2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3. СУБЪЕКТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
4. КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
5. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6. ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
8. ОСНОВНЫЕ ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ И ОБЯЗАННОСТИ КООПЕРАТИВА
1.1. Политика в отношении обработки персональных данных (далее - Политика) действует в отношении всей информации, которую Кредитный потребительский кооператив «ЕДИНСТВО» (далее - Кооператив) может получить о физических лицах в рамках ведения своей деятельности.
Целью данной Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика разработана в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»)Постановлением Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и иными нормативными актами Российской Федерации и предназначена для ознакомления неограниченного круга лиц.
1.3. Для целей настоящей Политики используются следующие основные понятия:
Персональные данные- любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор - Кооператив, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.4. Настоящая Политика утверждается и вводится в действие приказом Директора и является обязательной для исполнения всеми работниками, имеющими доступ к персональным данным работников, контрагентов, членов Кооператива (пайщиков), поручителей и залогодателей.
2.1. Обработка персональных данных Кооперативом осуществляется на основании следующих принципов:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;
- при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
2.2. Оператор обрабатывает персональные данные при наличии одного изследующих условий:
- обработка персональных данных осуществляется с согласия субъекта персональных данных;
- обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- осуществляется обработка персональных данных, доступ неограниченного круга лиц, к которым предоставлен субъектом персональных данных либо по его просьбе;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
В Кооперативе обрабатываются персональные данные следующих категорий физических лиц (субъектов персональных данных):
- работников (состоящих в трудовых отношениях с Кооперативом);
- контрагентов (по гражданско-правовым договорам);
- членов Кооператива (пайщиков), поручителей, залогодателей (по гражданско-правовым договорам);
- иных лиц, давших согласие Кооперативу на обработку своих персональных данных, либо сделавших общедоступными свои персональные данные или чьи персональные данные получены из общедоступного источника, а также в других случаях, предусмотренных законодательством Российской Федерации.
Кооператив обрабатывает следующие категории персональных данных:
4.1. Работники:
- сведения, содержащиеся в паспорте;
- информация, содержащаяся в трудовой книжке;
- информация, содержащаяся в страховом свидетельстве государственного пенсионного страхования;
- сведения, содержащиеся в документах воинского учета;
- сведения об образовании, квалификации или наличии специальных знаний или подготовки;
- информация о состоянии здоровья (в случаях, предусмотренных законодательством);
- сведения, содержащиеся в свидетельстве о постановке на учет физического лица в налоговом органе на территории Российской Федерации;
- сведения о семейном положении;
- информация о заработной плате;
- другая персональная информация, предоставленная лично (рабочий и домашний (мобильный) номер телефона и адрес электронной почты).
4.2. Лица, выполняющие для Кооператива работы и услуги по договорам гражданско-правового характера:
- сведения, содержащиеся в паспорте;
- сведения, содержащиеся в свидетельстве о постановке на учет физического лица в налоговом органе на территории Российской Федерации;
- сведения, содержащиеся в свидетельстве о регистрации индивидуального предпринимателя;
- сведения, содержащиеся в свидетельстве о постановке на учет в налоговом органе на территории Российской Федерации;
- сведения, содержащиеся в свидетельстве о постановке на учет в Пенсионном Фонде Российской Федерации (страховое свидетельство);
- другая персональная информация, предоставленная лично (рабочий и личный номер телефона и адрес электронной почты).
4.3. Члена Кооператива (пайщики), поручители, залогодатели:
- сведения, содержащиеся в паспорте;
- сведения, содержащиеся в свидетельстве о постановке на учет физического лица в налоговом органе на территории Российской Федерации;
- сведения о месте работы;
- информация о заработной плате и прочих видах доходов;
- информация об имущественном обеспечении займа (документ, удостоверяющий право собственности на объект залога);
- сведения о наличии движимого и (или) недвижимого имущества;
- сведения, содержащиеся в свидетельстве о регистрации индивидуального предпринимателя;
- сведения, содержащиеся в свидетельстве о постановке на учет в налоговом органе на территории Российской Федерации;
- сведения, содержащиеся в свидетельстве о постановке на учет в Пенсионном Фонде Российской Федерации (страховое свидетельство);
- налоговая декларация за последний отчетный период с квитанцией об уплате налогов.
- другая персональная информация, предоставленная лично (контактный телефон, сведения о семейном положении, свидетельство о рождении ребенка, и пр.).
