованием средств автоматизации и без их использования), с передачей по внутренней сети юридического лица, без передачи по сети Интернет;
– срок обработки и хранения: обработка персональных данных осуществляется по мере заключения и исполнения договора, общий срок хранения персональных данных составляет 5 лет, иные сроки хранения документов бухгалтерского, налогового и кадрового учета установлены Налоговым кодексом РФ, Перечнем Росархива, утв. Приказом № 236 от 20.12.2019 и другими нормативно-правовыми актами;
– порядок уничтожения: уничтожение персональных данных осуществляется в соответствии с Положением о порядке уничтожения персональных данных субъектов персональных данных.
3.1.6. предоставление отчетности и иной информации государственным надзорным органам и иным уполномоченным организациям в соответствии с требованиями действующего законодательства Российской Федерации:
– категории субъектов: сотрудники/бывшие сотрудники Организации, члены Правления и Кредитного комитета Организации, заемщики, поручители, залогодатели, супруга/супруг заемщика/залогодателя/самозанятого, представители юридических и физических лиц, учредители юридических лиц, бенефициары, контрагенты/представители контрагентов и иные лица, состоящие в договорных, гражданско-правовых и иных отношениях с Организацией;
– категории персональных данных: общедоступные;
– перечень обрабатываемых персональных данных: фамилия, имя, отчество, пол, дата и место рождения, адрес регистрации и проживания, гражданство, СНИЛС, ИНН, сведения о трудовой деятельности, паспортные данные, адрес электронной почты, контактный телефон;
– способы обработки: смешанный (с использованием средств автоматизации и без их использования), с передачей по внутренней сети юридического лица, без передачи по сети Интернет;
– срок обработки и хранения: обработка персональных данных осуществляется по мере заключения и исполнения договора, срок хранения персональных данных составляет 5 лет;
– порядок уничтожения: уничтожение персональных данных осуществляется в соответствии с Положением о порядке уничтожения персональных данных субъектов персональных данных.
4. Правовые основания обработки персональных данных
4.1 Политика Организации в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами:
– Конституцией Российской Федерации;
– Трудовым кодексом Российской Федерации;
– Гражданским кодексом Российской Федерации;
– Налоговым кодексом Российской Федерации;
– Федеральным законом от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учете»;
– Федеральным законом от 02.07.2010 г. № 151-ФЗ «О микрофинансовой деятельности и микрофинансовых организациях»;
– Федеральным законом от 12.01.1996 г. № 7-ФЗ «О некоммерческих организациях»;
– Федеральным законом от 03.07.2016 г. № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон “О микрофинансовой деятельности и микрофинансовых организациях»;
– Федеральным законом от 30.12.2004 г. № 218-ФЗ «О кредитных историях»;
– Федеральным законом от 07.08.2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
– Трудовыми договорами с сотрудниками Организации;
– Договорами возмездного оказания услуг с контрагентами;
– Методикой оценки финансового положения, платежеспособности и кредитоспособности Заявителя, Поручителя и оценки обеспечения, с целью предоставления микрозаймов АНО «МКК Магаданской области»;
– Положением о Кредитном комитете Организации;
– Договорами микрозайма с Заемщиками;
– Согласием субъектов персональных данных на обработку персональных данных;
– Согласием субъектов персональных данных на получение кредитного отчета из БКИ.
