Режим обработки персональных данных
ПОЛОЖЕНИЕ
об обработке персональных данных
в Кредитном потребительском кооперативе «Альянс-Групп»
г. Челябинск
2017 год
Основные понятия, используемые в настоящем Положении
1.1. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Под физическим лицом применительно к Положению понимается также любое физическое лицо, уполномоченное в порядке, предусмотренном Гражданским Кодексом РФ, представлять юридическое лицо и осуществлять его права и обязанности во взаимоотношениях с Кооперативом.
1.2. Субъекты персональных данных – лица, чьи данные хранятся и обрабатываются Кооперативом в процессе осуществления им своей деятельности. Положение распространяется на следующие категории субъектов персональных данных:
1.2.1 Пайщик – физическое лицо, являющееся или ранее являвшееся членами Кооператива;
1.2.2. Работник – лицо, состоящее в трудовых отношениях с кооперативом;
1.2.3. Индивидуальный предприниматель – лицо, выполняющее для кооператива работы и услуги по договорам гражданско-правового характера;
1.2.4. Поручитель - лицо, принявшее на себя обязанность обеспечить обязательства пайщика по полученному им займу;
1.2.5. Доверенное лицо – лицо, уполномоченное представлять во взаимодействии с Кооперативом интересы пайщиков или третьих лиц;
1.2.6. Иные лица – лица, персональные данные которых могут обрабатываться Кооперативом в связи с осуществлением им своей деятельности.
1.3. Оператор – Кооператив, организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели и содержание обработки персональных данных.
1.4. Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
1.5. Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
1.6. Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
1.7. Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
1.8. Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
1.9. Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
1.10. Материальный носитель персональных данных – бумажный или магнитный (съемный) носитель информации, на котором хранится, уточняется, изменяется, дополняется, блокируется и уничтожается информация о персональных данных субъектов персональных данных.
1.11. Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
1.12. Технические средства, позволяющие осуществлять обработку персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных, программные средства (операционные системы и системы управления базами данных), средства защиты информации, применяемые в информационных системах.
1.13. Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
ПОЛОЖЕНИЕ
об обработке персональных данных
в Кредитном потребительском кооперативе «Альянс-Групп»
г. Челябинск
2017 год
Основные понятия, используемые в настоящем Положении
1.1. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Под физическим лицом применительно к Положению понимается также любое физическое лицо, уполномоченное в порядке, предусмотренном Гражданским Кодексом РФ, представлять юридическое лицо и осуществлять его права и обязанности во взаимоотношениях с Кооперативом.
1.2. Субъекты персональных данных – лица, чьи данные хранятся и обрабатываются Кооперативом в процессе осуществления им своей деятельности. Положение распространяется на следующие категории субъектов персональных данных:
1.2.1 Пайщик – физическое лицо, являющееся или ранее являвшееся членами Кооператива;
1.2.2. Работник – лицо, состоящее в трудовых отношениях с кооперативом;
1.2.3. Индивидуальный предприниматель – лицо, выполняющее для кооператива работы и услуги по договорам гражданско-правового характера;
1.2.4. Поручитель - лицо, принявшее на себя обязанность обеспечить обязательства пайщика по полученному им займу;
1.2.5. Доверенное лицо – лицо, уполномоченное представлять во взаимодействии с Кооперативом интересы пайщиков или третьих лиц;
1.2.6. Иные лица – лица, персональные данные которых могут обрабатываться Кооперативом в связи с осуществлением им своей деятельности.
1.3. Оператор – Кооператив, организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели и содержание обработки персональных данных.
1.4. Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
1.5. Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
1.6. Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
1.7. Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
1.8. Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
1.9. Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
1.10. Материальный носитель персональных данных – бумажный или магнитный (съемный) носитель информации, на котором хранится, уточняется, изменяется, дополняется, блокируется и уничтожается информация о персональных данных субъектов персональных данных.
1.11. Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
1.12. Технические средства, позволяющие осуществлять обработку персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных, программные средства (операционные системы и системы управления базами данных), средства защиты информации, применяемые в информационных системах.
1.13. Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Режим обработки персональных данных
2.1. Обработка персональных данных в Кооперативе осуществляется на основе следующих принципов:
2.1.1. Законности целей и способов обработки персональных данных и добросовестности;
2.1.2. Соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных в соответствии определенными законодательством и уставом полномочиями и обязанностями Кооператива;
2.1.3. Соответствия объема и характера обрабатываемых персональных данных и способов их обработки установленным целям обработки персональных данных.
2.1.4. Достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
2.1.5. недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2.2. Состав персональных данных, предоставляемых Кооперативу субъектами персональных данных, определяется законодательством и уставом Кооператива по каждой категории субъектов персональных данных: по работникам Кооператива, установленной п.2 раздела 1.
2.3. Хранение и обработка персональных данных субъекта персональных данных, учитываемых в информационных базах данных Кооператива, осуществляется в целях его идентификации, ведения истории и оценки характера взаимоотношений с Кооперативом.
2.4. Список работников, имеющих право доступа к информационной системе и персональным данным определенной категории субъектов персональных данных, либо к определенным информационным массивам (базам данных), определяется Председателем правления Кооператива в соответствии с функциональными и должностными полномочиями и обязанностями сотрудников.
2.5. Цели и способы обработки Кооперативом персональных данных разъясняются субъектам персональных данных. Все обрабатываемые персональные данные Кооператив получает исключительно от самих субъектов персональных данных. Не допускается сбор и обработка персональных данных о субъекте персональных данных, полученных от третьих лиц, за исключением случаев, когда получение таких данных предусмотрено уставом Кооператива для осуществления своей уставной деятельности и в соответствии с законодательством.
