Политика обработки персональных данных
1. Общие положения
1.1. Настоящий документ определяет политику КПКГ «Дружба» в отношении обработки персональных данных, положение разработано на основании Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона от 30.12.2004 № 218-ФЗ «О кредитных историях», Федерального закона от 18.07.2009 № 190-ФЗ «О кредитной кооперации», Федерального закона от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
1.2. В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», под персональными данными клиентов (далее — персональные данные) понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации клиенту. Персональными данными физического лица являются в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, расходы и другая информация в соответствии со ст. 4 Федерального закона от 30.12.2004 № 218-ФЗ «О кредитных историях».
1.3. Кредитный потребительский кооператив граждан «Дружба» (далее — Кооператив), в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», является оператором, организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных.
1.4. Работники, уполномоченные на обработку персональных данных, обеспечивают обработку персональных данных в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона от 30.12.2004 № 218-ФЗ «О кредитных историях», Федерального закона от 18.07.2009 № 190-ФЗ «О кредитной кооперации», Федерального закона от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», других нормативных правовых актов Российской Федерации и несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.
1.5. Перечень лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в Кооперативе, утверждается приказом Председателя Правления.
1.6. Целями настоящего Положения являются создание и определение условий для сбора, обработки, хранения и предоставления персональных данных, характеризующих своевременность исполнения клиентами своих обязательств по договорам займа, договорам передачи личных сбережений, повышение защищенности Кооператива и клиентов за счет общего снижения кредитных и иных рисков, повышение эффективности работы Кооператива.
1.7. Кооператив представляет всю имеющуюся у него информацию, определенную: ст. 4 Федерального закона от 30.12.2004 № 218-ФЗ «О кредитных историях» в отношении всех заемщиков без получения согласия на ее представление хотя бы в одно бюро кредитных историй, включенное в Государственный реестр бюро кредитных историй; Федеральным законом от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», в отношении всех пайщиков без получения согласия на ее представление в Росфинмониторинг.
1.8. Согласие клиента как субъекта кредитной истории, полученное Кооперативом, сохраняет силу в течение всего срока действия договора займа, договора передачи личных сбережений, заключенного с клиентом в течение установленного срока.
1.9. При получении, обработке, хранении и передаче персональных данных лица, уполномоченные на получение, обработку, хранение, передачу и любое другое использование персональных данных, обязаны соблюдать следующие требования:
-
обработка персональных данных осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия клиентам в получении и возврате займов, обеспечения личной безопасности и членов их семей, а также в целях обеспечения сохранности принадлежащего им имущества и имущества Кооператива, учета результатов исполнения ими обязательств;
- персональные данные следует получать лично у клиентов. В случае возникновения необходимости получения персональных данных у третьей стороны следует известить об этом клиентов заранее, получить их письменное согласие и сообщить клиентам о целях, предполагаемых источниках и способах получения персональных данных;
-
запрещается получать, обрабатывать и приобщать к личному делу клиентов не установленные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 30.12.2004 № 218-ФЗ «О кредитных историях», Федеральным законом от 18.07.2009 № 190-ФЗ «О кредитной кооперации», Федеральным законом от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» персональные данные об их политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;
-
при принятии решений, затрагивающих интересы клиентов, запрещается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;
-
защита персональных данных от неправомерного их использования или утраты обеспечивается за счет средств Кооператива в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 30.12.2004 № 218-ФЗ «О кредитных историях», Федеральным законом от 18.07.2009 № 190-ФЗ «О кредитной кооперации», Федеральным законом от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
-
передача персональных данных третьей стороне не допускается без письменного согласия клиентов, за исключением случаев, установленных федеральными законами;
- клиенты и их представители должны быть ознакомлены под роспись с документами Кооператива, устанавливающими порядок обработки персональных данных, а также их права и обязанности в этой области;
-
организация, клиенты и их представители должны совместно вырабатывать меры защиты персональных данных.
1.10. Персональные данные, которые обрабатываются в информационных системах, подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
1.11. Обработка персональных данных осуществляется на основе следующих принципов:
- Обработка персональных данных осуществляется на законной и справедливой основе.
- Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
- Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой.
- Обработке подлежат только те персональные данные, которые отвечают целям их обработки.
- Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки.
- При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.
- Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
- Компания в своей деятельности исходит из того, что субъект персональных данных предоставляет точную и достоверную информацию во время взаимодействия с Компанией и извещает представителей Компании об изменении своих персональных данных.
2. Сохранение персональных данных клиентов в Кооперативе
2.1. В целях информационного обеспечения управления в финансовой системе и деятельности Кооператива уполномоченными органами государственной власти Российской Федерации и органами государственной власти субъектов Российской Федерации создаются, формируются и ведутся государственные информационные системы, в том числе государственные информационные системы. Ведение государственных информационных систем осуществляется в соответствии с едиными организационными, методологическими и программно-техническими принципами, обеспечивающими совместимость и взаимодействие этих информационных систем с иными государственными информационными системами и информационно-телекоммуникационными сетями, включая информационно-технологическую и коммуникационную инфраструктуры, используемые для предоставления государственных и муниципальных услуг, с обеспечением конфиденциальности и безопасности содержащихся в них персональных данных и с соблюдением требований законодательства Российской Федерации о государственной или иной охраняемой законом тайне.
