Деньги срочно на карту или счет!
По паспорту, без залога и поручителей!

Политика в отношении обработки и защиты персональных данных ООО МФО «ЧЕСТНОЕ СЛОВО»

(новая редакция)

Утверждено
приказом Генерального директора
№ 05/2016 от «11» апреля 2016 года

__________ Петков А.А. /

1. Общие положения

Настоящая Политика в отношении обработки и защиты персональных данных (далее – Политика) разработана в соответствии со следующими нормативно-правовыми актами:
- Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Трудовой кодекс Российской Федерации от 30 декабря 2001 г. №197-ФЗ;
- Налоговый кодекс Российской Федерации: Налоговый кодекс Российской Федерации: часть первая от 31 июля 1998 г. №146-ФЗ и часть вторая от 5 августа 2000 г. №117-ФЗ;
- Федеральный закон от 7 августа 2001 г. №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
- Федеральный закон от 1 апреля 1996 г. №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральный закон от 2 июля 2010 г. №151-ФЗ «О микрофинансовой деятельности и микрофинансовых организациях»;
- Гражданский кодекс Российской Федерации: часть первая от 30 ноября 1994 г. №51-ФЗ, часть вторая от 26 января 1996 г. №14-ФЗ, часть третья от 26 ноября 2001 г. №146-ФЗ и часть четвертая от 18 декабря 2006 г. №230-ФЗ;
- Положение об обработке и защите персональных данных работников ООО МФО «ЧЕСТНОЕ СЛОВО»;

Настоящая Политика определяет принципы, порядок и условия обработки персональных данных работников, клиентов и контрагентов Общества с ограниченной ответственностью Микрофинансовой организации «ЧЕСТНОЕ СЛОВО» (далее – МФО/ Оператор) с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность работников МФО, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

Политика определяет стратегию защиты персональных данных, обрабатываемых в МФО, и формулирует основные принципы и механизмы защиты персональных данных.

Безопасность персональных данных достигается путем исключения несанкционированного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, иные несанкционированные действия. Безопасность персональных данных при их обработке обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в информационной системе информационные технологии.

Персональные данные являются конфиденциальной информацией и на них распространяются все требования, установленные внутренними документами МФО к защите конфиденциальной информации.

Настоящая Политика является внутренним документом МФО. Действующая редакция Политики размещена на сайте Компании по адресу: www.4slovo.ru. В случае внесения в настоящую Политику изменения, к ним будет обеспечен неограниченный доступ всем заинтересованным субъектам персональных данных.

2. Принципы обработки персональных данных

2.1. Обработка персональных данных в МФО осуществляется на основе следующих принципов:
- законности и справедливости целей и способов обработки персональных данных;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям МФО;
- соответствия объема и содержания обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их точности и актуальности по отношению к целям обработки персональных данных;
- достаточности персональных данных для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
- уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

3. Цели сбора и обработки персональных данных

3.1. МФО осуществляет обработку персональных данных в следующих целях:
- осуществления деятельности, предусмотренной Уставом МФО, действующим законодательством РФ, в частности ФЗ: «О микрофинансовой деятельности и микрофинансовых организациях», «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «О валютном регулировании и валютном контроле», «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», Трудовым кодексом Российской Федерации, иными нормативно-правовыми актами Российской Федерации и нормативными документами уполномоченных органов государственной власти;
- рассмотрение заявлений на предоставление займов, в т.ч. оценка потенциальной платежеспособности Клиента;
- заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и Уставом МФО;
- заключения, исполнения и изменения договоров с контрагентами МФО;
- заключения и последующего исполнения договоров микрозайма между Клиентом и МФО;
- взыскания задолженности по заключенным договорам микрозайма, в том числе МФО с привлечением третьих лиц, а также третьими лицами, в случае уступки им прав на взыскание соответствующей задолженности или привлечения их Компанией как агентов МФО для оказания услуг (содействия) во взыскании такой задолженности;
- для связи с клиентами и контрагентами в случае необходимости, в том числе для направления уведомлений, информации и запросов, связанных с оказанием услуг, а также обработки заявлений, запросов и заявок клиентов и контрагентов;
- для улучшение качества услуг, оказываемых МФО;
- для продвижения услуг на рынке путем осуществления контактов с клиентами и контрагентами;
- для проведения статистических и иных исследований на основе обезличенных персональных данных;
- обеспечения доступа Клиента к Профилю Клиента на Сайте;
- предоставления Клиенту информации рекламного характера о товарах и услугах, реализуемых МФО, а также партнеров МФО;
- предоставления в бюро кредитных историй информации о факте предоставления/отказа в предоставлении займа, об условиях заключенного с Клиентом договора займа, а также об исполнении Клиентом его обязанностей по соответствующему договору и иной информации, предусмотренной законом «О кредитных историях»;
- получения кредитных отчетов в бюро кредитных историй;
- рассмотрение резюме кандидатов для дальнейшего трудоустройства в МФО на вакантные должности;
- заключение, исполнение и изменение трудовых договоров и договоров гражданско-правового характера, которых являются основанием для возникновения трудовых отношений между МФО и работниками;
- организации кадрового учета в МФО, ведения кадрового делопроизводства,
- содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также Уставом и локальными актами МФО;
- осуществления прав и законных интересов МФО;
- иные цели, для достижения которых в соответствии с законодательством Российской Федерации МФО вправе обрабатывать персональные данные субъекта.

