ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Настоящее Положение устанавливает порядок получения, обработки, использования, хранения и гарантии конфиденциальности персональных данных физических лиц, необходимых для осуществления уставной деятельности организации и в соответствии с Гражданским, Трудовым кодексом, Налоговым кодексом Российской Федерации,

Федеральным законом от 02.07.2010г. «О микрофинансовой деятельности и микрофинансовых организациях» № 151-ФЗ, Федеральным законом от 27.06.2006 г. № 152-ФЗ
«О персональных данных».

Общие положения

1.1. Общество с ограниченной ответственностью «Личные финансы» является Оператором персональных данных.

1.2. Цель и задачи ООО в области защиты персональных данных — обеспечение требований законодательства в процессе обработки, хранения и защиты
персональных данных клиентов, работников, а также персональных данных, содержащихся в документах, полученных из других организаций, в обращениях граждан и
иных субъектов персональных данных;

1.3. Понятие и состав персональных данных: персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой
информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное
положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации.

2. Порядок получения и обработки персональных данных

2.1. Получение персональных данных осуществляется в соответствии с действующим законодательством, настоящим Положением, инструкциями и приказами
руководителя организации на основе согласия субъектов на обработку их персональных данных. Оператор не вправе требовать от субъекта персональных данных
предоставления информации о его национальности и расовой принадлежности, политических и религиозных убеждениях, состоянии здоровья и о его частной жизни.
Без согласия субъектов осуществляется обработка общедоступных персональных данных или содержащих только фамилии, имена и отчества, обращений и запросов
организаций и физических лиц, регистрация и отправка корреспонденции почтовой связью, и в иных случаях, предусмотренных законодательством Российской
Федерации. Обработка и использование персональных данных осуществляется в целях, указанных в согласии с субъекта персональных данных, а также в случаях,
предусмотренных нормативно-правовыми актами Российской Федерации.

2.2. Персональные данные каждого клиента систематизируются в информационной системе «1С Бухгалтерия. АК-Кредит2», а также на бумажных
носителях. При обращении в организацию и в период обслуживания, а также в течение пяти лет после прекращения обязательств в организации сотрудники
организации, в целях осуществления его уставной деятельности, могут использовать, уточнять, обезличивать, уничтожать утратившие актуальность персональные
данные клиентов.

2.3. Организация не осуществляет исключительно автоматизированную обработку персональных данных своих клиентов, порождающую какие бы то ни было юридические
последствия для них.

2.4. Исключительно автоматизированная обработка персональных данных может осуществляться организацией обезличенно по отдельным группам персональных данных
(пол, возраст, возрастные группы, расселенческие признаки, характер деятельности и пр.) в целях статистического и социологического анализа.

2.5. Обработка персональных данных в информационной системе (ИСПДн) «1С Бухгалтерия. АК-Кредит2»:

2.5.1. При обращении клиента в организацию его персональные данные вносятся в ИСПДн «1С Бухгалтерия. АК-Кредит2».В период обслуживания, его персональные
данные, учтенные в ИСПДн, могут уточняться и обновляться. Хранение и обработка учитываемых в ИСПДн персональных данных клиента осуществляется исключительно
в целях его идентификации при оформлении его договорных обязательств перед организацией.

2.5.2. При каждом обращении клиента его идентификационные данные по необходимости обновляются и используются для оформления договорной документации и
ведения истории потребления услуг. Договорная документация фиксируется на бумажных носителях и хранится в досье клиента. Наряду с идентификационными
данными самого клиента, в его досье могут учитываться данные третьих лиц – поручителей, контрагентов, выгодоприобретателей. Все документы, содержащиеся в
досье клиента, используются организацией исключительно в целях контроля исполнения условий договоров. Персональные данные не распространяются, а также не
предоставляются третьим лицам без согласия субъекта персональных данных и используются организацией исключительно для заключения и исполнения договоров с
субъектами персональных данных

2.5.3. Право на обработку персональных данных (доступ) предоставляется приказом руководителя должностным лицам, определенным Положением об обработке и
защите персональных данных и Перечнем должностных лиц.

2.5.4. При проведении акций, иных мероприятий, требующих установления связи с клиентами, организация использует учитываемые в ИСПДн их адресную информацию,
а при направлении поздравлений с днем рождения – информацию о возрасте.

2.5.5. При возникновении просрочек в погашении займов сотрудники организации используют учитываемую в ИСПДн и в досье клиента его адресную информацию и
контактные телефоны, а также адресную информацию и контактные телефоны поручителей для выработки согласованных действий по преодолению просрочек и
исполнения обязательств по полученному займу.

2.5.6. Цель и способы обработки организацией персональных данных клиентов разъясняются им при обращении в организацию. Одновременно с подачей заявления на
займ в организации, клиент дает письменное согласие на обработку своих персональных данных в целях, предусмотренных Уставом организации. Все обрабатываемые
персональные данные организация получает исключительно от субъекта этих данных.

