УТВЕРЖДЕНА Приказом №3/5/П от 17 марта 2017

ООО «МКК «Центр быстрых кредитов»

Приложение 1 к Приказу №3/5/П от 17 марта 2017

 

Политика ООО «МКК «Центр быстрых кредитов» в отношении обработки персональных данных

  

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика в отношении обработки персональных данных в ООО «МКК «Центр быстрых кредитов» (далее - Политика) разработана в соответствии с требованиями Федерального закона «О персональных данных», Федерального закона «О кредитных историях», Федерального закона «О микрофинансовой деятельности и микрофинансовых организациях», других нормативных правовых актов Российской Федерации.

1.2.Настоящая Политика обязательна к исполнению всеми сотрудниками ООО «МКК «Центр быстрых кредитов» (далее – «Общество»), описывает основные цели, принципы обработки и требования к безопасности персональных данных ООО «МКК «Центр быстрых кредитов».

1.3.Обеспечение безопасности и конфиденциальности персональных данных является одним из приоритетных направлений в деятельности Общества. 

1.4. Работники, уполномоченные на обработку персональных данных, обеспечивают обработку персональных данных в соответствии с требованиями Федерального закона «О персональных данных», Федерального закона «О кредитных историях», Федерального закона «О микрофинансовой деятельности и микрофинансовых организациях», других нормативных правовых актов Российской Федерации и несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.

1.5. Перечень лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в Обществе, утверждается приказом Генерального директора.

 

2. ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ

2.1. В настоящей Политике используются следующие понятия:

  • персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
  • субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
  • оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
  • распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

 

3. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА И СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Права и обязанности субъектов персональных данных.

3.1.1.Субъекты, персональные данные которых обрабатываются  Обществом, имеют право:

1) на безвозмездное ознакомление со своими персональными данными, за исключением случаев, предусмотренных Федеральным законом «О персональных данных»;

2) на получение информации, касающейся обработки своих персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных Обществом;

- правовые основания и цели обработки персональных данных;

- цели и применяемые Обществом способы обработки персональных данных;

- наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

- информацию об отсутствии трансграничной передачи данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные законодательством Российской Федерации;

3) требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

4) обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

5) на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

3.1.2.Субъекты, персональные данные которых обрабатываются Обществом, обязаны:

- сообщать достоверную информацию о себе и предоставлять документы, содержащие персональные данные, состав которых установлен законодательством Российской Федерации и локальными нормативными документами Общества в объеме, необходимом для цели обработки;

- сообщать Обществу об уточнении (обновлении, изменении) своих персональных данных.

3.2. Права и обязанности работников Общества, обрабатывающих персональные данные субъектов персональных данных.

3.2.1.  Работники Общества, обрабатывающие персональные данные, в зависимости от целей обработки, указанных в разделе 4 настоящей Политики, вправе:

- получать документы, содержащие персональные данные;

- требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных.

3.2.2. Работники Общества, обрабатывающие персональные данные субъектов персональных данных, обязаны:

- обрабатывать персональные данные, полученные в установленном действующим законодательством порядке;

- соблюдать, указанные в настоящей Политике правила обращения с документами, содержащие персональные данные, порядок их получения, обработки и хранения;

- строго соблюдать, установленные настоящей Политикой внутренними документами Общества правила обеспечения безопасности информации при работе с программными и техническими средствами в информационной системе персональных данных;

- во время работы с документами, содержащими персональные данные, исключать возможность ознакомления с ними иных лиц, не имеющих доступа к данными документам;

- при увольнении сдать все имеющиеся в его распоряжении материальные носители информации, содержащие персональные данные;

- обеспечивать конфиденциальность персональных данных субъектов персональных данных, ставших им известными в связи с выполнением своих функциональных обязанностей (за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных).

 

4. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Персональные данные собираются и обрабатываются Обществом исключительно на законных основаниях, с согласия субъектов персональных данных, в целях заключения договоров займа (микрозайма), исполнения Клиентами договоров займа (микрозайма), для рассмотрения претензий Клиентов, а также в целях, необходимых Обществу как работодателю в связи с трудовыми отношениями.

4.2. Предоставляя свои персональные данные Обществу, субъект персональных данных подтверждает свое согласие на их обработку любым способом в целях, в порядке и объеме, установленных действующим законодательством Российской Федерации.

 

5. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных, в том числе:

  • Конституция Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Федеральный закон «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  • Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях»;
  • устав Общества и иные локальные нормативные акты Общества;
  • иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти;
  • согласие субъектов на обработку их персональных данных.

