Политика в отношении обработки и обеспечении безопасности персональных данных

УТВЕРЖДЕНО
Приказом № 4/П от 31.07.2021
Директор ООО МКК «Саяны»
_________________В.В.Гармаева

ПОЛИТИКА
в отношении обработки и обеспечения безопасности персональных данных Общества с ограниченной ответственностью Микрокредитная компания «Саяны»
1. Общие положения

1.1. В целях выполнения норм действующего законодательства Российской Федерации в полном объеме ООО МКК «Саяны» (далее по тексту – МФО, Общество, Микрофинансовая организация) считает важнейшими своими задачами соблюдение принципов законности и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
1.2. Настоящая политики МФО в отношении организации обработки и обеспечения безопасности (далее по тексту – Политика) характеризуется следующими признаками:
1.2.1. Разработана в целях реализации требований законодательства Российской Федерации в области обработки персональных данных субъектов персональных данных.
1.2.2. Разрабатывает способы и принципы обработки в МФО персональных данных, права и обязанности МФО при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых МФО в целях обеспечения безопасности персональных данных при их обработке, с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2.3. Поскольку является общедоступным документом, в соответствии с ч. 2 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных», регламентирующим основы деятельности МФО при обработке и защите персональных данных, в ней не публикуется детальная информация о принятых мерах по защите персональных данных в ООО МКК «Саяны», а также иная информация, использование которой неограниченным кругом лиц может нанести ущерб ООО МКК «Саяны» или субъектам персональных данных.
1.3. Пересмотр и обновление настоящей Политики осуществляется на плановой и внеплановой основе в соответствии с установленным в МФО порядком:
- плановый пересмотр Политики осуществляется не реже одного раза в год;
- внеплановый пересмотр Политики может производиться в связи с изменением законодательства Российской Федерации в области персональных данных, по результатам анализа актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, а также результатам других контрольных мероприятий.
1.4. Текущая редакция Политики размещается на официальном сайте МФО в информационно-телекоммуникационной сети Интернет www.zaem-kapital.ru в общем доступе и вступает в силу с момента размещения.

2. Термины и определения

Персональные данные – любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренным настоящим Федеральным законом;
Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
Смешанная обработка персональных данных – обработка персональных данных с помощью средств автоматизации, а также без нее.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Биометрические персональные данные – данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Понятия и состав персональных данных

3.1. Перечень персональных данных, подлежащих защите в МФО, формируется в соответствии с Федеральным законом РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных» Трудовым кодексом РФ и другими нормативно-правовыми актами.
3.2. Сведениями, составляющими персональные данные, в МФО является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
3.3. В зависимости от субъекта персональных данных, МФО обрабатывает персональные данные следующих категорий субъектов персональных данных:
- Персональные данные работника МФО – информация, необходимая МФО в связи с трудовыми отношениями и касающиеся конкретного работника;
- Персональные данные аффилированного лица или персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося аффилированным лицом по отношению к МФО – информация, необходимая МФО для отражения в отчетных документах о деятельности МФО в соответствии с требованиями федеральных законов и иных нормативных правовых актов;
- Персональные данные Контрагента (партнера, контрагента, потенциального контрагента, потенциального партнера), а также персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося Контрагентом (партнера, контрагента, потенциального контрагента, потенциального партнера) МФО – информация, необходимая МФО для выполнения своих обязательств в рамках договорных отношений с Контрагентом и для выполнения требований законодательства Российской Федерации;
- Персональные данные заемщика (потенциального заемщика) (далее – Клиент) – информация, необходимая МФО для выполнения своих договорных обязательств и осуществления прав в рамках соответствующего договора займа, заключенного с Заемщиком (потенциальным заемщиком), для минимизации рисков МФО, связанных с нарушением обязательств по договору займа, осуществления и выполнения возложенных законодательством Российской Федерации на организацию функций и обязанностей (реализация мер по противодействию легализации доходов, полученных преступным путем и др.).