2.2. Кооператив гарантирует безопасность и конфиденциальность используемых персональных данных, в том числе в случае предоставления займов на банковские карты или с применением электронных технологий, а также принятия сбережений.
2.3. При обращении в Кооператив клиенты представляют достоверные сведения. Кооператив вправе проверять достоверность представленных сведений.
3. Получение, обработка, хранение персональных данных
3.1. В Кооперативе устанавливается следующий порядок получения персональных данных:
3.1.1. При обращении за займом клиент заполняет анкету установленной формы. После заполнения анкеты с клиентом проводится собеседование. Анкета и результаты собеседования помещаются в досье клиента.
3.1.2. Кооператив не имеет права получать и обрабатывать персональные данные клиента о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.
3.1.3. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации Кооператив вправе получать и обрабатывать данные о частной жизни клиента только с его письменного согласия.
3.2. Кооператив вправе обрабатывать персональные данные клиентов только с их письменного согласия.
3.3. Письменное согласие клиента на обработку его персональных данных должно включать в себя:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва.
3.4. Согласие клиента на обработку персональных данных не требуется в следующих случаях:
- персональные данные являются общедоступными;
- обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия Кооператива;
- по требованию полномочных государственных органов — в случаях, предусмотренных федеральным законом;
- обработка персональных данных в целях исполнения договора займа;
- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов клиента, если получение его согласия невозможно.
3.5. Кооператив обеспечивает безопасное хранение персональных данных, в т. ч.:
3.5.1. Хранение, комплектование, учет и использование содержащих персональные данные документов организуется в форме обособленного архива Кооператива. Такой архив ведется в электронном виде и на бумажных носителях.
3.5.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.5.3. Хранимые персональные данные подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их хранении обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
3.5.4. При хранении персональных данных Кооператив обеспечивает:
- проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
- своевременное обнаружение фактов несанкционированного доступа к персональным данным;
- недопущение воздействия на технические средства автоматизированной обработки персональных данных или на бумажные документы, в результате которого может быть нарушено их функционирование;
- возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- постоянный контроль за обеспечением уровня защищенности персональных данных.
3.6. Досье клиентов и документы, содержащие персональные данные клиентов, защищены мерами технического характера от несанкционированного доступа.
3.7. Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа.
4. Передача персональных данных
4.1. Персональные данные передаются с соблюдением следующих требований:
- запрещается сообщать персональные данные третьей стороне без письменного согласия клиента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью клиента, а также в других случаях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 30.12.2004 № 218-ФЗ «О кредитных историях», Федеральным законом от 18.07.2009 № 190-ФЗ «О кредитной кооперации», Федеральным законом от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
- не сообщать персональные данные в коммерческих целях без письменного согласия субъекта таких данных;
- предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 30.12.2004 № 218-ФЗ «О кредитных историях», Федеральным законом от 30.12.2004 № 218-ФЗ «О кредитных историях», Федеральным законом от 18.07.2009 № 190-ФЗ «О кредитной кооперации», Федеральным законом от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
- осуществлять передачу персональных данных в пределах Кооператива и его структурных подразделений в соответствии с локальным нормативным актом, с которым клиент должен быть ознакомлен под роспись;
- разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья клиента, за исключением тех сведений, которые относятся к вопросу о возможности выполнения клиентом обязательств по договору займа;
- передавать персональные данные клиента его представителям в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 30.12.2004 № 218-ФЗ «О кредитных историях», Федеральным законом от 30.12.2004 № 218-ФЗ «О кредитных историях», Федеральным законом от 18.07.2009 № 190-ФЗ «О кредитной кооперации», Федеральным законом от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их полномочий.
5. Доступ к персональным данным
5.1. Право доступа к персональным данным имеют:
- Председатель Правления Кооператива;
- специалист по работе с клиентами;
- работники бухгалтерии.
5.2. Клиенты в целях обеспечения защиты персональных данных имеют следующие права:
- на полную информацию об их персональных данных и обработке этих данных;
- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;
- на определение своих представителей для защиты своих персональных данных;
- на требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона от 30.12.2004 № 218-ФЗ «О кредитных историях», Федерального закона от 30.12.2004 № 218-ФЗ «О кредитных историях», Федерального закона от 18.07.2009 № 190-ФЗ «О кредитной кооперации», Федерального закона от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». При отказе Кооператива исключить или исправить персональные данные клиент имеет право заявить в письменной форме Кооперативу о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера клиент имеет право дополнить заявлением, выражающим его собственную точку зрения;
- на требование об извещении Кооперативом всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- на обжалование в суд любых неправомерных действий или бездействия Кооператива при обработке и защите его персональных данных.
5.3. Копировать и делать выписки персональных данных разрешается исключительно в служебных целях с письменного разрешения начальника отдела внутреннего контроля.
6. Ответственность за нарушение норм, регулирующих обработку персональных данных
6.1. Лица, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую ответственность в соответствии с федеральными законами.
6.2. Руководитель Кооператива, допустивший нарушение порядка обращения с персональными данными, возмещает клиенту ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом клиенте.
6.3. Работники Кооператива, допустившие разглашение персональных данных клиента, могут быть уволены по инициативе работодателя по пп. «в» ч. 6 ст. 81 Трудового кодекса Российской Федерации. Увольнение не исключает иных форм ответственности, предусмотренной действующим законодательством.