2.2. Во исполнение норм настоящей Политики в Организации приняты следующие локальные нормативные правовые акты:
– Перечень должностей, доступ которых к персональным данным, обрабатываемым в информационных системах персональных данных и без использования средств автоматизации, необходим для выполнения ими служебных (трудовых) обязанностей;
– Перечень информационных систем персональных данных, используемых в АНО «МКК Магаданской области»;
– Порядок доступа сотрудников в помещения, в которых ведется обработка персональных данных;
– Положение об особенностях и правилах обработки персональных данных, осуществляемой без использования средств автоматизации;
– Положение об особенностях и правилах обработки персональных данных при их автоматизированной обработке в информационных системах персональных данных;
– Положение о порядке уничтожения персональных данных субъектов персональных данных;
– Инструкция ответственного за организацию обработки персональных данных;
– Инструкция пользователя информационных систем персональных данных;
– Инструкция по учету машинных носителей информации;
– Инструкция администратора информационной безопасности;
– Инструкция по организации антивирусной защиты;
– Инструкция пользователя информационной системы персональных данных при возникновении нештатной ситуации;
– Инструкция по учету и хранению съемных носителей персональных данных;
– Инструкция по проведению инструктажа лиц, допущенных к работе с информационной системой персональных данных;
– Инструкция по проведению внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
– Положение о комиссии по защите информации;
– Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных;
– Политика организации защиты сведений конфиденциального характера, составляющих коммерческую и служебную тайну, тайну об операциях заемщиков Организации;
– Положение о работе с сайтом Организации;
– иные локальные нормативные правовые акты.
5. Принципы и условия обработки персональных данных
5.1. Обработка персональных данных должна осуществляться на основе принципов:
1) законности целей и способов обработки персональных данных и добросовестности;
2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
5.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
6. Документы, содержащие персональные данные:
– паспорт или иной документ, удостоверяющий личность;
– трудовая книжка;
– страховое свидетельство государственного пенсионного страхования;
– документы воинского учета;
– документы об образовании, о квалификации или о наличии специальных знаний или специальной подготовки;
– дополнительные документы (справка о доходах с предыдущего места работы, справка из органов государственной налоговой службы о предоставлении сведений об имущественном положении, медицинское заключение о состоянии здоровья и др.).
7. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
7.1. В Организации обрабатываются следующие категории персональных данных:
7.1.1. персональные данные сотрудников Организации, бывших сотрудников, кандидатов для приема на работу, а также родственников сотрудников;
7.1.2. персональные данные членов Правления и Кредитного комитета Организации;
7.1.3. персональные данные контрагентов, лиц, состоящих в договорных, гражданско-правовых и иных отношениях с Организацией;
7.1.4. персональные данные заемщиков, поручителей, залогодателей, супруга (супруги) заемщика/залогодателя/самозанятого, представителей юридических и физических лиц, учредителей юридических лиц, бенефициаров;
7.1.5. персональные данные физических лиц, являющихся посетителями Организации/сайта Организации и/или обратившихся к Организации с запросом любого характера, и предоставивших, в связи с этим, свои персональные данные.
7.2. Объем и содержание персональных данных каждой категории субъектов персональных данных:
7.2.1. в отношении сотрудников Организации, бывших сотрудников, кандидатов для приема на работу, а также родственников сотрудников обрабатываются следующие персональные данные:
– место рождения;
– данные военного билета или удостоверения личности офицера;
– данные о наградах (поощрениях) и почетных званиях (наименование, номер награды, дата);
– сведения об образовании, профессии;
– место работы;
Объем: менее 100000 субъектов.
7.2.2. в отношении членов Правления и Кредитного комитета Организации обрабатываются следующие персональные данные:
– фамилия, имя, отчество;
– дата рождения;
– место рождения;
– гражданство;
– паспортные данные;
– адрес проживания;
– адрес регистрации;
– адрес электронной почты;
– ИНН;
– наименование должности;
– дата и номер решения о предоставлении полномочий.
Объем: менее 100000 субъектов.
7.2.3. в отношении контрагентов/представителей контрагентов и лиц, состоящих в договорных, гражданско-правовых и иных отношениях с Организацией, обрабатываются следующие персональные данные:
– фамилия, имя, отчество;
– дата рождения;
– место рождения;
– адрес проживания;
– адрес регистрации;
– гражданство;
– ИНН;
– паспортные данные;
– контактный телефон;
– СНИЛС;
Объем: менее 100000 субъектов.