4. Цели и основания для обработки персональных данных

4.1. МФО осуществляет обработку персональных данных в следующих случаях:
4.1.1. Осуществления финансовых операций и иной деятельности, предусмотренной Уставом МФО, действующим законодательством РФ, в частности:
- Трудовым кодексом Российской Федерации;
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федеральным законом от 02.07.2010 № 151-ФЗ «О микрофинансовой деятельности и микрофинансовых организациях»;
- Федеральным законом от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
- Федеральным законом от 30.12.2004 № 218-ФЗ «О кредитных историях»;
- договоров, заключаемых между ООО МКК «Саяны» и субъектом персональных данных;
- согласия на обработку персональных данных;
- Иными нормативно-правовыми актами Российской Федерации и нормативными документами уполномоченных органов государственной власти.
4.1.2. Оформления заявок на предоставление займов, продления срока их возврата и реструктуризацию задолженности, а также рассмотрение соответствующих заявок МФО, сопровождаемое оценкой потенциальной платежеспособности Клиента;
4.1.3. Заключения, исполнения и прекращения договоров с физическими, юридическими лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и Уставом МФО;
4.1.4. Заключения и последующего исполнения договоров микрозаймов, заключенных между Клиентом и МФО;
4.1.5. Принудительного взыскания задолженности по заключенным договорам микрозайма, в том числе с привлечением третьих лиц, а также третьими лицами, в случае уступки им прав на взыскание соответствующей задолженности или привлечения их МФО как агентов МФО для оказания содействия во взыскании такой задолженности;
4.1.6. Обеспечения доступа Клиента к Профилю Клиента на Сайте.
4.1.7. Предоставления Клиенту информации рекламного характера о товарах и услугах, реализуемых МФО, а также его партнерами, а также для принятия МФО или его партнерами решения о возможности применения к Клиенту программ лояльности, скидок и иных льготных условий, и информирования Клиента о принятии таких решений;
4.1.8. Предоставления в бюро кредитных историй информации о факте предоставления/отказа предоставления займа, об условиях заключенного с Клиентом договора займа, а также об исполнении Клиентом его обязанностей по соответствующему договору и иной информации, предусмотренной законом «О кредитных историях»;
4.1.9. Получения кредитных отчетов в бюро кредитных историй;
4.1.10. Идентификация Клиента и/или его представителя;
4.1.11. Обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля качества и качества выполняемой работы и обеспечения сохранности имущества, в том числе исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и предоставлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, ведения кадрового делопроизводства в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ и иными нормативно-правовыми актами;
4.1.12. Осуществления и выполнения функций, полномочий и обязанностей МФО, возложенных на нее законодательством Российской Федерации;
4.1.13. Осуществления прав и законных интересов МФО;
4.1.14. Иные цели, для достижения которых в соответствии с законодательством Российской Федерации МФО вправе обрабатывать персональные данные Клиента.
4.1.15. Организация кадрового учета организации, ведения кадрового делопроизводства, представления статистической отчетности и информации в соответствии с нормативными актами РФ, исполнения требований налогового, трудового законодательства, законодательства в сфере пенсионного обеспечения, социального страхования, а также иных нормативных актов РФ.

5. Основные принципы обработки персональных данных
5.1. Обработка персональных данных МФО осуществляется на основе принципов:
- Законности целей и способов обработки персональных данных;
- Добросовестности МФО, как оператора персональных данных, что достигается путем выполнения требований законодательства Российской Федерацией в отношении обработки персональных данных;
- Достижения конкретных, заранее определенных целей обработки персональных данных;
- Соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
- Соответствия состава и объема обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям обработки;
- Достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям обработки персональных данных;
- Обеспечения при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. МФО принимает необходимые меры и обеспечивает их принятие по удалению и уточнению неполных или неточных данных;
- Хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.
5.2. Работники МФО, допущенные к обработке персональных данных, обязаны:
- Знать и неукоснительно выполнять положения: законодательства Российской Федерации в области персональных данных; настоящей Политики; локальных актов по вопросам обработки персональных данных;
- Обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
- Сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики;
- Не разглашать персональные данные, обрабатываемые в МФО;
- Сообщать об известных фактах нарушения требований настоящей Политики лицу, ответственному за организацию обработки персональных данных в МФО.
6. Организация обработки персональных данных
6.1. Обработка персональных данных в МФО осуществляется следующими способами:
- Смешанная обработка персональных данных.
6.2. В МФО организован прием и обработка обращений и запросов субъектов персональных данных или их представителей и (или) осуществляется контроль за приемом и обработкой таких обращений и запросов.
6.3. Согласие на обработку персональных данных может быть отозвано путем подачи в МФО соответствующего письменного заявления. Заявление об отзыве Согласия может быть подано только лично Клиентом или его уполномоченным представителем. В случае удовлетворения заявления МФО прекращает обработку персональных данных в течение тридцати дней с момента получения соответствующего Заявления, если более короткий срок не предусмотрен законом или договором, заключенным между МФО и Клиентом. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
6.4. В случае отзыва Согласия МФО вправе продолжать обрабатывать персональные данные в целях исполнения заключенного договора, соглашения, а также в целях исполнения МФО требований законодательства.
6.5. Срок хранения распечатанных в МФО ответов на обращения (запросы) – 1 (один) год с даты окончания срока, установленного для подготовки ответа, если иные (более продолжительные сроки) не предусмотрены нормативными актами.
6.6. МФО вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора, условием которого является соблюдение конфиденциальности или неразглашение персональных данных.
6.6.1. МФО вправе передавать персональные данные Субъекта следующим лицам, включая, но не ограничиваясь:
- Бюро кредитных историй;
- Российским операторам мобильной связи и микрофинансовым организациям, являющимся партнерами и агентами МФО;
- А также любым иным организациям, если передача персональных данных Клиента указанным лицам обусловлена целям, предусмотренными в п.4.1 настоящей Политики.
6.7. Персональные данные не раскрываются третьим лицам, не распространяются иным образом без согласия субъекта персональных данных, если иное не предусмотрено законом.
6.8. Представители органов государственной власти получают доступ к персональным данным, обрабатываемым в МФО, в объеме и порядке, установленном законом.

