Ваш город:
Утверждено
Приказом Генерального директора
№1 от «10» января 2023 года
ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения?
Положение об обработке персональных данных (далее — «Положение») разработано в соответствии с Федеральными законами №152-ФЗ «О персональных данных», № 151-ФЗ «О микрофинансовой деятельности и микрофинансовых организациях», № 353-ФЗ «О потребительском кредите (займе)», №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», №149-ФЗ «Об информации, информационных технологиях и о защите информации», ст. ст. 86-90 Трудового кодекса Российской Федерации, Постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Положением Банка России от 20.04.2021 № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» и определяет политику оператора в отношении обработки персональных данных.
Положение разработано в целях реализации требований законодательства в области обработки и обеспечения безопасности персональных данных и направлено на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в информационных системах с использованием средств автоматизации и без использования таких средств.
В Положении используются основные понятия:
Положение устанавливает:
Субъект персональных данных имеет право:
ООО МКК «Денежная единица» при обработке персональных данных обязано:
Положение является основой для организации работы по обработке персональных данных в ООО МКК «Денежная единица», в том числе, для разработки внутренних нормативных документов, регламентирующих процесс обработки персональных данных и является обязательным для исполнения всеми работниками имеющим доступ к обработке персональных данных
2. Принципы обработки персональных данных
2.1. ООО МКК «Денежная единица» осуществляет обработку персональных данных на основе общих принципов:
3. Цели, категории, субъекты, способы, сроки хранения и обработки, порядок уничтожения персональных данных
| Цель | Субъект | Категории | Способы | Сроки обработки и хранения | Порядок уничтожения |
|---|---|---|---|---|---|
| Изучение аналитики Интернет-ресурсов компании Сайты https://afmikrokredit.ru/ https://www.denedinica.ru/ Создание информационных систем данных, анализ, моделирование, прогнозирование, построение математических (скоринг) моделей, анализ агрегированных и анонимных данных, статистические и исследовательские цели Ведение и актуализация клиентской базы Проведению опросов и исследований, направленных на выявление удовлетворенности/неуд овлетворенности, постоянного совершенствования уровня предоставл |
Посетитель сайта | Данные о пользовательском оборудовании (устройствах), которое используется для совершения действий в интернете, в том числе на сайте Оператора, для получения услуг: данные об идентификаторах оборудования, идентификаторах симкарт, местоположения оборудования, файлы куки, используемое в оборудовании программное обеспечение, технологические данные, предоставляемые оборудованием при передаче данных (используемые протоколы, айпиадреса и т.п.) | Сервис Яндекс. Метрика | Согласно Стандарту Экспертнопроверочной комиссии | |
| Создание информационных систем данных, анализ, моделирование, прогнозирование, построение математических (скоринг) моделей, анализ агрегированных и анонимных данных, статистические и исследовательские цели Ведение и актуализация клиентской базы Проведение опросов и исследований, направленных на выявление удовлетворенности/неуд овлетворенности, постоянного совершенствования уровня предоставляемых услуг Подготовка ответов на запросы / письма / уведомления |
Сведения о месте работы, занимаемой должности, контакты работодателя; Данные дебетовой карты |
||||
| Ведение кадрового делопроизводства Исполнение обязанности оператора по оплате труда Получение работниками образования, повышения профессиональной квалификации и продвижения по карьерной лестнице Обеспечение безопасности и фиксации противоправных действий Контроля исполнения трудовых обязанностей, локальных актов компании Использование предоставленного работодателем оборудования Контроль соблюдения режима рабочего времени |
Соискатель Работник |
Фамилия Имя Отчество Дата рождения Место рождения Семейное положение Образование Сведения о трудовой деятельности Сведения о наличии или отсутствии судимости, фактах привлечения к административной ответственности Сведение о воинском учете Идентификационный номер налогоплательщика (ИНН) Страховой номер индивидуального лицевого счета (СНИЛС) Паспортные данные Адрес регистрации Номера телефонов Адрес электронной почты Данные дебетовой карты |
Без использования средств автоматизации С использованием средств автоматизации |
Согласно требованиям ст. 22.1 Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации» и Перечне типовых управленческ их архивных документов, образующихся в процессе деятельности государствен ных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 № 236 | Согласно Стандарту Экспертнопроверочной комиссии |
| Заключение и исполнение иных гражданско-правовых договоров Предоставления информации рекламного характера о товарах и услугах Соблюдения законов и иных нормативных правовых актов | Контрагент Клиент Участник Единоличный исполнительный орган общества | Фамилия Имя Отчество Гражданство Адрес регистрации Номера телефонов Адрес электронной почты Данные дебетовой карты |
Без использования средств автоматизации С использованием средств автоматизации |
При заключении гражданскоправового договора до полного исполнения обязательств по договору При предоставлении информации рекламного характера о товарах и услугах в течение трех лет с даты предоставления соответствующего согласия |
Согласно Стандарту Экспертнопроверочной комиссии |
4. Организация обработки персональных данных
4.1. ООО МКК «Денежная единица» до начала обработки персональных данных осуществила уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных и внесена в реестр операторов персональных данных под регистрационным номером 31-19-001920.