4. Условия обработки персональных данных

4.1. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных ФЗ «О персональных данных» и настоящей Политикой.

4.2. МФО осуществляет обработку следующих категорий персональных данных:
- клиенты;
- родственники клиентов (при необходимости);
- кандидаты на вакантные должности;
- работники (сотрудники);
- родственники работников (сотрудников);
- работники (сотрудники), осуществляющие трудовые функции на основании заключенных гражданско-правовых договоров;
- представители контрагентов.

4.3. Обработка персональных данных допускается в случаях, когда она:
- осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Согласие предоставляется в форме самостоятельного документа либо в условиях договора микрозайма (в условиях заявления на предоставление микрозайма).
- необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации Оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- в иных, установленных действующим законодательством.

5. Состав персональных данных

5.1. МФО обрабатывает следующие категории персональных данных в связи с реализацией трудовых отношений:
- фамилия, имя, отчество;
- образование;
- сведения о трудовом и общем стаже;
- сведения о составе семьи;
- паспортные данные;
- сведения о воинском учете;
- ИНН;
- налоговый статус (резидент/нерезидент);
- сведения о заработной плате работника;
- сведения о социальных льготах;
- специальность;
- занимаемая должность;
- адрес места жительства;
- телефон;
- место работы или учебы членов семьи и родственников;
- характер взаимоотношений в семье;
- содержание трудового договора;
- состав декларируемых сведений о наличии материальных ценностей;
- содержание декларации, подаваемой в налоговую инспекцию;
- иную, не указанную выше информацию, содержащуюся в личных делах и трудовых книжках сотрудников;
- информацию, являющуюся основанием к приказам по личному составу;
- информацию, содержащуюся в страховом свидетельстве обязательного пенсионного страхования, свидетельстве о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации, страховом медицинском полисе обязательного медицинского страхования граждан, медицинском заключении установленной формы об отсутствии у гражданина заболевания, препятствующего поступлению на работу в МФО.
- дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;

5.2. Для целей осуществления уставной (коммерческой) деятельности в МФО обрабатываются следующие категории персональных данных клиентов и контрагентов:
- фамилия, имя, отчество;
- образование;
- сведения о трудовом и общем стаже;
- сведения о составе семьи;
- паспортные данные;
- адрес электронной почты;
- ИНН;
- налоговый статус (резидент/нерезидент);
- сведения о доходах;
- специальность;
- занимаемая должность;
- адрес места жительства;
- телефон;
- место работы или учебы членов семьи и родственников;
- состав декларируемых сведений о наличии материальных ценностей;
- содержание декларации, подаваемой в налоговую инспекцию;
- СНИЛС;
- иные сведения указанные заявителем.

6. Передача персональных данных

6.1. Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные работников, клиентов и контрагентов третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.

6.2. По мотивированному запросу исключительно для выполнения возложенных законодательством функций и полномочий персональные данные субъекта персональных данных без его согласия могут быть переданы:
- в судебные органы в связи с осуществлением правосудия;
- в органы государственной безопасности;
- в органы прокуратуры;
- в органы полиции;
- в следственные органы;
- в Банк России, Роскомнадзор;
- в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.
Работники МФО, ведущие обработку персональных данных, не отвечают на вопросы, связанные с передачей персональных данных по телефону или факсу.

6.3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора (МФО), обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ «О персональных данных».

7. Дата начала обработки персональных данных

7.1. Датой начала обработки персональных данных является 17 декабря 2012 года.

8 . Сроки обработки и хранения персональных данных

8.1. Период обработки и хранения персональных данных определяется в соответствии с Законом «О персональных данных».

8.2. Обработка персональных данных начинается с момента поступления персональных данных в информационную систему персональных данных и прекращается:
- в случае выявления неправомерной обработки персональных данных Оператор в срок, не превышающий трех рабочих дней с даты этого выявления прекращает неправомерную обработку персональных данных или обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных уничтожает такие персональные данные или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
- в случае достижения цели обработки персональных данных Оператор прекращает обработку персональных данных или обеспечивает ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных действующим законодательством;
- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами. Об уничтожении персональных данных МФО уведомляет субъекта персональных данных.
- в случае прекращения деятельности МФО.

8.3. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

8.4. В случае получения согласия клиента (или контрагента) на обработку персональных данных в целях продвижения услуг МФО на рынке путем осуществления прямых контактов с помощью средств связи, данные клиента (или контрагента) хранятся бессрочно (до отзыва субъектом персональных данных согласия на обработку его персональных).

