Политика МКК

Приложение № 2 к приказу № 60 от 12 июля 2017

 

 

УТВЕРЖДЕНА
приказом генерального директора
ООО  МКК «МЕРИДИАН»
от «12» июля 2017 г. № 60

 

  ПОЛИТИКА
Общества с ограниченной ответственностью
Микрокредитная компании «МЕРИДИАН»
в отношении обработки персональных данных
 

1. Общие положения

1.1 Настоящий документ определяет Политику Общества с ограниченной ответственностью Микрокредитная компания «МЕРИДИАН» (Далее-МКК) в отношении обработки персональных данных и реализации требований к защите персональных данных (далее - Политика) в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

1.2 В настоящей Политике используются следующие основные понятия:

персональные данные - любая информация, относящаяся к прямо или косвенно определённому, или определяемому физическому лицу (субъекту персональных данных);

 обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределённому кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

клиент МКК - физическое, юридическое лицо, индивидуальный предприниматель, и иные лица, с которыми МКК заключены договора займа, или подавшие заявку на заключение договора займа.

контрагент МКК - физическое, юридическое лицо, индивидуальный предприниматель, иные лица, с которыми МКК заключены гражданского-правовые договора, или с которыми МКК намерена установить деловые отношения. 

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

 

2. Принципы обработки персональных данных

2.1. Обработка персональных данных осуществляется на законной и справедливой основе. 

2.2. Обработка персональных данных ограничивается достижением конкретных, определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. 

2.3. Объем и характер обрабатываемых персональных данных, способы обработки персональных данных соответствуют целям обработки персональных данных. 

2.4. Не допускается объединение созданных для несовместимых между собой целей баз данных, содержащих персональные данные. 

2.5. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях актуальность по отношению к целям обработки персональных данных. Принимаются необходимые меры по удалению или уточнению неполных, или неточных данных. Не допускается обработка персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных.

2.6. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных. 

2.7. Если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки персональных данных. 

2.8. По достижении целей обработки или в случае утраты необходимости в достижении этих целей, Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию, если иное не предусмотрено федеральным законом. 

 

3. Правовые основания обработки персональных данных

В МКК определены следующие основания для обработки информации, содержащей персональные данные:

Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных»; Трудовой кодекс Российской Федерации от 30 декабря 2001 г. №197-ФЗ; Налоговый кодекс Российской Федерации: часть первая от 31 июля 1998 г. №146-ФЗ и часть вторая от 5 августа 2000 г. №117-ФЗ; Гражданский кодекс Российской Федерации: часть первая от 30 ноября 1994 г. №51-ФЗ, часть вторая от 26 января 1996 г. №14-ФЗ, часть третья от 26 ноября 2001 г. №146-ФЗ, часть четвертая от 18 декабря 2006 г. №230-ФЗ; Федеральный закон от 7 августа 2001 г. №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»; Федеральный закон от 1 апреля 1996 г. №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»; Федеральный закон от 2 июля 2010 г. №151-ФЗ «О микрофинансовой деятельности и микрофинансовых организациях»; Федеральный закон от 21.12.2013 № 353-ФЗ «О потребительском кредите (займе)».  Постановления Правительства РФ №781 от 17.11.2007 года «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства РФ №687 от 15.09.2008 года «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

 

 

4. Цели обработки персональных данных

4.1. МКК осуществляет обработку персональных данных в следующих целях:

- осуществления финансово-хозяйственной деятельности согласно Уставу МКК;

- заключения, исполнения и прекращения договоров займа/микрозайма  с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами;

- заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и Уставом МКК;

- обслуживание заемщиков и лиц, подающих заявку на получение займов/микрозаймов, предоставления скидок и льготных условий предоставления займов;

- ведения кадрового делопроизводства;

-  обеспечения соблюдения законов и иных нормативно-правовых актов, исполнения требований налогового законодательства, исполнения требований пенсионного законодательства, заполнения первичной статистической документации;

4.2. С согласия субъекта персональных данных МКК может использовать персональные данные клиентов и контрагентов в следующих целях:

- для связи с клиентами и контрагентами в случае необходимости, в том числе для направления уведомлений, информации и запросов, связанных с оказанием услуг, выполнением работ, а также обработки заявлений, запросов и заявок клиентов и контрагентов;

- для улучшение качества услуг, оказываемых МКК;

- для продвижения работ, товаров и услуг на рынке;

- для предложения работ, товаров и услуг;

- для проведения статистических и иных исследований на основе обезличенных персональных данных.

 

5. Субъекты и состав персональных данных

5.1. Сведениями, составляющими персональные данные, в МКК является любая информация, относящаяся прямо или косвенно к определенному физическому лицу (субъекту персональных данных).