Обработка персональных данных субъектов осуществляется Кооперативом в целях:
- организации финансовой взаимопомощи членам Кооператива;
- обеспечение трудовых и производственных процессов и выполнения трудового законодательства Российской Федерации;
- совершения гражданско-правовых сделок и исполнения гражданско-правовых обязательств;
- обеспечения соблюдения требований действующего законодательства и Устава Кооператива.
6.1. Кооператив осуществляет обработку (сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение) персональных данных с использованием средств автоматизации (электронные носители персональных данных), а также без использования таких средств (бумажный документооборот).
6.2. Все персональные данные Кооператив получает от самого субъекта персональных данных. В случаях, установленных Федеральным законом «О персональных данных», обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Если персональные данные субъекта можно получить только у третьей стороны, то субъекту персональных данных предоставляется письменное уведомление об этом или от него должно быть получено согласие.
6.3. Кооператив сообщает субъекту персональных данных об источнике получения персональных данных, целях и правовых основаниях обработки персональных данных, предполагаемых пользователях персональных данных, а также о правах субъекта персональных данных.
6.4. Кооператив получает персональные данные в ходе следующих процедур обработки персональных данных:
- получение оригиналов необходимых документов от субъекта персональных данных (трудовая книжка, справка о доходах и др.);
- копирование оригиналов документов, предоставленных субъектом персональных данных (паспорт, свидетельство ИНН, документ об образовании и др.);
- внесение сведений в электронные учетные формы со слов субъекта персональных данных;
- заключение трудовых и гражданско-правовых договоров с субъектом персональных данных.
6.5. Обработка персональных данных в Кооперативе осуществляется в следующих случаях:
- с письменного согласия субъекта персональных данных на обработку его персональных данных;
- для осуществления и выполнения возложенных законодательством Российской Федерации на Кооператив функций, полномочий и обязанностей (Федеральный закон от 07.08.2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», Федеральный закон от 18.07.2009 г. № 190-ФЗ «О кредитной кооперации», Федеральный закон от 30.12.2004 г. № 218-ФЗ «О кредитных историях», Налоговый Кодекс Российской Федерации, Федеральный закон от 24.07.2009 г№ 212-ФЗ «О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования»);
- для исполнения трудового и гражданско-правового договоров, а также для заключения договора по инициативе субъекта персональных данных.
6.6. Хранение персональных данных в Кооперативе осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, за исключением случаев, когда срок хранения персональных данных установлен Федеральными законами или договором, стороной которого является субъект персональных данных.
6.6.1. Персональные данные, полученные Кооперативом от субъекта персональных данных, могут храниться как на бумажных носителях, так и в электронном виде.
6.6.2. Персональные данные на бумажных носителях хранятся в запираемых шкафах и сейфах в защищаемых помещениях.
6.6.3. Персональные данные в электронном виде хранятся на жестких дисках компьютеров сотрудников Кооператива и файловом сервере.
6.6.4. В Кооперативе устанавливается запрет на размещение электронных документов, содержащих персональные данные в открытых электронных каталогах (файлообменниках).
6.7. Уничтожение персональных данных осуществляется Кооперативом, также обеспечивается их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Кооператива) в случае достижения целей обработки персональных данных в срок, не превышающий 30 (тридцати) дней с даты достижения целей обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем илипоручителемпо которому является субъект персональных данных, иным соглашением между Кооперативом и субъектом персональных данных, либо если Кооператив не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
6.7.1. Уничтожение персональных данных на бумажных носителях в Кооперативе производится путем дробления (измельчения), с составлением соответствующего акта об уничтожении носителей персональных данных.
6.7.2. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
6.8. Передача персональных данных осуществляется Кооперативом в следующих случаях:
- субъект персональных данных выразил свое согласие на передачу своих персональных данных;
- передача персональных данных предусмотрена законодательством Российской Федерации.
6.8.1. Перечень организаций, которым передаются персональные данныеКооперативом:
- Пенсионный фонд Российской Федерации для учета (на законных основаниях);
- Налоговые органы Российской Федерации (на законных основаниях);
- банки для начисления заработной платы (на основании договора);
- иные государственные и муниципальные органы, а также организации на законном основании или с согласия субъекта персональных данных или уведомления субъекта о передаче его персональных данных, если это не нарушает права и законные интересы субъекта персональных данных.
6.9. Кооператив может поручить обработку персональных данных третьим лицам в случаях, если:
- субъект дал согласие на осуществление таких действий (при наличии условий в договоре с третьим лицом о соблюдении им принципов и правил обработки персональных данных, предусмотренных Федеральным законом «О персональных данных»);
- это необходимо для осуществления и выполнения возложенных законодательством Российской Федерации на Кооператив функций, полномочий и обязанностей;
- в других случаях, предусмотренных законодательством Российской Федерации.