7. Использование персональных данных для принятия решений

7.1. МФО, как правило не принимает решения, порождающие юридические последствия в отношении Клиента и иным образом затрагивающие его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных. В частности, на основании исключительно автоматизированной обработки персональных данных Клиента может быть принято решение о предоставлении (об отказе в предоставлении) Клиенту займа. В таких случаях МФО разъясняет клиенту порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставляет возможность заявить возражение против такого решения, а также разъясняет порядок защиты клиентом своих прав и законных интересов. Общество рассматривает возражение Клиента в течение тридцати дней со дня получения и уведомляет Клиента о результатах рассмотрения такого возражения.

8. Получение персональных данных от третьих лиц
8.1. В целях подтверждения достоверности сведений, указанных Клиентом в процессе оформления заявки на предоставление займа, а также получения информации, необходимой для принятия решения о выдаче ему займа, МФО вправе направлять запросы в бюро кредитных историй. МФО вправе самостоятельно выбрать конкретное бюро кредитных историй для направления соответствующих запросов.
8.2. В рамках реализации своего права на проверку достоверности указанной Клиентом информации МФО также вправе проводить проверку и уточнение данных устным или письменным обращением к работодателю Клиента, а также иным лицам, контактные данные которых были предоставлены Клиентом.

9. Права и обязанности субъекта персональных данных
9.1. Клиент вправе в любой момент получить информацию, касающуюся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Клиент праве требовать от МФО уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.2. Запросы Клиентов о предоставлении сведений об обрабатываемых МФО персональных данных, а также запросы о блокировке, изменении, уточнении или удалении персональных данных Клиента принимаются к рассмотрению в офисе МФО, в форме письма по почте, или явки его представителя с надлежащим образом заверенной нотариусом доверенностью в МФО с документом, удостоверяющим личность (для предоставления также доверенности), и соответствующем заявлением.
9.3. МФО рассматривает запросы Клиентов и направляет ответы на них, в течение тридцати дней с момента поступления обращения, если более короткие сроки, не предусмотрены базовым стандартом, нормативными актами или локальными документами МФО. Запросы Клиентов об изменении неполных, неточных или неактуальных персональных данных, а также запросы об удалении данных, которые были незаконно получены МФО или не соответствуют заявленным целям обработки, подлежат рассмотрению в течение семи рабочих дней.
9.4. Ответ МФО на запрос Клиента выдается на руки Клиенту или его представителю по нотариально заверенной доверенности, при условии предъявления документа, удостоверяющего личность (для представителя также нотариально удостоверенной доверенности) или направляется по почте.

10. Срок обработки персональных данных
10.1. МФО вправе осуществлять обработку персональных данных в течение всего срока пользования услугами МФО Клиентом. Истечение срока обработки персональных данных не лишает МФО права обрабатывать персональные данные Клиента в целях, определенных в п.п.4.1. настоящей Политики.
10.2. Клиент в любое время вправе отозвать свое согласие на обработку персональных данных. Отзыв согласия на обработку персональных данных осуществляется в форме, предусмотренной п.6.3 настоящей Политики. Отзыв Клиентом согласия на обработку персональных данных не лишает МФО права обрабатывать персональные данные Клиента в целях, определенных в п. п. 4.1.1, 4.1.2, 4.1.3, 4.1.4, 4.1.6, 4.1.8, 4.1.10, 4.1.11, 4.1.12, 4.1.13.

11. Меры ООО МКК «Саяны», направленные на обеспечение выполнения обязанности по защите персональных данных
11.1. Меры, необходимые и достаточные для обеспечения выполнения МФО обязанностей оператора, предусмотренных законодательством Российской Федерации в области персональных данных, включают:
- Назначение лица, ответственного за организацию обработки персональных данных в МФО;
-Обеспечение режима безопасности помещений, в которых размещена информационная система обработки персональных данных, который препятствует возможности неконтролируемого проникновения третьих лиц в помещения;
- Принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
- Доведение до сведения работников МФО положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- Ознакомление работников МФО, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику МФО в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
- Получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
- Обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных, хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
- Установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны МФО и сети интернет без применения установленных МФО мер по обеспечению безопасности персональных данных (за исключением общедоступных и (или) обезличенных данных);
- Осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей политике, локальным нормативным актам МФО;
- Учет машинных носителей персональных данных;
- Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
-сотрудники, допущенные к обработке персональных данных, проходят инструктажи по информационной безопасности, подписывают соглашение о неразглашении персональных данных.
- Применение правовых, организационных, технических, и иных мер по обеспечению безопасности персональных данных предусмотренных законодательством Российской Федерации в области персональных данных.
11.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными нормативными актами МФО, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных МФО.

12. Ответственность
12.1. Контроль исполнения требований настоящей Политики осуществляется ответственными лицами за организацию обработки и обеспечение безопасности персональных данных, назначаемых приказом директора МФО.
12.2. Лица, виновные в нарушении норм, регулирующих получение, обработку, хранение и защиту обрабатываемых в МФО персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации.
12.3. К настоящей политике обеспечивается неограниченный доступ.
12.4. Настоящая редакция политики вступает в силу с 01.08.2021 года.