5.2. МКК обрабатывает персональные данные следующих категорий субъектов персональных данных:

- работников МКК (отрабатывается информация, необходимая МКК в связи с трудовыми отношениями и касающаяся конкретного работника);

- клиентов МКК (потенциального клиента, партнера, контрагента), а также персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося клиентом (потенциальным клиентом, партнером, контрагентом) МКК (обрабатывается информация, необходимая МКК для выполнения своих обязательств в рамках договорных отношений с клиентом и для выполнения требований законодательства Российской Федерации);

5.3. МКК осуществляет обработку следующих категорий персональных данных в связи с реализацией трудовых отношений:

- фамилия, имя, отчество; образование; сведения о трудовом и общем стаже; сведения о составе семьи; паспортные данные; сведения о воинском учете; ИНН; налоговый статус; сведения о заработной плате работника; сведения о социальных льготах; специальность;  занимаемая должность; адрес места жительства; телефон; место работы или учебы членов семьи и родственников; содержание трудового договора; содержание декларации, подаваемой в налоговую инспекцию;  иную, не указанную выше информацию, содержащуюся в личных делах и трудовых книжках сотрудников;  информацию, являющуюся основанием к приказам по личному составу; информацию, содержащуюся в страховом свидетельстве обязательного пенсионного страхования, свидетельстве о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации, страховом медицинском полисе обязательного медицинского страхования граждан, медицинском заключении установленной формы об отсутствии у гражданина заболевания, препятствующего поступлению на работу в МКК; дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям.

5.4. Для целей осуществления уставной (коммерческой) деятельности в МКК обрабатываются следующие категории персональных данных клиентов и контрагентов:

Фамилия, имя, отчество; дата и место рождения; сведения о местах работы (город, название организации, должность, сроки работы);  сведения о семейном положении, детях (фамилия, имя, отчество, дата рождения); сведения о месте работы или учебы членов семьи и родственников; сведения о месте регистрации, проживания; контактная информация (телефон, адрес электронной почты и др.); паспортные данные; сведения о постановке на налоговый учет (ИНН); сведения о регистрации в Пенсионном фонде (номер страхового свидетельства); сведения об открытых банковских счетах; иная информация необходимая для идентификации клиента. 

 

6. Обработка персональных данных

6.1 МКК вправе обрабатывать персональные данные субъекта персональных данных при наличии его согласия.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме. Письменное согласие может быть составлено в виде отдельного документа или быть внедрено в структуру иного документа, подписываемого субъектом персональных данных.

6.2. МКК не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

6.3. Обработка персональных данных осуществляется МКК:

- с использованием средств автоматизации (обработка персональных данных в информационной системе персональных данных с использованием компьютера);

- без использования средств автоматизации (обработка персональных данных на бумажных носителях).

- смешанным способом.

6.4. МКК не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов, третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами. 

6.5. По мотивированному запросу исключительно для выполнения возложенных законодательством функций и полномочий персональные данные субъекта персональных без его согласия могут быть переданы: в судебные органы в связи с осуществлением правосудия; в органы федеральной службы безопасности; в органы прокуратуры; в органы полиции; в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения. 

6.6. С согласия субъекта персональных данных МКК вправе осуществлять передачу персональных данных в бюро кредитных историй, а также в иные организации, с которыми у МКК заключены гражданско-правовые договоры в целях исполнения договоров, заключенных с субъектом персональных данных.  

6.7. Работники МКК, ведущие обработку персональных данных, не отвечают на вопросы, связанные с передачей персональных данных по телефону или факсу. 

 

7. Сроки обработки и хранения персональных данных

7.1. Обработка персональных данных начинается с момента поступления персональных данных в информационную систему персональных данных МКК и прекращается:

- в случае достижения цели обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

В этом случае: МКК незамедлительно прекращает обработку персональных данных и уничтожает соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, и уведомляет об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, МКК уведомляет также указанный орган;

- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных.

В этом случае: МКК прекращает обработку персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва. Об уничтожении персональных данных МКК уведомляет субъекта персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных МКК вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в части 2 статья 9 и пункте 5 части 1 статьи 6 Федерального закона «О персональных данных».

- в случае выявления неправомерных действий с персональными данными.

В этом случае: в срок, не превышающий трех рабочих дней с даты такого выявления, МКК устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений МКК в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, уничтожает персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных МКК уведомляет субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, МКК уведомляет также указанный орган;

- в случае прекращения деятельности МКК.

7.2. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

7.3. В случае получения согласия клиента (или контрагента) на обработку персональных данных в целях продвижения услуг МКК на рынке путем осуществления прямых контактов с помощью средств связи, данные клиента (или контрагента) хранятся бессрочно (до отзыва субъектом персональных данных согласия на обработку его персональных).

 

8. Порядок уничтожения персональных данных

8.1. Ответственным за уничтожение персональных данных является лицо, ответственное за организацию обработки и обеспечение безопасности персональных данных.