4.2. Обработка персональных данных осуществляется на основании договора, закона и письменного согласия субъекта персональных данных, а в случаях, когда в соответствии с законодательством такое согласие не требуется - без такового.
4.3. ООО МКК «Денежная единица» не осуществляет обработку специальных категорий персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, судимости физических лиц.
4.4. Обработка персональных данных осуществляется следующими способами:
Обработка осуществляется посредством сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения персональных данных.
Доступ к обрабатываемым персональным данным предоставляется только тем работникам компании, которым он необходим в связи с исполнением ими трудовых обязанностей.
4.5. ООО МКК «Денежная единица» проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных».
4.6. Особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации.
4.6.1. При обработке персональных данных, осуществляемой без использования средств автоматизации персональные данные обособляются от иной информации путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители).
4.6.2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель.
4.6.3. Сотрудники, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной единица».
4.6.4. Приказом генерального директора утвержден перечень лиц, имеющих доступ к материальными носителям, содержащим персональные данные, обрабатываемые без использования средств автоматизации.
4.6.5. Приказом генерального директора назначен ответственный за обеспечение безопасности персональных данных, обрабатываемых без использования средств автоматизации, в том числе за ведение и сохранность материальных носителей, содержащих персональные данные.
4.6.6. Использование и хранение биометрических персональных данных вне информационных систем персональных данных осуществляется только на материальных носителях информации с применением технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
4.6.7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – «Типовая форма») соблюдаются следующие условия:
а) типовые формы или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) содержат сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
б) типовые формы предусматривают поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
в) типовые формы составлены таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовые формы исключают объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
4.7. Особенности организации обработки персональных данных в информационных системах.
4.7.1. В ООО МКК «Денежная единица» ведется регистрация и учет всех действий пользователей, совершаемых с персональными данными в информационных системах персональных данных.
4.7.2. В ООО МКК «Денежная единица» ведется учет машинных носителей, используемых для хранения и обработки персональных данных в информационных системах.
4.7.3. Определены права доступа к персональным данным, порядок регистрации и учета действий с персональными данными при их обработке в информационных системах.
4.7.4. Приказом генерального директора утвержден перечень должностей, доступ которых к персональными данным, обрабатываемым в информационной системе, необходим для выполнения ими трудовых обязанностей.
4.7.5. Приказом генерального директора назначен ответственный за обработку персональных данных в информационных системах персональных данных.
4.7.6. Сотрудники, осуществляющие обработку персональных данных в информационных системах, проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами ООО МКК «Денежная единица».
5. Меры по обеспечению безопасности персональных данных при их обработке без использования средств автоматизации
5.1. В отношении каждой категории персональных данных определены места хранения персональных данных (материальных носителей).
Утвержден перечень мест хранения материальных носителей, содержащих персональные данные.
5.2. Материальные носители персональных данных, обработка которых осуществляется в различных целях, хранятся раздельно друг от друга.
5.3. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
5.4. Доступ к персональным данным, обрабатываемым без использования средств автоматизации, осуществляется на основании приказа генерального директора ООО МКК «Денежная единица», утверждающего перечень таких лиц.
5.5. В компании обеспечен режим безопасности помещений, в которых размещена информационная система обработки персональных данных, который препятствует возможности неконтролируемого проникновения третьих лиц в помещения.
Входные двери помещений, в которых хранятся материальные носители персональных данных, оборудованы замками, гарантирующими надежное закрытие помещений во внерабочее время и оснащены охранно-пожарной сигнализацией.
5.6. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, приняты меры по обеспечению раздельной обработки персональных данных, в частности:
5.6.1. при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
5.6.2. при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
5.7. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
5.8. Правила, предусмотренные пунктами 5.6 и 5.7, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
5.9. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
6. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах
6.1. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты информации, нейтрализующей актуальные угрозы.
6.2. С учетом оценки вреда, который может быть причинен субъектам персональных данных, в случае нарушения оператором положений ФЗ «О персональных данных», в Модели угроз безопасности информации в информационной системе ООО МКК «Денежная единица» определен перечень актуальных угроз безопасности персональным данным при их обработке в информационных системах.
6.3. В компании установлены правила доступа к персональным данным, обрабатываемым в информационных системах.
Доступ к персональным данным, которые содержатся в информационных системах, осуществляется на основании приказов генерального директора ООО МКК «Денежная единица» о приеме сотрудников на работу, приказов, предусмотренных пунктами 4.2.4 и 4.2.5 настоящего Положения, путем предоставления сотруднику данных учетной записи (логин и пароль) пользователя информационной системы персональных данных.
Права и роли пользователей в информационной системе персональных данных устанавливаются по согласованию со специалистом по информационной безопасности в соответствии с актуальной матрицей доступа к конфиденциальной информации в ООО МКК «Денежная единица». При предоставлении пользователям прав в ИСПДн применяется принцип минимальной необходимости, в соответствии с которым пользователю предоставляются только те права, которые необходимы сотруднику для выполнения своих должностных обязанностей.
