8-800-550-40-20
Звонок по России бесплатный
Обратная связь

Мы в социальных сетях

Политика управления персональными данными

КРЕДИТНЫЙ ПОТРЕБИТЕЛЬСКИЙ

КООПЕРАТИВ ГРАЖДАН «ПАРТНЕР»

(КПКГ «ПАРТНЕР»)

УТВЕРЖДЕНА

приказом директора КПКГ "Партнер"

 

г. Сарапул

 

от 17.01.2017г. № ОС-19

ПОЛИТИКА

 

управления персональными данными

 

  

 

1. Общие положения

 

 

 

1.1. Настоящая политика (далее - Политика) разработана в соответствии со ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о ПДн) "ГОСТ Р 53647.6-2012. Национальный стандарт Российской Федерации. Менеджмент непрерывности бизнеса. Требования к системе менеджмента персональной информации для обеспечения защиты данных"и является официально оформленным и утвержденным руководством заявлением об общих намерениях и направлении развития КПКГ «ПАРТНЕР (далее - Кооператив) в области персональных данных, в том числе соответствии законодательным и обязательным требованиям по обработке и обеспечению безопасности персональных данных, оператором которых является Кооператив.

 

1.2. Политика разработана в целях реализации требований законодательства в области обработки и обеспечения безопасности персональных данных: направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Кооперативе, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.

 

1.3. В целях реализации положений Политики в Кооперативе разрабатываются соответствующие локальные нормативные акты и иные документы, в том числе:

 

  • положение об обработке персональных данных работников КПКГ «ПАРТНЕР и иных лиц, не являющихся работниками Кооператива;

  • положение о защите персональных данных;

  • перечень персональных данных субъектов персональных данных КПКГ «ПАРТНЕР;

  • правила рассмотрения запросов субъектов персональных данных или их представителей;

  • порядок доступа работников КПКГ "ПАРТНЕР" в помещения, в которых осуществляется обработка персональных данных;

  • иные локальные нормативные акты и документы, регламентирующие в Кооперативе вопросы обработки и защиты персональных данных.

 

1.4. Положения Политики распространяются на отношения по обработке и обеспечению безопасности персональных данных, полученных Кооперативом как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите персональных данных, полученных до ее утверждения.

 

1.5. Если в отношениях с Кооперативом участвуют наследники (правопреемники) и (или) представители субъектов ПДн, то Кооператив становится оператором персональных данных лиц, представляющих указанных субъектов. Положения Политики и другие внутренние регулятивные документы распространяются на случаи обработки и защиты ПДн наследников (правопреемников) и (или) представителей субъектов ПДн, даже если эти лица во внутренних регулятивных документах прямо не упоминаются, но фактически участвуют в правоотношениях с Кооперативом.

 

1.6. Политика утверждается и вводится в действие приказом директора Кооператива. Изменения в Политику вносятся на основании приказа.

 

1.7. Политика управления персональными данными должна быть доведена до сведения всего персонала Кооператива.

 

1.8. Оригинал действующей редакции настоящей политики хранится по адресу фактического нахождения Оператора: Удмуртская Республика, г.Сарапул, ул.Азина, д.65, электронная копия доступна на сайте Кооператива в сети Интернет по адресу: кпкгпартнер.рф

 

 

 

2. Принципы обработки персональных данных

 

 

 

2.1. Обработка персональных данных в Кооперативе осуществляется на законной и справедливой основе.

 

2.2. Обработка персональных данных в Кооперативе ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

 

2.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

 

2.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

 

2.5. Содержание и объем обрабатываемых персональных данных Кооператива соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

 

2.6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Кооператив принимает необходимые меры для обеспечения актуальности персональных данных, а также по удалению или уточнению неполных или неточных данных.

 

2.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 

 

 

3. Условия обработки персональных данных.

 

Субъекты персональных данных.

 

 

 

3.1. Обработка персональных данных в Кооперативе осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом «О персональных данных».

