Печать

                    

УТВЕРЖДАЮ

Председатель Правления КПК "Содружество"

______________________ С.Н. Богданов

"25" декабря 2018 г.

ПОЛИТИКА

в отношении обработки персональных данных

в Кредитном потребительском кооперативе «Содружество»

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Политика в отношении обработки персональных данных (далее - Политика) определяет порядок сбора, хранения, передачи и любого другого использования персональных данных работников, пайщиков, поручителей и залогодателей в Кредитном потребительском кооперативе «Содружество» (далее - КПК, Оператор) в соответствии с законодательством Российской Федерации. Целью данной Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика разработана в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 01 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687), иными нормативными актами, действующими на территории Российской Федерации.

1.3. Для целей настоящей Политики используются следующие основные понятия:

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц.

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия субъекта персональных данных.

1.4. Настоящая Политика утверждается и вводится в действие приказом Председателя Правления КПК и является обязательной для исполнения всеми работниками, имеющими доступ к персональным данным сотрудников, пайщиков, поручителей и залогодателей.

1.5. Оператор ведет свою деятельность по адресу: Чувашская Республика, г.Чебоксары, ул.К.Маркса, д.52, корп.2, офис 220.

1.6. База данных информации, содержащей персональные данные граждан Российской Федерации, находится по адресу: Чувашская Республика, г.Чебоксары, ул.К.Маркса, д.52, корп.2, офис 220.

2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ в КПК

2.1. Персональные данные относятся к конфиденциальной информации, порядок работы с ними регламентирован Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и осуществляется с соблюдением строго определенных правил и условий.

2.2. При обработке персональных данных КПК руководствуется принципами:

- обеспечения законности целей и способов обработки персональных данных;

- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;

- соответствия объема и характера обрабатываемых персональных данных, а также способов обработки персональных данных целям обработки персональных данных;

- отсутствия избыточных персональных данных по отношению к заявленным при сборе персональных данных целям;

- обеспечения достоверности обрабатываемых персональных данных;

- использования раздельных баз данных информационной системы персональных данных для несовместных целей обработки персональных данных.

2.3. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.

2.3.1. Персональные данные работников КПК обрабатываются в целях обеспечения исполнения трудового законодательства при оформлении трудовых отношений работников с КПК.

2.3.2. Персональные данные пайщиков обрабатываются в целях вступления в члены КПК и (или) для заключения договоров займов и о передаче личных сбережений.

2.3.3. Персональные данные поручителей и залогодателей обрабатываются в целях обеспечения заключаемых договоров займов.

2.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

2.5. Обработка персональных данных осуществляется с письменного согласия субъекта на обработку его персональных данных.

2.6. Обработка персональных данных возможна без согласия субъекта персональных данных, если персональные данные являются общедоступными.

2.7. Согласие работника не требуется в следующих случаях:

- обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия работодателя;

- обработка персональных данных осуществляется в целях исполнения трудового договора.

2.8. В случае отзыва субъектом персональных данных согласия на обработку персональных данных КПК вправе продолжить обработку персональных данных без согласия субъекта персональных данных для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей, для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица или для исполнения договора, стороной которого либо выгодоприобретателем, поручителем или залогодателем по которому является субъект персональных данных.

2.9. КПК обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

2.10. Обработка персональных данных осуществляется в смешанном режиме, как с использованием средств автоматизации, так и без использования средств автоматизации.

2.11. КПК не осуществляет:

- обработку специальных категорий персональных данных;

- обработку биометрических персональных данных;

- трансграничную передачу персональных данных.

3. ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. КПК осуществляет обработку персональных данных на основании:

- требований Федеральных законов, в которых установлена цель обработки персональных данных, условия получения персональных и круг субъектов, персональные данные которых подлежать обработке, а также определены полномочия оператора;

- договоров, определяющих цели обработки персональных данных, одной из сторон которых является субъект персональных данных;

- письменного согласия субъекта на обработку его персональных данных.

4. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Понятие и состав персональных данных работников КПК

4.1.1. Персональные данные работников - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

4.1.2. К персональным данным работников относятся:

- сведения, содержащиеся в паспорте;

- информация, содержащаяся в трудовой книжке;

-информация, содержащаяся в страховом свидетельстве государственного пенсионного страхования;

- сведения, содержащиеся в документах воинского учета;

- сведения об образовании, квалификации или наличии специальных знаний или подготовки;

- информация о состоянии здоровья в случаях, предусмотренных законодательством;

- сведения, содержащиеся в свидетельстве о постановке на учет физического лица в налоговом органе на территории Российской Федерации;

- сведения о семейном положении;

- информация о заработной плате;

- другая персональная информация (рабочий и личный номер телефона и адрес электронной почты).

4.2. Понятие и состав персональных данных пайщиков, поручителей и залогодателей

4.2.1. Персональные данные пайщиков - информация, касающаяся конкретного физического лица (субъекта персональных данных), необходимая для вступления в члены КПК, для заключения договора займа и (или) договора о передаче личных сбережений.

4.2.2. Персональные данные поручителей и залогодателей - информация, касающаяся конкретного физического лица (субъекта персональных данных), необходимая для обеспечения заключаемого договора займа с пайщиками КПК.

4.2.3. К персональным данным пайщиков, поручителей и залогодателей относятся:

- сведения, содержащиеся в паспорте;

- сведения, содержащиеся в свидетельстве о постановке на учет физического лица в налоговом органе на территории Российской Федерации;

- сведения о месте работы;

-сведения о состояние здоровья;

- информация о заработной плате и прочих видах доходов;

- информация об имущественном обеспечении займа (документ, удостоверяющий право собственности на объект залога);

- сведения о наличии движимого и (или) недвижимого имущества;

-сведения, содержащиеся в свидетельстве о регистрации индивидуального предпринимателя;

- сведения, содержащиеся в свидетельстве о постановке на учет в налоговом органе на территории Российской Федерации;

- сведения, содержащиеся в свидетельстве о постановке на учет в Пенсионном Фонде Российской Федерации (страховое свидетельство);

- налоговые декларации с квитанцией об уплате налогов.

-другая персональная информация, предоставленная лично (контактный телефон, сведения о семейном положении, свидетельство о рождении ребенка, и пр.).

5. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ В КПК

5.1. Сбор персональных данных

5.1.1. Персональные данные работника, пайщика, поручителя и залогодателя предоставляются субъектом персональных данных лично, либо могут быть представлены посредством телекоммуникационной сети интернет в целях получения предварительной консультации.

5.1.2. В случае, когда персональные данные возможно получить только у третьей стороны, субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

С целью выявления надежности заемщика КПК, с письменного согласия заемщика (поручителя, залогодателя), имеет право получать информацию в Бюро кредитных историй. В случае отказа заемщика (поручителя, залогодателя) дать письменное согласие на ее получение, КПК имеет право отказать в выдаче займа.

5.1.3. Субъект персональных данных обязан предоставлять КПК достоверную персональную информацию. При изменении персональных данных должен письменно уведомить об этом КПК в срок, не превышающий 3 календарных дней.

5.1.4. КПК имеет право запрашивать у субъекта персональных данных дополнительные сведения и документы, подтверждающие их достоверность.

5.1.5. КПК не имеет права получать и обрабатывать персональные данные о политических, религиозных и иных убеждениях и частной жизни субъекта персональных данных.

5.2. Учет персональных данных

5.2.1. Учет персональных данных работников

К документам КПК, учитывающим информацию персонального характера о работниках, относятся:

- комплекты документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;

- копии документов, удостоверяющих личность и документы, содержащие информацию персонального характера, включаемые в личные дела сотрудников;

- учетные документы по личному составу ("Личная карточка работника", ф.Т-2)

-вспомогательные регистрационно-учетные формы, содержащие сведения персонального характера (книга учета трудовых книжек, журналы учета командировок, отпусков, военнообязанных и пр.);

- трудовые договоры с работниками, изменения к трудовым договорам, договоры о материальной ответственности с работниками;

- распорядительные документы по личному составу (подлинники и копии);

- документы по оценке деловых и профессиональных качеств работников при приеме на работу;

- документы, отражающие деятельность аттестационной комиссии;

- документы о результатах служебных расследований;

- копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;

- документы бухгалтерского учета, содержащие информацию о расчетах с персоналом;

- медицинские документы, справки;

- другие документы, содержащие сведения персонального характера.