2.6. Обработка персональных данных в Кооперативе признается осуществленной без использования средств автоматизации, поскольку осуществляется при непосредственном участии уполномоченных на то сотрудников Кооператива.
2.7. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
2.8. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, информируются о факте обработки ими персональных данных, обработка которых осуществляется Кооперативом без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Кооператива.
2.9. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, Кооперативом принимаются меры по обеспечению раздельной обработки персональных данных.
2.10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
2.11. Правила, предусмотренные пунктами 9 и 10 Раздела 2, Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
2.12. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
2.13. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
2.14. Кооператив обеспечивает раздельное хранение персональных данных (материальных носителей), по категориям субъектов персональных данных, обработка которых осуществляется в различных целях. При совпадении целей обработки персональных данных допускается совместное хранение персональных данных различных субъектов.
2.15. Кооператив не осуществляет исключительно автоматизированную обработку персональных данных субъектов персональных данных, порождающую для них какие-то бы ни было юридические последствия.
2.16. Исключительно автоматизированная обработка персональных данных может осуществляться Кооперативом обезличенно в целях статистического и социологического анализа по определенным критериям (пол, возрастная группа, территориальный признак, характер деятельности и пр.).
2.17. Обработка персональных данных осуществляется Кооперативом с письменного согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона №152 – ФЗ от 27.07.2006 года «О персональных данных».
2.18. Письменное согласие субъекта на обработку его персональных данных оформляется в соответствии с утвержденной формой соответствующего договора.
2.19. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на Кооператив.
2.20. Согласие на обработку персональных данных может быть письменно отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Кооператив вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ от 27.07.2006 года «О персональных данных».
2.21. Кооперативом обеспечивается конфиденциальность обрабатываемых им персональных данных.
2.22. Любой субъект персональных данных имеет право на ознакомление со своими персональными данными в объеме, установленном законодательством и содержащимся в базах данных Кооператива. Сведения о наличии персональных данных по запросам субъектов персональных данных предоставляются Кооперативом в форме справки. В такой справке не могут содержаться персональные данные других субъектов. При получении запроса субъекта персональных данных о предоставлении ему его личных персональных данных, Кооператив идентифицирует этого субъекта персональных данных по учтенным в информационных базах Кооператива идентификационным данным и, в случае необходимости, может запросить дополнительные документы, удостоверяющие личность этого субъекта.
2.23. При заявлении требования о предоставлении Кооперативом своих персональных данных субъект персональных данных имеет право на получение дополнительной информации, в том числе:
2.23.1. О способах обработки персональных данных, применяемых Кооперативом;
2.23.2. О сотрудниках Кооператива, имеющих доступ к персональным данным и/или которым может быть предоставлен такой доступ;
2.23.3. О перечне обрабатываемых персональных данных и источнике их получения;
2.23.4. О сроках обработки и хранения персональных данных;
2.23.5. О юридических для него последствиях, которые может повлечь обработка его персональных данных.
2.24. Все запросы субъектов персональных данных на ознакомление с их персональными данными регистрируются в журнале регистрации и учета обращений субъектов персональных данных (Приложение №. 4).
2.25. Любой субъект персональных данных вправе потребовать от Кооператива уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими или недостоверными.
2.26. Любой субъект персональных данных может обращаться в Кооператив с требованием об изменении, уточнении, уничтожении, ознакомлении, блокировании или иными действиями с его персональными данными лично или через своего законного представителя, полномочия которого подтверждаются в порядке, установленном Гражданским Кодексом РФ.
2.27. Обязанность предоставить доказательство о своевременном сообщении Кооперативу сведений обо всех изменениях, произошедших в персональных данных, возлагается на субъектов персональных данных.
2.28. Любой субъект персональных данных вправе обжаловать действия или бездействие Кооператива в уполномоченный орган по защите своих прав в случае, если считает, что Кооператив осуществляет обработку его персональных данных с нарушениями действующего законодательства.
2.29. Все сотрудники Кооператива, в том числе работающие по договорам гражданско-правового характера, вправе инициализировать и выносить на рассмотрение Директор, а в его отсутствие - Председатель правления Кооператива свои предложения по совершенствованию системы защиты персональных данных, к которым они имеют доступ.
2.30. Все персональные данные формируются в Кооперативе индивидуально по каждому субъекту персональных данных, и хранятся в архиве Кооператива. Все персональные данные систематизированы по категориям субъектов персональных данных, характеру их взаимоотношений с кооперативом. Документы хранятся в головном офисе Кооператива в закрытых шкафах, и находящихся под надзором сотрудников Кооператива, что исключает несанкционированный доступ к месту хранения персональных данных со стороны других субъектов персональных данных и третьих лиц. Правом доступа к персональным данным обладают уполномоченные Председателем правления Кооператива сотрудники Кооператива, отвечающие за взаимоотношения Кооператива с данными субъектами персональных данных.
2.31. Все сотрудники Кооператива, в том числе работающие по договорам гражданско–правового характера, инструктируются под роспись в заявлении о том, что они предупреждены об условиях конфиденциальности информации, содержащей персональные данные субъектов персональных данных, способах обработки и защиты персональных данных, о недопустимости разглашения такой информации и мерах материальной и дисциплинарной ответственности, применяемых в случае разглашения такой информации, в соответствии с требованиями действующего законодательства.