 

3.2. Обработка персональных данных в Кооперативе осуществляется в связи с выполнением законодательно возложенных на Кооператив функций, полномочий и обязанностей определяемых:

 

Федеральный закон от 18.07.2009 № 190-ФЗ «О кредитной кооперации»

 

Федеральный закон от 21.12.2013 № 353-ФЗ «О потребительском кредите (займе)»

 

Федеральный закон от 07.08.2001 N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»

 

3.2.1. В рамках осуществления функции по организации финансовой взаимопомощи членов кредитного кооператива (пайщиков) персональные данные субъектов персональных данных обрабатываются Кооперативом в целях:

 

- объединения паенакоплений (паев) и привлечения денежных средств членов кредитного кооператива (пайщиков);

 

- предоставления займов членам кооператива.

 

3.2.2. При этом обрабатываются персональные данные:

 

- физического лица, принятого в кредитный кооператив в порядке, предусмотренном Федеральным законом от 18.07.2009 № 190-ФЗ «О кредитной кооперации» и уставом кредитного кооператива;

 

- иных лиц, указанных в заявлении на предоставление займа.

 

3.3. Обработка персональных данных в Кооперативе осуществляется в ходе трудовых и иных непосредственно связанных с ними отношений, в которых Кооператив выступает в качестве работодателя, в связи с реализацией Кооперативом своих прав и обязанностей как юридического лица. При обработке Кооператив руководствуется следующими нормативными актами:

 

-Трудовой Кодекс РФ от 30 декабря 2001г. №197-ФЗ;

 

- Федеральный закон «О персональных данных» от 27.07.06 г. № 152-ФЗ;

 

- Федеральный закон от 24.07.2009 № 212-ФЗ «О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования»;

 

- глава 23 «НДФЛ» Налогового Кодекса Российской Федерации (часть вторая) от 05.08.2000 № 117-ФЗ;

 

3.3.1. В связи с трудовыми и иными непосредственно связанными с ними отношениями, в которых Кооператив выступает в качестве работодателя, обрабатываются персональные данные лиц, претендующих на трудоустройство в Кооператив, работников Кооператива (далее - Работники) и бывших Работников, а также их близких родственников.

 

3.4. Обработка персональных данных в Кооперативе необходима для осуществления прав и законных интересов Кооператива (оператора), при этом не нарушаются права и свободы субъекта персональных данных.

 

3.4.1. В связи с реализацией своих прав и обязанностей как юридического лица, Кооперативом обрабатываются персональные данные физических лиц, являющихся контрагентами (возможными контрагентами) Кооператива по гражданско-правовым договорам.

 

3.5. Персональные данные обрабатываются Кооперативом при наличии согласия субъекта персональных данных, на основании федеральных законов и иных нормативных правовых актов Российской Федерации.

 

3.6. Персональные данные, полученные Кооперативом из общедоступных источников (выписки из ЕГРЮЛ, ЕГРИП, материалы сети Интернет) являются общедоступными персональными данными.

 

3.7. В целях информационного обеспечения Кооперативом могут создаваться общедоступные источники персональных данных. В общедоступные источники персональные данные размещаются при наличии письменного согласия субъекта персональных данных.

 

3.8. Для обеспечения понимания персоналом Кооператива категорийобрабатываемых персональных данных и уровня риска, возникающего при их обработке, в Кооперативе ведется перечень персональных данных субъектов персональных данных.

 

3.8.1. Перечень персональных данных с указанием цели и правового основания обработки персональных данных по категориям субъектов ПД утверждается директором Кооператива.

 

3.8.2. Перечни документов, содержащих персональные данные, со сроками хранения документов (независимо от вида носителя) утверждаются директором Кооператива.

 

3.8.3. К Категории персональной информации с высоким уровнем риска относятся:

 

  • персональная информация, касающаяся социально уязвимых взрослых и детей;

  • подробные профили данных физических лиц;

  • данные конфиденциальных переговоров, которые могут неблагоприятно повлиять на состояние и положение физического лица.