5.2.2. Учет персональных данных пайщиков

К документам КПК, содержащим информацию персонального характера о пайщиках, поручителях и залогодателях относятся:

- регистрационно-учетные формы, содержащие сведения персонального характера (реестр пайщиков, журнал учета договоров, программа 1С «Бухгалтерия», Финансы КПК, 1СЗУП);

-копии документов, удостоверяющих личность;

-документы, содержащие информацию персонального характера, включаемые в картотечное дело пайщика (анкеты, заявления, переписка);

- договора займа, договора о передаче личных сбережений, договора поручительства, залога;

-отчетные, аналитические и справочные материалы о пайщиках, поручителях и залогодателях, передаваемые руководству КПК менеджерами займов отделений.

5.3. Хранение персональных данных

5.3.1. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.

5.3.2. Конкретные обязанности по хранению сведений о субъектах персональных данных, заполнению, хранению и выдаче документов, ведению информационной базы персональных данных отражающих персональные данные, возлагаются на работников КПК и закрепляются в должностных инструкциях.

5.3.3. Допуск к персональным данным разрешен должностным лицам, которым персональные данные необходимы для выполнения конкретных трудовых функций.

Внешний допуск к персональным данным работников имеют члены органов управления КПК - Правления кооператива, Ревизионной комиссии и Комитета по займам, а также внешний аудитор.

5.3.4. Обработка и хранение сведений персонального характера на материальных носителях осуществляется на основании Постановления Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

5.3.5. Обработка и хранение сведений персонального характера в информационной системе КПК осуществляется с использованием программного обеспечения на основании Постановления Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

5.3.6. Доступ к программному обеспечению, а также к персональной информации, хранящейся в информационной системе КПК, строго регламентирован и осуществляется при введении пароля пользователя.

5.3.7. Хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки персональных данных, если срок хранения не установлен федеральным законом.

Сроки хранения персональных данных в КПК определены Номенклатурой дел на основании «Перечня типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения» (утв. Росархивом 6 октября 2000 г. с изменениями) в соответствии с основными положениями Государственной системы документационного обеспечения управления.

5.4. Передача персональных данных

5.4.1. КПК обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

5.4.2. Передача персональных данных работников, пайщиков и поручителей в пределах КПК осуществляется в соответствии с должностными инструкциями и руководящими распоряжениями Председателя Правления КПК.

5.4.3. Работники КПК, в обязанности которых входит работа с персональными данными работников, пайщиков, поручителей и залогодателей, обеспечивают защиту персональных данных от несанкционированного доступа и копирования.

5.4.4. КПК имеет право передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

5.4.5. КПК имеет право передавать персональные данные субъекта его законным, полномочным представителям в порядке, установленном законодательством, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.

5.4.6. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.

5.5. Уничтожение персональных данных

5.5.1. Документы, содержащие персональные данные, подлежат уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации, и Федеральным законом №152-ФЗ от 27.07.2006 г. «О персональных данных».

5.5.2. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении таких целей.

5.5.3. Уничтожение или обезличивание части персональных данных производится способом, исключающим дальнейшую обработку этих персональных данных.

6. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ ПО ОБЕСПЕЧЕНИЮ

ЗАЩИТЫ СВОИХ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Субъект персональных данных (работник, пайщик, поручитель, залогодатель) вправе требовать от КПК уточнения его персональных данных, их блокирования или прекращения их обработки в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.2. В случае соответствующего обращения, по установленной форме, субъекта персональных данных КПК должен:

- осуществить идентификацию субъекта персональных данных;

- установить факт обработки персональных данных субъекта персональных данных;

- предоставить субъекту персональных данных возможность ознакомления с полной информацией о его персональных данных, обрабатываемых в КПК;

- внести изменения, прекратить обработку или блокировать персональные данные субъекта по его письменному требованию при предоставлении им сведений, подтверждающих, что обрабатываемые персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также данных, обработанных с нарушением требований законодательства РФ, если нет оснований для обработки персональных данных субъекта в связи с требованиями Федеральных законов или договоров с КПК;

- известить всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта персональных данных обо всех произведенных в них исключениях, исправлениях или дополнениях;

- уведомить субъекта персональных данных о результатах запрашиваемых субъектом действий в порядке и сроки, предусмотренные законодательством РФ.

6.3. Субъект персональных данных может реализовать свои права на получение сведений, касающихся обработки его персональных данных Оператором, и на ознакомление с персональными данными, принадлежащими субъекту, обрабатываемыми Оператором, путем обращения лично или через законного представителя, либо путем направления письменного запроса. Запрос может быт направлен в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации.

В соответствии с частью 3 статьи 14 Федерального закона РФ от 27 июля 2006 №152-ФЗ "О персональных данных" запрос субъекта персональных данных должен содержать:

- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора или иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;

- подпись субъекта персональных данных или его представителя.

Оператор обязуется безвозмездно предоставить запрашиваемые сведения субъекту персональных данных или его представителю в доступной форме в течение тридцати дней с даты обращения или даты получения запроса субъекта персональных данных или его представителя либо дать в письменной форме мотивированный ответ, содержащий ссылку на положения федерального закона, являющиеся основанием для отказа в предоставлении информации.

В случае если необходимые сведения были предоставлены субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения данных сведений не ранее чем через тридцать дней после первоначального обращения или направления первоначального запрос, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные, обрабатываемые Оператором, являются, неточными или неактуальными, Оператор обязуется внести в них необходимые изменения.

В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные, обрабатываемые Оператором, являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязуется уничтожить такие персональные данные.

В случае невозможности уничтожения персональных данных в течение указанного срока, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование и уничтожение в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

7. ОБЯЗАННОСТИ И ОТВЕТСТВЕННОСТЬ КПК ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. КПК обязан:

- предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;

- назначить ответственного за организацию обработки персональных данных;

-применять правовые, организационные и технические меры по обеспечению безопасности персональных данных;

- разработать документы (Положения, инструкции, приказы, распоряжения, должностные инструкции), определяющие политику КПК в отношении обработки и защиты персональных данных;

- осуществлять внутренний контроль соответствия обработки персональных данных требованиям к их защите;

- ознакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику КПК в отношении обработки персональных данных, организовать обучение работников;

- опубликовать данную Политику на сайте КПК «Содружество» www.kpksodrugestvo.ru.

7.2. Работники, в соответствии со своими полномочиями владеющие информацией о субъектах персональных данных, получающие и использующие ее, несут персональную ответственность за нарушение режима защиты, обработки и порядка использования этой информации.

7.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта персональных данных, несут ответственность в соответствии с законодательством РФ:

- дисциплинарную;

- материальную;

- гражданско-правовую;

- административную;

- уголовную.

8. КОНТРОЛЬ ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХДАННЫХ

8.1. Контроль и надзор за обработкой персональных данных в КПК осуществляет ответственный за обработку персональных данных, назначаемый приказом Председателя Правления КПК.

8.2. Лицо, ответственное за обработку персональных данных, получает указания непосредственно от Председателя Правления КПК.

8.3. Лицо, ответственное за обработку персональных данных, обязано:

1) осуществлять внутренний контроль за соблюдением КПК и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

2) доводить до сведения работников КПК положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

8.4. Ответственным за обработку персональных данных работников в КПК является Управляющий - Богданова Елена Васильевна.

8.5. Ответственным за обработку персональных данных пайщиков, поручителей и залогодателей в КПК является Начальник отдела по работе с пайщиками - Кудрявцева Анна Вячеславовна.

9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

9.1. Настоящая Политика является внутренним документом КПК.

9.2. Политика обязательна для всех работников КПК.

9.3. Работники должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.