При наступлении любого из событий, повлекших необходимость уничтожения персональных данных, лицо ответственное за организацию обработки и обеспечение безопасности персональных данных обязано: принять меры к уничтожению персональных данных; оформить соответствующий Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) и представить Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) на утверждение директору МКК; в случае необходимости уведомить об уничтожении персональных данных субъекта персональных данных и/или уполномоченный орган.

 

9. Конфиденциальность персональных данных

9.1. Информация, относящаяся к персональным данным, ставшая известной в связи с реализацией трудовых отношений, в связи с оказанием услуг клиентам МКК и в связи с сотрудничеством с контрагентами МКК, является конфиденциальной информацией и охраняется законом.

9.2. Работники МКК и иные лица, получившие доступ к обрабатываемым персональным данным, предупреждаются о возможной дисциплинарной, административной, гражданско-правовой или уголовной ответственности в случае нарушения норм и требований действующего законодательства, регулирующего правила обработки и защиты персональных данных.

9.3. Работники МКК, по вине которых произошло нарушение конфиденциальности персональных данных, и работники, создавшие предпосылки к нарушению конфиденциальности персональных данных, несут ответственность, предусмотренную действующим законодательством Российской Федерации, внутренними документами МКК и условиями трудового договора.

9.4. Работники, осуществляющие обработку персональных данных и ответственные за обеспечение её безопасности, должны иметь квалификацию, достаточную для поддержания требуемого режима безопасности персональных данных. В этих целях вводится система обеспечения требуемого уровня квалификации. Для всех лиц, обрабатывающих персональные данные, проводятся инструктажи по обеспечению безопасности персональных данных. Обязанность по реализации системы обеспечения требуемого уровня квалификации возлагается на лицо, ответственное за организацию обработки и обеспечение безопасности персональных данных. Ответственное лицо организовывает инструктирование и обучение работников, ведет персональный учёт работников, прошедших инструктирование и обучение.

 

10. Права субъектов персональных данных

10.1 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: подтверждение факта обработки персональных данных оператором; правовые основания и цели обработки персональных данных; цели и применяемые оператором способы обработки персональных данных;  наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона; обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; иные сведения, предусмотренные Федеральным законом « О персональных данных» и другими федеральными законами.

10.2 Субъект персональных данных вправе требовать от МКК уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Сведения, указанные в п. 10.1., предоставляются субъекту персональных данных или его представителю по запросу субъекта персональных данных или его представителя.

Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.

10.3 Если субъект персональных данных считает, что МКК осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие МКК в орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор) или в судебном порядке.

10.4 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

10.5 Иные права, определённые главой 3 Федерального закона «О персональных данных».

 

11. Меры, направленные на обеспечение выполнения МКК обязанностей, предусмотренных ст. ст. 18.1, 19 Федерального закона «О персональных данных»

11.1. МКК предпринимает необходимые организационные и технические меры по защите персональных данных, основанные на требованиях ст. 18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», иных нормативных актов в сфере персональных данных, в том числе:

  1. Назначено лицо, ответственное за организацию обработки персональных данных и обеспечение безопасности персональных данных в МКК;
  2. Разработана настоящая политика МКК в отношении обработки персональных данных. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки и обеспечение безопасности персональных данных МКК.
  3. Разработано Положение о защите персональных данных работников, клиентов и контрагентов МКК. Контроль исполнения требования Положения осуществляется ответственным за организацию обработки и обеспечение безопасности персональных данных МКК.
  4. Осуществляется внутренний контроль соответствия обработки персональных данных требованиям законодательства о защите персональных данных, политике МКК в отношении обработки персональных данных, локальным актам МКК;
  5. Осуществляется оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных,  соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
  6. Обеспечено ознакомление работников МКК, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе c требованиями к защите персональных данных, документами, определяющими политику МКК в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и обучение указанных работников.
  7. Ответственность должностных лиц МКК, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами МКК.
  8. Обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
  9. МКК при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии со ст. 19. «О защите персональных данных», в частности:

- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учет машинных носителей персональных данных;

- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;

- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

 

12. Заключительные положения

12.1.       МКК обеспечивает неограниченный доступ к настоящей политике и к сведениям о требованиях к защите персональных данных с использованием средств соответствующей информационно-телекоммуникационной сети, а именно: МКК публикует настоящую политику информационно-телекоммуникационной сети «Интернет» на сайте МКК по адресу: https://money-live.ru/

12.2.      Настоящая Политика подлежит изменению, дополнению в случае принятия новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных. В случае внесения в настоящую Политику изменений, МКК обеспечивает к ним неограниченный доступ всем заинтересованным субъектам персональных данных, способом, указанным в п.12.1. Ответственность за актуализацию политики несет лицо, ответственное за организацию обработки персональных данных и обеспечение безопасности персональных данных.

12.3.      Действующая редакция настоящей Политики в форме документа на бумажном носителе хранится в месте нахождения МКК по адресу: 115093, г. Москва, ул. Щипок, д. 18, стр. 1. МКК обеспечивает неограниченный доступ к настоящей политике путем размещения документа на доступном для обозрения месте.