 

 

 

3.9 Кооператив предоставляет обрабатываемые им персональные данные государственным органам и организациям, имеющим, в соответствии с федеральным законом, право на получение соответствующих ПДн.

 

Перечень организаций, которым передаются ПД :

 

    • Пенсионный фонд РФ для учета (на законных основаниях);

    • Налоговые органы РФ (на законных основаниях);

    • Банки для зачисления заработной платы (на основании договора)

    • Иные государственные и муниципальные органы и организации (на основании согласия субъекта ПД или уведомления субъекта ПД о передаче его ПД), если это не нарушает права и законные интересы субъекта ПД;

    • Бюро кредитных историй в соответствии с Федеральным законом от 30.12.2004 N 218-ФЗ "О кредитных историях";

    • Министерство юстиции РФ в соответствии с Федеральным законом от 12.01.1996 N 7-ФЗ "О некоммерческих организациях";

    • Органы Прокуратуры, Федеральной службы по финансовому мониторингу и МВД РФ (на законных основаниях).

 

3.10. Обработка персональных данных ведется с использованием средств автоматизации и без использования средств автоматизации.

 

 

 

4. Права субъекта персональных данных.

 

 

 

4.1. Субъект персональных данных имеет право на получение сведений, касающихся обработки его персональных данных, в том числе содержащих:

 

1) подтверждение факта обработки персональных данных Кооперативом;

 

2) правовые основания и цели обработки персональных данных;

 

3) цели и применяемые Кооперативом способы обработки персональных данных;

 

4) наименование и место нахождения Кооператива, сведения о лицах (за исключением работников Кооператива), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Кооперативом или на основании федерального закона;

 

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

 

6) сроки обработки персональных данных, в том числе сроки их хранения;

 

7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

 

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

 

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

 

10) иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

 

4.2. Сведения, указанные п.4.1., предоставляются субъекту персональных данных в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

 

4.3. Сведения, указанные п.4.1., предоставляются субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.

 

4.3.1. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе,

 

4.3.2. Сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором,

 

4.3.3. Подпись субъекта персональных данных или его представителя.

 

4.4. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

 

4.5. В случае, если сведения, указанные п.4.1., а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных п.4.1., и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

 

4.6. Повторный запрос должен содержать обоснование направления повторного запроса.

 

4.7. Кооператив вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным ФЗ «О персональных данных». Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Кооперативе.

 

4.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

 

1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

 

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

 

3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

 

4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

 

5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

 

4.9. Субъект персональных данных вправе требовать от Кооператива уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

 

4.10. Если субъект персональных данных считает, что Кооператив осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Кооператива в уполномоченный орган по защите прав субъектов персональных данных (Управление Роскомнадзора по Удмуртской Республике) или в судебном порядке.

 

 

 

5. Обязанности Кооператива при сборе персональных данных.

 

 

 

    1. Предоставление субъекту ПД информации о целях, способах, сроках и перечне действий по обработке его ПД;

    2. Уведомление субъекта ПД, в случае если его ПД были получены не от субъекта ПД;

    3. Принятие необходимых правовых, организационных и технических мер по защите ПД от несанкционированного или случайного доступа к ним;

    4. Предоставление письменных ответов на запросы и обращения субъектов ПД, их законных представителей и уполномоченного органа по защите прав субъектов ПД;

 

 

 

6. Принципы обеспечения безопасности персональных данных

 

 

 

6.1. Основной задачей обеспечения безопасности персональных данных при их обработке в Кооперативе является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки.

