Ваш браузер устарел. Рекомендуем обновить его до последней версии.

Политика обработки и защиты персональных данных
Введение

Политика ООО МКК «Личные Финансы» в отношении обработки и защиты персональных данных (далее — Политика) определяет стратегию защиты персональных данных, обрабатываемых в ИСПДн ООО МКК «Личные Финансы» и формулирует основные принципы и механизмы защиты ПДн.

Политика является документом ООО МКК «Личные Финансы», определяющим требования, предъявляемые к обеспечению безопасности ПДн.

Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

Настоящий документ разработан в соответствии с требованиями Федерального закона от 27 июля 2006г. № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 11 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».Гражданским кодексом РФ, Трудовым кодексом РФ, Налоговым кодексом РФ, № 151-ФЗ от 02.07.2010г. «О Микрофинансовой деятельности и Микрофинансовых организациях», № 115-ФЗ от 07.08.2001г. «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», Уставом ООО МКК «Личные Финансы» (утвержден 27.10.2016г.).

1. Общие положения

1.1. Цель и область применения политики

Целью Политики является обеспечение безопасности персональных данных,при осуществлении осуществления уставной деятельности – предоставление займов,  исполнения условий трудового договора и осуществление прав и обязанностей в соответствии с трудовым законодательством, налогового агента (кадровый и бухгалтерский учет работников, заключение договорных отношений с физическими лицами на оказание услуг или выполнение работ),  осуществление деятельности по средствам сайта, а также реализация положений нормативных правовых актов и иных документов по защите персональных данных.

Основными целями обеспечения безопасности персональных данных являются:

-предотвращение нарушений прав субъекта персональных данных (физического лица) на сохранение конфиденциальности информации, обрабатываемой в ИСПДн ООО МКК «Личные Финансы»;
-предотвращение искажения или несанкционированной модификации информации, содержащей персональные данные, обрабатываемой в ИСПДн ООО МКК «Личные Финансы»;
-предотвращение несанкционированных действий в отношении информации, содержащей персональные данные.

Требования настоящей Политики обязательны для всех сотрудников ООО МКК «Личные Финансы» и распространяются на:

-автоматизированные системы ООО МКК «Личные Финансы»;
-средства телекоммуникаций;
-информационные ресурсы и носители информации;
-помещения.

Внутренние документы ООО МКК «Личные Финансы», затрагивающие вопросы, рассматриваемые в данном документе, должны разрабатываться с учетом положений Политики и не противоречить им.

Настоящий документ является локальным нормативным актом МКК и вступает в силу с момента подписания Директором ООО МКК «Личные Финансы».

1.2. Законодательство Российской Федерации в области персональных данных

Основными законодательными и нормативно-правовыми актами Российской Федерации в области персональных данных являются:

1.2.1 Федеральный закон от 12.12.2005 г. №160 «О ратификации конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных».

1.2.2 Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных».

1.2.3 Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

1.2.4 Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

1.2.5 Постановление Правительства Российской Федерации от 06.07.2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

1.2.6 Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 г. №55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных».

1.2.7 Приказ Федеральной службы по техническому и экспортному контролю №58 от 5.02.2010 г. «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных».

1.2.8 Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.

1.2.9 Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.

1.2.10 Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/5-144.

1.2.11 Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных. Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/6/6-622.

1.3. Принципы обработки персональных данных

Обработка персональных данных осуществляется на основе принципов:

1.3.1 законности целей и способов обработки персональных данных и добросовестности;

1.3.2 соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Общества;

1.3.3 соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

1.3.4 достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

1.3.5 недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

1.4. Способы обработки персональных данных

МКК может осуществлять обработку персональных данных с использованием средств автоматизации, а также без использования таких средств.

2. Субъекты персональных данных

Обществом (оператором персональных данных) осуществляется обработка персональных данных следующих категорий субъектов персональных данных:

-Клиент;

-Кандидаты в клиенты;

-Работники.

2.1. Цели обработки персональных данных

Оценка возможности исполнения возникающих обязательств клиента перед обществом.

2.2. Перечень обрабатываемых персональных данных:

Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; семейное положение; социальное положение; имущественное положение; образование; профессия; доходы; а также: ИНН, паспортные данные, куки файлы, тип трудоустройства, сведения о воинском учете, страховое свидетельство обязательного пенсионного страхования, гражданство, реквизиты банковского счета, номер контактного телефона.

2.3. Сроки хранения персональных данных

Период хранения и обработки персональных данных определяется в соответствии со ст.21 Закона «О персональных данных». Обработка ПДн начинается с момента поступления персональных данных в ИСПДн и прекращается:

-для клиентов по истечению 5 лет с момента прекращения договорных обязательств ;

-для претендентов в клиенты по истечению 5 лет с момента подачи заявления;

-для работников - 75 лет; прекращение деятельности как юридического лица (ликвидация, реорганизация);

-в случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления, МКК устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений МКК в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, уничтожает персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных МКК уведомляет субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, МКК  уведомляет также указанный орган;

- в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных МКК прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва. Об уничтожении персональных данных МКК уведомляет субъекта персональных данных.
- в случае прекращения деятельности МКК.

3. Категории персональных данных

В информационных системах МКК осуществляется обработка следующих категорий персональных данных:

категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нём дополнительную информацию;
категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 — обезличенные и (или) общедоступные персональные данные.