9. Порядок уничтожения персональных данных

9.1. Ответственным за уничтожение персональных данных является лицо, ответственное за организацию обработки и обеспечение безопасности персональных данных.

9.2. При наступлении любого из событий, повлекших необходимость уничтожения персональных данных, лицо ответственные за организацию обработки и обеспечение безопасности персональных данных обязано:
- принять меры к уничтожению персональных данных;
- оформить соответствующий Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) и представить Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) на утверждение директору МФО;
- в случае необходимости уведомить об уничтожении персональных данных субъекта персональных данных и/или уполномоченный орган.

10. Права субъектов персональных данных

10.1. .Субъект персональных данных вправе:
а) требовать предоставление информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании ФЗ «О персональных данных»;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен ФЗ «О персональных данных»;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные действующим законодательством.
б) требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
в) требовать перечень своих персональных данных, обрабатываемых МФО и источник их получения;
г) получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
д) требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

10.2. Для реализации вышеуказанных прав субъект персональных данных, может в порядке, установленном ст.14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», обратиться в МФО с соответствующим запросом. Для выполнения таких запросов представителю МФО может потребоваться установить личность субъекта персональных данных и запросить дополнительную информацию.

10.3. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в порядке, предусмотренном законодательством Российской Федерации.

11. Меры по обеспечению безопасности персональных данных при их обработке

11.1. Оператор предпринимает необходимые правовые, организационные и технические меры по защите персональных данных. Принимаемые меры основаны на требованиях ст. 18.1, ст.19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», иных нормативных актов в сфере персональных данных. В том числе:
1) назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных;
2) контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки и обеспечение безопасности персональных данных МФО;
3) ответственность должностных лиц МФО, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами МФО;
4) получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных Российской Федерации;
5) лица, ведущие обработку персональных данных, проинструктированы и ознакомлены с нормативными правовыми актами, регламентирующими порядок работы и защиты персональных данных.
6) разграничены права доступа к обрабатываемым персональным данным.
7) обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
8) в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям проводятся периодические проверки условий обработки персональных данных.
9) помимо вышеуказанных мер, осуществляются меры технического характера, направленные на:
- предотвращения несанкционированного доступа к системам, в которых хранятся персональные данные;
- резервирование и восстановление персональных данных, работоспособность технических средств и программного обеспечения, средств защиты информации в информационных системах персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- обеспечение физической защиты помещений, в которых осуществляется обработка персональных данных;
- установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны, Общества и сети Интернет без применения установленных в Общества мер по обеспечению безопасности персональных данных (за исключением общедоступных и (или) обезличенных персональных данных);
- иные необходимые меры безопасности.

12. Гарантии конфиденциальности

12.1. Информация, относящаяся к персональным данным, ставшая известной в связи с реализацией трудовых отношений, в связи с оказанием услуг клиентам МФО и в связи с сотрудничеством с контрагентами МФО, является конфиденциальной информацией и охраняется законом.

12.2. Все работники микрофинансовой организации обязаны соблюдать тайну об операциях заемщиков микрофинансовой организации. Исполнение указанной обязанности, обеспечивается путем подписания всеми работниками (сотрудниками) МФО Обязательства о неразглашении. Принятие и исполнение данного Положения, подписание Обязательства о неразглашении признается необходимым и достаточным для соблюдения тайны об операциях заемщиков.

12.3. Обеспечения тайны об операциях заемщиков является частью исполнения обязанностей Общества по соблюдению режима конфиденциальности и иных требований законодательства в отношении обработки персональных данных.

12.4. Работники (сотрудники) МФО и иные лица, получившие доступ к обрабатываемым персональным данным, предупреждаются о возможной дисциплинарной, административной, гражданско–правовой или уголовной ответственности в случае нарушения норм и требований действующего законодательства, регулирующего правила обработки и защиты персональных данных.

12.5. Работники МФО, по вине которых произошло нарушение конфиденциальности персональных данных, и работники, создавшие предпосылки к нарушению конфиденциальности персональных данных, несут ответственность, предусмотренную действующим законодательством Российской Федерации, внутренними документами МФО и условиями трудового договора.

12.6. Работники, осуществляющие обработку персональных данных и ответственные за обеспечение её безопасности, должны иметь квалификацию, достаточную для поддержания требуемого режима безопасности персональных данных.

12.7. Обязанность по реализации системы обеспечения требуемого уровня квалификации возлагается на лицо, ответственное за организацию обработки и обеспечение безопасности персональных данных. Ответственное лицо:
- организовывает инструктирование и обучение работников, в т.ч. доводит до сведения работников Оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- ведет персональный учёт работников, прошедших инструктирование и обучение.

13. Ответственность

13.1. Лица, виновные в нарушении норм, регулирующих получение, обработку, хранение и защиту обрабатываемых в МФО персональных данных, включая тайну об операциях заемщиков, несут ответственность, предусмотренную законодательством Российской Федерации.