 

6.2. При обработке персональных данных Кооператив обеспечивает конфиденциальность, полученных данных, за исключением случаев:

 

- персональные данные получены из общедоступных источников (выписки из ЕГРЮЛ, ЕГРИП, материалы сети Интернет);

 

6.3. Для обеспечения безопасности персональных данных Кооператив руководствуется следующими принципами:

 

1) законность: защита персональных данных основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты персональных данных;

 

2) системность: обработка персональных данных осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных;

 

3) комплексность: защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах и других имеющихся в Кооперативе систем и средств защиты;

 

4) непрерывность: защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных, в том числе при проведении ремонтных и регламентных работ;

 

5) своевременность: меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки;

 

6) преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты персональных данных осуществляется на основании результатов анализа практики обработки персональных данных с учетом выявления новых способов и средств реализации угроз безопасности персональных данных, отечественного и зарубежного опыта в области информационной безопасности;

 

7) персональная ответственность: ответственность за обеспечение безопасности персональных данных возлагается на Работников в пределах их обязанностей, связанных с обработкой и защитой персональных данных;

 

8) минимизация прав доступа: доступ к персональным данным предоставляется Работникам только в объеме, необходимом для выполнения их должностных обязанностей;

 

9) гибкость: обеспечение выполнения функций защиты персональных данных при изменении характеристик функционирования информационных систем персональных данных Фонда, а также объема и состава обрабатываемых персональных данных;

 

10) открытость алгоритмов и механизмов защиты: структура, технологии и алгоритмы функционирования системы защиты персональных данных не дают возможности несанкционированного доступа кперсональным данным;

 

11) обоснованность и техническая реализуемость: уровень мер по защите персональных данных определяется современным уровнем развития информационных технологий и средств защиты информации;

 

12) специализация и профессионализм: реализация мер по обеспечению безопасности персональных данных и эксплуатация системы защиты персональных данных осуществляются Работниками, имеющими необходимые для этого квалификацию и опыт;

 

13) эффективность процедур отбора кадров и выбора контрагентов: кадровая политика Кооператива предусматривает тщательный подбор персонала и мотивацию Работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности персональных данных; минимизация вероятности возникновения угрозы безопасности персональных данных;

 

14) наблюдаемость и прозрачность: меры по обеспечению безопасности персональных данных должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;

 

15) непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты персональных данных, а результаты контроля регулярно анализируются.

 

6.4. В соответствии с требованиями нормативных документов в Кооперативе создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

 

6.4.1 Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.

 

6.4.2 Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами, защиты информации в открытой печати, публикаторской и рекламной деятельности, аналитической работы.

 

6.4.3 Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.

 

6.4.4. Основными мерами защиты ПД, используемыми Кооперативом, являются:

 

  • Назначение лица ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением Кооперативом и его работниками требований к защите ПД;

  • Определение актуальных угроз безопасности ПД при их обработке в ИСПД, и разработка мер и мероприятий по защите ПД;

  • Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечения регистрации и учета всех действий, совершаемых с ПД в ИСПД;

  • Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;

  • Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;

  • Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ;

  • Обнаружение фактов несанкционированного доступа к персональным данным и принятия мер;

  • Восстановление ПД, ошибочно модифицированных или уничтоженных ;

  • Обучение работников Кооператива, непосредственно осуществляющих обработку персональных данных, положениям законодательства Российской Федерации о персональных данных, в том числе требованиям к защите персональных данных, документами, определяющими политику Кооператива в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных;

  • Осуществление внутреннего контроля и аудита.

 

 

 

 

 

7. Ответственность

 

 

 

7.1. Ответственность за соблюдение требований законодательства по обработке и защите персональных данных субъектов ПД несет Кооператив.

 

7.2. За разглашение персональных данных и нарушение порядка обработки и защиты персональных данных вне зависимости от формы их представления работники Кооператива могут быть привлечены к дисциплинарной, административной, гражданской, уголовной и иной, предусмотренной законодательством Российской Федерации ответственности.

 

7.3. Моральный вред, причиненный субъекту ПД вследствие нарушения его прав, правил обработки ПД, требований к защите ПД, установленных в соответствии с Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПД убытков.

7.4. При оценке ущерба следует руководствоваться рекомендациями ГОСТ Р ИСО/МЭК ТО 18044-2007 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности", приложение В- градация нанесения ущерба информации, содержащей персональные данные. 

 

Яндекс.Метрика

Please publish modules in offcanvas position.