3.1. Специальные категории персональных данных. Биометрические персональные данные.

В информационных системах МКК запрещена обработка следующих персональных данных:

-специальных категорий персональных данных касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости;
-сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные);
-персональных данных о частной жизни.

Обработка специальных категорий персональных данных может осуществляться в следующих случаях:

-субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
-персональные данные являются общедоступными;
-персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
-обработка персональных данных необходима в связи с осуществлением правосудия;
-обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
Обработка специальных категорий персональных данных, осуществлявшаяся в вышеперечисленных случаях, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.

Обработка биометрических персональных данных может осуществляться в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

4. Условия обработки персональных данных

При обработке персональных данных должны соблюдаться следующие условия:

4.1. Конфиденциальность персональных данных

В МКК документально оформляется перечень сведений конфиденциального характера.

В соответствии с Указом Президента Российской Федерации от 06.03.1997 г. №188 «Об утверждении перечня сведений конфиденциального характера», персональные данные относятся к конфиденциальной информации.

МКК и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением следующих случаев:

-в случае обезличивания персональных данных;
-в отношении общедоступных персональных данных.

4.2. Поручение обработки персональных данных третьему лицу

В случае, если МКК на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

4.3. Хранение и уничтожение персональных данных

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Для уничтожения персональных данных, приказом Директора назначается комиссия по уничтожению персональных данных.

Уничтожение персональных данных оформляется актом.

Места хранения материальных носителей персональных данных утверждаются Директором.

4.4. Обработка персональных данных в целях продвижения товаров, работ, услуг

Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, допускается только при условии предварительного согласия субъекта персональных данных.

4.5. Трансграничная передача персональных данных

Обществом не осуществляется трансграничная передача персональных данных.

5. Общие требования по организации защиты персональных данных

5.1. Общие положения

Организация работ по обеспечению безопасности персональных данных осуществляется Ответственным лицом.

Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах Общества, приказом Директора назначаться, ответственное лицо за обеспечение безопасности персональных данных.

Разработка и осуществление мероприятий по обеспечению безопасности персональных данных может осуществляться также сторонними организациями на договорной основе, имеющими лицензии на право проведения соответствующих работ.

Лица, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании утвержденного списка.

5.2. Мероприятия по обеспечению безопасности персональных данных при автоматизированной обработке

5.2.1. Система защиты персональных данных

Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.

При обработке персональных данных в информационных системах МКК должно быть обеспечено:

-проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
-своевременное обнаружение фактов несанкционированного доступа к персональным данным;
-недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
-возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
-постоянный контроль за обеспечением уровня защищенности персональных данных.


5.2.2. Перечень мероприятий по обеспечению безопасности персональных данных

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

-Назначение ответственного за организацию обработки персональных данных;

-Разработка документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

-Осуществление внутреннего контроля соответствия обработки персональных данных;

-Произведение оценки вреда, который может быть причинен субъектам персональных данных;

-Ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.

-Принятие меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных;

-Определение угроз безопасности персональных данных при их обработке в информационных системах;

-Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах;

-Произведение оценки соответствия средств защиты информации;

-Произведение учёта машинных носителей персональных данных;

-Предусмотрение возможности восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

-Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также произведение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

-Произведение контроля за принимаемыми мерами по обеспечению безопасности персональных данных.

В части средств обеспечения безопасности производится:

-Шифрование при передаче и запросах с Бюро кредитных историй по алгоритму шифрования GOST 28147-89, 34.10-2012 по средствам КриптоАРМ;

-При передаче сведений с сайта организации используется безопасное SSL соединение. Приём данных осуществляется после отметки согласия на обработку персональных данных;

-Доступ к информационной базе ограничен. Оператор при входе в информационную базу вводит личный логин и пароль;

-Информационная база находится на серверном оборудовании, в закрытом шкафу;

-На всех рабочих станциях и сервере установлены антивирусные программы;

-Копия информационной базы, хранится отдельно в несгораемом сейфе, с ограниченным доступом;

-Бумажные носители хранятся в металлических закрываемых шкафах с ограниченным доступом;

-Установлена охранная и пожарная сигнализация.

5.2.3. Классификация информационных систем персональных данных

Информационные системы персональных данных Общества подлежат обязательной классификации.

Для проведения классификации информационных систем персональных данных Компании назначается комиссия.

Результаты классификации оформляются соответствующим актом.

5.2.4. Помещения, в которых ведется обработка персональных данных

Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

5.3. Контроль и надзор за выполнением требований настоящей Политики

Контроль и надзор за выполнением требований настоящей Политики осуществляется в соответствии с «Планом внутренних проверок состояния защиты персональных данных».

Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер. Он может проводиться структурным подразделением, ответственным за обеспечение безопасности персональных данных, или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите конфиденциальной информации.

5.4. Финансирование мероприятий по обеспечению безопасности персональных данных

Финансирование мероприятий по обеспечению безопасности персональных данных осуществляется за счет средств МКК и предусматривается бюджетом МКК.

6. Ответственность за нарушение требований настоящей политики

Лица, виновные в нарушении требований настоящей Политики, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

 

 

Политика cookie

Этот сайт использует файлы cookie для хранения данных на вашем компьютере.

Вы согласны?