7.2.4. в отношении заемщиков, поручителей, залогодателей, супруга (супруги) заемщика/залогодателя/самозанятого, представителей юридических и физических лиц, учредителей юридических лиц, бенефициаров обрабатываются следующие персональные данные:
– ИНН;
– СНИЛС;
– адрес регистрации;
– адрес проживания;
– семейное положение;
– сведения о доходах;
– имущественное положение;
– сведения о стаже трудовой деятельности;
– сведения об образовании, профессии;
– место работы;
– номера расчетных счетов;
– сведения о судимости.
Объем: менее 100000 субъектов.
7.2.5. в отношении физических лиц, являющихся посетителями Организации/сайта Организации и/или обратившихся к Организации с запросом любого характера, обрабатываются следующие персональные данные:
– фамилия, имя, отчество;
– адрес проживания;
– адрес регистрации;
– адрес электронной почты;
– контактный телефон.
Объем: менее 100000 субъектов.
8. Порядок и условия обработки персональных данных
8.1. Организация обрабатывает персональные данные на законной и справедливой основе для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов Организации, сотрудников Организации и третьих лиц.
8.2. Организация получает персональные данные непосредственно у субъектов персональных данных.
8.3. Персональные данные субъекта могут быть получены Организацией от лица, не являющегося субъектом персональных данных, при условии предоставления Организации подтверждения наличия оснований, указанных в подпунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных» или иных оснований, предусмотренных федеральным законодательством. При получении персональных данных у третьей стороны субъект уведомляется об этом.
8.4. Получение и обработка специальных категорий персональных данных физического лица, касающихся его расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни не допускается. В случаях, когда обработка таких сведений необходима в связи с исполнением договорных обязательств, они могут быть получены и обработаны только с письменного согласия самого физического лица. Обработка специальных категорий персональных данных, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась такая обработка.
8.5. Обработка сведений о состоянии здоровья осуществляется Организацией в соответствии с Трудовым Кодексом, Федеральным Законом «Об обязательном медицинском страховании в Российской Федерации», а также пунктом 2.3 части 2 статьи 10 Федерального закона «О персональных данных».
8.6. Организация не обрабатывает сведения, которые характеризуют физиологические особенности субъектов персональных данных и на основе которых можно установить их личность. В соответствии с требованиями ГОСТ Р ИСО/МЭК 19794-5–2006 «Автоматическая идентификация. Идентификация биометрическая. Данные изображения лица» система охранного видеонаблюдения, используемая Организацией, не обрабатывает биометрические персональные данные, на основании которых возможно идентифицировать личность клиента Организации.
8.7. При сканировании или ксерокопировании фотографий в документах, идентифицирующих личность субъектов персональных данных (например, в паспортах), данные изображения не соответствуют требованиям, предъявляемым к форматам записи изображения, установленными ГОСТ Р ИСО\ МЭК 19794-5-2006.
8.8. В случае если обработка биометрических персональных данных субъекта персональных данных необходима Организации в соответствии с действующим законодательством Российской Федерации или для осуществления деятельности Организации, то такая обработка осуществляется с письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации в области персональных данных.
8.9. Организация обрабатывает персональные данные автоматизированным и неавтоматизированным способами, с использованием средств вычислительной техники и без использования таких средств.
8.10. Действия по обработке персональных данных включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.
8.11. Базы данных информации, содержащей персональные данные граждан Российской Федерации, находятся на территории Российской Федерации.
8.12. Организация не сообщает третьей стороне персональные данные сотрудника без его письменного согласия, кроме случаев, когда это необходимо для предупреждения угрозы жизни и здоровью сотрудника, а также в других случаях, предусмотренных ТК РФ, Федеральным законом «О персональных данных» или иными федеральными законами.
8.13. Кроме того, Организация вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации
8.14. Организация обрабатывает персональные данные субъектов персональных данных с их письменного согласия.