2.5.7. Персональные данные защищаются от несанкционированного доступа в соответствии с нормативно-правовыми актами Российской Федерации,
нормативно-распорядительными актами и рекомендациями регулирующих органов в области защиты информации, а также утвержденными регламентами и инструкциями
Оператора – ООО «Личные финансы».

3. Персональные данные также обрабатываются Оператором без использования средств автоматизации. В организации формируются досье на бумажных носителях
индивидуально для каждого клиента. Досье клиента систематизированы, по датам , № договоров, и в алфавитном порядке. Досье клиентов хранятся в головном
офисе организации в г. Тольятти в закрытых шкафах, находящихся под надзором сотрудников организации. Правом доступа к досье клиента обладают сотрудники
организации, курирующие взаимоотношения с данным клиентом. Несанкционированный доступ к месту хранения досье со стороны других клиентов и третьих лиц
исключен. Порядок обработки ПДн установлен в Положении по обработке и защите персональных данных в ООО «Личные финансы», обрабатываемых без использования
средств автоматизации.

4.
Права, обязанности и ответственность субъекта персональных данных и Оператора при обработке персональных данных:

4.1. В целях обеспечения защиты своих персональных данных клиент (субъект персональных данных) в соответствии с Федеральным законом
Российской Федерации от 27.06.2006 г. № 152-ФЗ «О персональных данных» за исключением случаев, предусмотренных данным Федеральным законом, имеет право:

— на предоставление сведений об учитываемых организацией его персональных данных, в т.ч. выписки из его кредитной истории; сведений о состоянии и движении
средств, переданных ему организации в форме займа, копий документов, хранящихся в досье клиентов.

Указанные сведения предоставляются клиенту после его идентификации (предъявления документов, удостоверяющих личность) в доступной форме, заверенные
подписью руководителя и печатью организации. Не допускается предоставление в составе таких сведений персональных данных других клиентов и третьих лиц, за
исключением случаев, если такие предоставление таких данных вызвано необходимостью соблюдения договора, стороной которого является клиент, запрашивающий
свои персональные данные.

— требовать от Оператора уточнения своих персональных данных, их блокирования, обезличивания или уничтожения в случае, если персональные данные являются
неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные
законом меры по защите своих прав;

— на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе:

• способы обработки персональных данных, применяемые организацией;

• сведения о сотрудниках организации, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

• перечень обрабатываемых персональных данных и источник их получения;

• сроки обработки персональных данных, в том числе сроки их хранения;

• сведения о юридических последствиях для пайщика, которые может повлечь обработка его персональных данных организацией.

— на обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

— на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке).

4.2.Оператор обязан:

— безвозмездно предоставить клиенту (субъекту персональных данных) или его законному представителю возможность ознакомления с персональными данными,
относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить, обезличить или блокировать
соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что
персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются неполными, устаревшими,
недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Оператор
обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

— в случае выявления неправомерных действий с персональными данными Оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан
устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Оператор в срок, не превышающий трех рабочих дней с даты выявления
неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных
данных Оператор обязан уведомить субъекта персональных данных или его законного представителя.

4.3. Оператор не вправе без письменного согласия субъекта персональных данных передавать обрабатываемые персональные данные третьим лицам, за исключением
случаев, предусмотренных законодательством Российской Федерации;

4.4. Оператор, а также должностные лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную,
дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. Ответственность за соблюдение требований законодательства
Российской Федерации при обработке и использовании персональных данных возлагается в приказе об утверждении Положения и иных приказах на конкретных
должностных лиц Оператора, обрабатывающих персональные данные.

5. Сотрудники организации, работающие на основании трудовых договоров и договоров гражданско-правового характера, предупреждаются об условии
конфиденциальности информации, содержащей персональные данные клиентов, недопустимости разглашения такой информации и о дисциплинарной и материальной
ответственности в случае ее разглашения и подписывают обязательство о неразглашении (конфиденциальности) информации о персональных данных.

6. Защита персональных данных

В организации установлен следующий режим защиты персональных данных:

В целях защиты обрабатываемых информационной системой «1С Бухгалтерия. АК-Кредит2» персональных данных клиентов от несанкционированного
доступа вводится:

Управление доступом:

6.1. На включение каждого компьютера, а также на вход в ИСПДн «1С Бухгалтерия. АК-Кредит2» устанавливаются индивидуальные паролисостоящие
более чем из шести буквенно-цифровых символов, позволяющие идентифицировать и проверить подлинность сотрудника, пользующегося
информационной системой.