Назначен ответственный за обеспечение безопасности персональных данных в информационной системе.
6.4. Обработка персональных данных в ООО МКК «Денежная единица» осуществляется только на территории Российской Федерации с использованием собственных информационных ресурсов, расположенных на территории компании, а также информационных ресурсов центров хранения и обработки данных, зарегистрированных и расположенных на территории Российской Федерации.
6.5. Обработка персональных данных осуществляется с помощью отечественного программного обеспечения:
6.6. Для защиты информации на автоматизированных рабочих местах пользователей, а также на серверах ИСПДн применяется отечественное программное обеспечение:
6.7. В компании обеспечен режим безопасности помещений, в которых размещены компоненты информационной системы обработки персональных данных, исключающий возможность неконтролируемого проникновения третьих лиц в помещения.
Входные двери помещений, в которых хранятся машинные носители информации, содержащей персональные данные, оборудованы замками, гарантирующими надежное закрытие помещений в нерабочее время. Помещения оборудованы охранно-пожарной сигнализацией, выведенной на пульт круглосуточной охраны, включающей в себя объемные датчики движения, а также контактные датчики открытия/разбития на окнах и дверях помещений.
6.8. Не реже 1 раза в год осуществляется контроль за выполнением требований законодательства к обработке персональных данных в информационных системах посредством проведения внутренних проверок.
7. Процедуры по устранению нарушений законодательства. допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных
7.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных, осуществляется блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки.
7.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных, осуществляется блокирование персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
7.3. В случае подтверждения факта неточности персональных данных они уточняются в течение семи рабочих дней со дня представления таких сведений и снимается блокирование персональных данных.
7.4. В случае выявления неправомерной обработки персональных данных, в срок, не превышающий трех рабочих дней с даты этого выявления, неправомерная обработка персональных данных прекращается.
7.5. В случае, если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, такие персональные данные уничтожаются.
7.6. Об устранении допущенных нарушений или об уничтожении персональных данных уведомляется субъект персональных данных или его представитель, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены органом по защите прав субъектов персональных данных, также указанный орган.
7.7. Обработка персональных данных прекращается в случае достижения целей обработки персональных данных, а персональные данные уничтожаются, в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
7.8. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных, а также, если сохранение персональных данных более не требуется для целей обработки персональных данных, такая обработка прекращается, а персональные данные уничтожаются в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством РФ.
7.9. В случае отсутствия возможности уничтожения персональных данных в течение установленного срока, осуществляется блокирование персональных данных и их уничтожение в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
8. Обращение субъекта персональных данных
8.1. Субъект персональных данных вправе направить Оператору свой запрос, в том числе относительно использования его персональных данных на юридический адрес: 308009, г. Белгород, Бульвар Народный, д.79, офис 407.
8.2. Оператор обязуется рассмотреть и направить ответ на поступивший запрос в течение пятнадцати дней с момента поступления обращения.
СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Я (далее - Заемщик / Заявитель/Посетитель сайта), в соответствие с ФЗ № 152-ФЗ «О персональных данных» сознательно, свободно, своей волей и в своем интересе даю ООО МКК «Денежная единица» (ИНН 3123449916/ ОГРН 119312300492/ юридический адрес: 308009, г. Белгород, Народный бульвар, д. 79, оф. 407) и иным третьим лицам с которыми у ООО МКК «Денежная единица» заключен гражданско-правовой договор (далее – Оператор(ы) (в частности ООО «ЯНДЕКС» (сервис «Яндекс.Метрика») для целей рассмотрения заявок на получение потребительских займов; проверки достоверности сведений; заключения договоров микрозайма и исполнения обязательств по договорам микрозайма; взаимодействия по возврату просроченной задолженности; запроса кредитного отчёта в бюро кредитных историй; проверки и оценки платежеспособности и кредитоспособности, получение результатов такой оценки, скорингового балла (индивидуального рейтинга) и других показателей благонадежности; создания информационных систем данных, анализ, моделирования, прогнозирования, построения математических (скоринг) моделей, анализа агрегированных и анонимных данных, статистических и исследовательских целей; ведения и актуализации клиентской базы; проведения опросов и исследований, направленных на выявление удовлетворенности/неудовлетворенности; постоянного совершенствования уровня предоставляемых услуг; подготовки ответов на запросы / письма / уведомления, свое согласие, на обработку моих персональных данных:
Настоящим я уведомлен и согласен с тем, что я вправе направить Оператору свои запросы, в том числе запросы относительно использования моих персональных данных на юридический Оператора. Настоящим я уведомлен и согласен с тем, что данное согласие действует в течение 3 лет, если иной срок не предусмотрен законодательством Российской Федерации и может быть отозвано мной путем направления заявления с указанием моих паспортных данных посредством почтовой связи на юридический адрес Оператора.