 

6. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1.  В зависимости от целей, предусмотренных в разделе 4  настоящей Политики, в Обществе могут обрабатываться персональные данные следующих категорий субъектов:

  • работники Общества, включая работников, работающих по договору подряда, а также сотрудников сторонних организаций, взаимодействующих с Обществом на основании соответствующих нормативных, правовых и организационно-распорядительных документов (фамилия, имя, отчество, пол, возраст, изображение (фотография), паспортные данные, адрес регистрации и фактического проживания, индивидуальный номер налогоплательщика, страховой номер индивидуального лицевого счета (СНИЛС), образование, квалификация, профессиональная подготовка и сведения о повышении квалификации, семейное положение, наличие детей, родственные связи, сведения о трудовой деятельности, в том числе наличие поощрений, награждений и/или дисциплинарных взысканий, данные о регистрации брака, сведения о воинском учете, сведения об инвалидности, сведения об удержании алиментов, сведения о доходе с предыдущего места работы, иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства);
  • кандидаты на трудоустройство в Общество (фамилия, имя, отчество, год и место рождения, контактные данные, сведения о профессии и иные персональные данные, сообщаемые соискателем в резюме и сопроводительных письмах);
  • контрагенты Общества и их представители (фамилия, имя, отчество, паспортные данные);
  • клиенты Общества, их представители и поручители (фамилия, имя, отчество, пол, год и место рождения, изображение (фотография), паспортные данные, адрес регистрации и фактического проживания, контактные данные и иные персональные данные, предоставляемые клиентами, их представителями и поручителями в целях заключения и исполнения договоров займа (микрозайма).

 

7. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации.

7.2. Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).

7.3. К обработке персональных данных допускаются только те работники Общества, в должностные обязанности которых входит обработка персональных данных. Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.

7.4. Обработка персональных данных осуществляется путем:

  • получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
  • предоставления субъектами персональных данных оригиналов необходимых документов;
  • получения заверенных в установленном порядке копий документов, содержащих персональные данные или копирования оригиналов документов;
  • получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации;
  • получения персональных данных из общедоступных источников;
  • фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;
  • внесения персональных данных в информационные системы Общества;
  • использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой Обществом деятельности.

7.5. Передача персональных данных третьим лицам (в том числе трансграничная передача) допускается с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.

7.6. При передаче персональных данных третьим лицам в соответствии с заключенными договорами Общество обеспечивает обязательное выполнение требований законодательства Российской Федерации и нормативных актов в области персональных данных.

7.7. Передача персональных данных в уполномоченные органы исполнительной власти и организации (Министерство внутренних дел Российской Федерации, Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Федеральный фонд обязательного медицинского страхования Российской Федерации и другие) осуществляется в соответствии с требованиями законодательства Российской Федерации.

7.8. Общество вправе поручить обработку персональных данных другому юридическому лицу с согласия субъектов персональных данных на основании заключаемого договора. Юридическое лицо, осуществляющие обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации в области персональных данных.

7.9. В случае, когда Общество на основании договора передает или поручает обработку персональных данных другому юридическому лицу, существенным условием договора должна быть обязанность обеспечения указанным лицом условий конфиденциальности и обеспечения безопасности персональных данных при их передаче или обработке.

7.10. Хранение персональных данных в Обществе осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных;
  • Общество не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами.

7.11. Сроки хранения персональных данных в Обществе определяются в соответствии с законодательством Российской Федерации и нормативными актами в области документооборота.

 

8. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Сведения, указанные в части 7 статьи 14 Федерального закона «О персональных данных», предоставляются субъекту персональных данных или его представителю Обществом при обращении либо при получении запроса субъекта персональных данных или его представителя.

8.2. Сведения предоставляются в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

8.3. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона «О персональных данных» все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

8.4. Сведения, указанные в части 7 статьи 14 Федерального закона «О персональных данных», предоставляются субъекту персональных данных или его представителю Обществом при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом, подпись субъекта персональных данных или его представителя.

8.5. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Общество вносит в них необходимые изменения.

8.6. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Общество уничтожает такие персональные данные.

8.7. Общество уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

8.8. Общество обязано сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

8.9. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

8.10. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Общество прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.

8.11. В случае отсутствия возможности уничтожения персональных данных в течение вышеуказанного срока Общество осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

8.12. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в части 2 статьи 9 Федерального закона «О персональных данных».

 

9. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. В целях защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных Общество разрабатывает необходимые правовые, организационные и технические меры, обеспечивает их принятие.

9.2. Обеспечение безопасности персональных данных в Обществе достигается, в частности:

  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивают установленные Правительством Российской Федерации уровни защищенности персональных данных;
  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • учетом машинных носителей персональных данных;
  • обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

9.3. Общество не должно обеспечивать безопасность и конфиденциальность персональных данных в следующих случаях:

  • Персональные данные обезличены;
  • Персональные данные являются общедоступными или включены в источники общедоступных данных.

 

10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

10.1. Настоящая Политика является общедоступным документом и подлежит размещению на официальном сайте Общества.

10.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.

10.3. Контроль исполнения требований настоящей политики осуществляется в Обществе ответственным за обеспечение безопасности персональных данных.

10.4. Ответственность за нарушение требований законодательства Российской Федерации и внутренних документов Общества в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

 

Генеральный директор

ООО «МКК «Центр быстрых кредитов»                                                                   Е.В. Турышева