6.10. Трансграничная передача (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) персональных данных не осуществляется.
7.1. В Кооперативе создана система защиты персональных данных, состоящая из подсистем организационной (правовой) и технической защиты:
- подсистема организационной (правовой) защиты представляет собой комплекс организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование системы защиты персональных данных;
- подсистема технической защиты включает в себя комплекс программных и программно-аппаратных средств, обеспечивающих защиту персональных данных.
7.2. Основные организационные и технические меры по защите персональных данных, используемые в Кооперативе:
- назначено ответственное лицо за обеспечение безопасности персональных данных, которое осуществляет организацию обработки и защиты персональных данных, обучение сотрудников Кооператива требованиям по обработке и защите персональных данных и контроль за выполнением данных требований, организует прием и обработку обращений и запросов физических и юридических лиц, проводит организационные и аналитические работы в части защиты персональных данных и плановые проверочные мероприятия соблюдения сотрудниками Кооператива требований по обработке персональных данных;
- утвержден перечень лиц, доступ которых к персональным данным необходим для выполнения должностных обязанностей;
- определены типы угроз безопасности и уровень защищенности персональных данных, описана модель актуальных угроз безопасности персональных данных;
- установлены индивидуальные пароли доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;
- разработано техническое задание на Систему защиты персональных данных;
- обмен персональными данными с государственными органами и банками осуществляется по защищенным каналам связи;
- разграничен доступ в помещения, где ведется обработка персональных данных, для хранения бумажных носителей персональных данных предусмотрены запираемые шкафы и сейфы, находящиеся под надзором сотрудников Кооператива, что исключает несанкционированный доступ к месту хранения персональных данных со стороны других субъектов персональных данных и третьих лиц;
- предусмотрена возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним или неумышленных действий;
- сотрудники Кооператива, участвующие в обработке персональных данных, прошли инструктаж о порядке и принципах обработки и защиты персональных данных в соответствии с требованиями законодательства Российской Федерации и нормативными документами Кооператива по вопросам обработки и защиты персональных данных;
- в Кооперативе проводится внутренний контроль и аудит безопасности персональных данных, осуществляются плановые проверки наличия носителей и соблюдения сотрудниками Кооператива требований по обработке и защите персональных данных.
8.1. Субъект персональных данных имеет право на доступ к своим персональным данным.
8.2. Субъект персональных данных вправе требовать от Кооператива уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав
8.3. Субъект персональных данных имеет право на получение от Кооператива информации, касающейсяобработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данныхКооперативом;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Кооперативом способы обработки персональных данных;
- наименование и место нахождения Кооператива, сведения о лицах (за исключением сотрудников Кооператива), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Кооперативом или на основании положений Федерального закона«О персональных данных»;
- сроки обработки и хранения персональных данных;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом«О персональных данных»;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Кооператива, если обработка поручена или будет поручена такому лицу;
- порядок обращения к Кооперативу и направления ему запросов;
- иные сведения, предусмотренные федеральными законами.
8.4. Субъект персональных данных имеет право обжаловать действия или бездействие Кооператива в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
8.5. Субъект персональных данных имеет право отозвать свое согласие на обработку персональных данных.
8.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке
8.7. Обязанности Кооператива при обработке персональных данных:
- предоставить субъекту персональных данных информацию, предусмотренную ч. 7 ст. 14 Федерального закона «О персональных данных»;
- в установленных законом случаях до начала обработки персональных данных уведомить субъекта персональных данных, в случае если его персональные данные были получены не от субъекта персональных данных и субъект не был уведомлен об этом оператором;
- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику Кооператива в отношении обработки персональных данных и реализуемых требованиях по защите персональных данных;
- принимать необходимые правовые, организационные и технические меры по защите персональных данных от неправомерного или случайного доступа к ним, а также от иных неправомерных действий в отношении персональных данных;
- предоставлять письменные ответы на запросы и обращения субъектов персональных данных, их представителей по вопросам обработки персональных данных субъекта, а также на запросы уполномоченного органа по защите прав субъектов персональных данных.
9.1. Ответственность за обработку и защитуперсональных данных субъектов персональных данных несет Кооператив.
9.2. За разглашение персональных данных и нарушение порядка обработки персональных данных вне зависимости от формы их представления, сотрудники Кооператива могут быть привлечены к дисциплинарной,административной, гражданской, уголовной и иной, предусмотренной законодательством, ответственности.
9.3. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных законом, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
г. Магнитогорск 2016 год