6.2. Пароли доводятся до каждого сотрудника индивидуально. При этом сотрудник подтверждает своей подписью, что он получил переданный ему пароль входа в
компьютер и доступа к информационной системе «1С Бухгалтерия. АК-Кредит2» и предупрежден о необходимости сохранять пароль в тайне, не
передавать пароль третьим лицам, в том числе иным сотрудникам организации.

В целях распределения прав пользования информационной системой «1С Бухгалтерия. АК-Кредит2» вводится

Разграничение доступа
между сотрудниками в соответствии с функциональной необходимостью и их должностной компетенцией:

6.3. В организации установлен следующий порядок разграничения прав доступа к информационной системе «1С Бухгалтерия. АК-Кредит2» по типам
документов:

Директор (системный администратор)обладает полной информацией о системном и прикладном программном обеспечении ИСПДн. Обладает полной информацией о
технических средствах и конфигурации ИСПДн. Пользуются правом неограниченного доступа к системе, обрабатываемым ею информационным массивам (базам данных) и
формируемым ею документам. Право неограниченного доступа предусматривает право внесения изменений во все документы.

6.4. Консультант-программист (администратор безопасности), обслуживающий информационную систему «1С Бухгалтерия. АК-Кредит2» на основании
договора с сервисной организаций, обладает полной информацией о технических средствах и конфигурации ИСПДн. Имеет доступ ко всем техническим средствам
обработки и защиты информации в ИСПДн. Обладает правами конфигурирования и административной настройки технических средств ИСПДн. Обеспечивает техническую
защиту базы данных. Не обладает правом внесения изменений в документы, содержащие ПДн. Пользуются правом доступа к ИСПДн только в присутствии
ответственного лица организации.

6.5. Сотрудники, назначенные Приказом руководителя ответственными за обработку, хранение и защиту персональных данных, обладают всеми необходимыми
атрибутами и правами, обеспечивающими доступ ко всем ПДн. Имеют право на сбор, систематизацию, накопление, хранение, уточнение, использование,
обезличивание, уничтожение. Имеют право внесения изменений в запись о персональных данных клиента (ФИО, дата рождения, паспортные данные) на основании
информации, полученной от субъекта персональных данных.

6.6. Сотрудники организации, исполняющие функции менеджеров офиса пользуются правом ограниченного доступа к информационной системе «1С Бухгалтерия. АК-Кредит2», разрешающего вводить и использовать персональные данные клиентов для оформления договорной документации,
анализа кредитной истории при рассмотрении заявки на получение займа, взаимодействия с клиентами, их доверенными лицами, поручителями,
выгодоприобретателями как в период пользования услугами организации, так и впоследствии – в течение всего периода обслуживания в организации. Данная
категория доступа не разрешает вносить изменения в документы, формируемые и обрабатываемые информационной системой «1С Бухгалтерия. АК-Кредит2».

Регистрация входа и выхода
сотрудников из информационной системы «1С Бухгалтерия. АК-Кредит2» вводится в целях фиксирования количества и характера обращений.

6.7. В параметрах регистрации указываются дата и время входа (выхода) сотрудника, его идентификатор (индивидуальный пароль), результат попытки входа
(успешная или неуспешная), вид совершенной операции, номер сформированного документа. Регистрация входа и выхода в информационную систему «1С Бухгалтерия. АК-Кредит2» обеспечивается программными средствами.

Целостность программных средств
системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды обеспечивается транслятором и
средствами разработки.

6.8. Функции системы защиты персональных данных периодически тестируются по ситуации изменения программной среды и пользователей информационной системы с
помощью тест-программ, имитирующих попытки несанкционированного доступа. На каждое рабочее место устанавливается средство обнаружения вредоносных программ (антивирусная программа Kaspersky).

7. В целях физической охраны ИСПДн:

7.1. Офисные помещения, в которых обрабатываются персональные данные, оборудованы средствами защиты (датчиками охранной и противопожарной безопасности);

7.2. База данных ИСПДн «1С Бухгалтерия. АК-Кредит2» размещается на сервере, доступ к которому ограничен физически и программными
средствами, что предупреждает возможность прямого (неправомерного или случайного) доступа к базе данных, не уполномоченных на то сотрудников и посторонних
лиц;

7.3. В целях предупреждения риска утраты персональных данных клиентов в связи с техническими повреждениями оборудования, база данных ИСПДн

«1С Бухгалтерия. АК-Кредит2»ежедневно копируется на резервный жесткий диск компьютера, раз в месяц делается резервная копия на съемный носитель и
хранится в специальном месте;

7.4.

Работоспособность сервера тестируется регулярно консультантом-программистом, обслуживающим информационную систему «1С Бухгалтерия. АК-Кредит2»

7.8. Правом доступа к серверу обладает Директор организации и консультант-программист, обслуживающий информационную систему «1С Бухгалтерия. АК-Кредит2».