8.15. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
8.16. Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
9. Третьи лица, участвующие в обработке персональных данных
9.1. В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Организация в ходе своей деятельности предоставляет персональные данные следующим организациям:
– Федеральной налоговой службе;
– Пенсионному фонду России;
– Негосударственным пенсионным фондам;
– Банку России;
– Страховым компаниям;
– Кредитным организациям;
– Регулирующим и/или контролирующим органам государственной власти и местного самоуправления;
– Федеральной нотариальной палате и нотариальным палатам субъектов Российской Федерации;
– Бюро кредитных историй;
– Саморегулируемым организациям;
– Акционерному обществу «Федеральная корпорация по развитию малого и среднего предпринимательства»;
– Акционерному обществу «Производственная фирма «СКБ Контур».
9.2. Передача персональных данных третьему лицу осуществляется только с согласия субъекта персональных данных или в случаях, прямо предусмотренных законодательством Российской Федерации, а также условиями договора, заключенного субъектом персональных данных с Организацией.
9.3. Организация вправе поручить обработку персональных данных третьей стороне с согласия субъекта персональных данных и в иных случаях, предусмотренных действующим законодательством Российской Федерации, на основании заключаемого с этой стороной договора (далее – поручение). Третья сторона, осуществляющая обработку персональных данных по поручению Организации, обязана соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных», обеспечивая конфиденциальность и безопасность персональных данных при их обработке.
9.4. Раскрытие персональных данных третьему лицу в коммерческих целях без согласия соответствующего субъекта персональных данных запрещено. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации осуществляется только при условии предварительного согласия на это субъекта персональных данных.
10. Обеспечение безопасности персональных данных
Организация при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. К таким мерам, в соответствии ст. 18.1 и 19 Федерального закона «О персональных данных», в частности, относится:
– назначение лица, ответственного за организацию обработки персональных данных;
– определение угроз безопасности персональных данных при их обработке;
– применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
– применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
– оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
– учет машинных носителей персональных данных;
– обнаружение фактов несанкционированного доступа к персональным данным и принятие мер при их обнаружении;
– восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
– установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
– контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных
– разработка и утверждение локальных актов по вопросам обработки и защиты персональных данных;
– оценка вреда, который может быть причинен гражданам в случае нарушения Федерального закона №152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых Организацией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом №152-ФЗ «О персональных данных»;
– ознакомление сотрудников Организации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами по вопросам обработки и защиты персональных данных, и обучение сотрудников Организации;
– соблюдение условий, исключающих несанкционированный доступ к материальным носителям персональных данных и обеспечивающих сохранность персональных данных;
– применение технических средств защиты, включая:
– антивирусные средства защиты;
– средства межсетевого экранирования;
– средства защиты информации от несанкционированного доступа;
– применение мер и средств контроля физического доступа в помещения, в которых осуществляется обработка персональных данных и к носителям персональных данных.
11. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
11.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена.
11.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
– иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
– оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
– иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
11.3. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных и при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
11.4 Организация обязана сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.
12. Пересмотр положений политики
Пересмотр положений настоящей Политики проводится:
– при изменении законодательства Российской Федерации в области персональных данных;
– в случаях выявления несоответствий, затрагивающих обработку персональных данных;
– по результатам контроля выполнения требований по обработке и защите персональных данных;
– по решению руководства Организации.
13.1 Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.
13.2. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
13.3. Каждый сотрудник Оператора, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
13.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта персональных данных, несут ответственность в соответствии с федеральными законами:
– дисциплинарную (замечание, выговор, увольнение);
– административную (предупреждение или административный штраф);
– гражданско-правовую (возмещение причиненного убытка);
– уголовную (штраф, либо обязательные работы, либо исправительные работы, либо арест, либо лишение свободы, либо лишение прав занимать определенные должности).
13.5. Субъект персональных данных, предоставивший Оператору подложные документы или заведомо ложные сведения о себе, несет дисциплинарную ответственность, вплоть до увольнения (если субъект персональных данных является сотрудником Организации).