Политика в отношении обработки и защиты персональных данных

1. Общие политики

1. 1.1. Настоящая Политика по обработке и защите персональных данных (далее — Политика) разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», и иными нормативными правовыми актами, действующими на территории Российской Федерации.
2. 1.2. Оператором, организующим и осуществляющим обработку персональных данных согласно настоящей Политики, является ООО «ФФС» (далее - Организация).
3. 1.3. Цель разработки Политики - определение порядка обработки персональных данных в Организации; обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных, а также установление ответственности лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
4. 1.4. Настоящая Политика определяет политику Организации в отношении обработки персональных данных, а также определяет сведения о реализуемых требованиях к защите персональных данных.
5. 1.5. Порядок ввода в действие и изменения Политики.
   1. 1.5.1. Настоящее Политика вступает в силу с момента его утверждения генеральным директором Организации и действует бессрочно, до замены ее новой Политикой.
   2. 1.5.2. Все изменения в Политике вносятся приказом генерального директора Организации.
6. 1.6. Контроль за соблюдением настоящей Политики осуществляет генеральный директор Организации.

2. Основные понятия и состав персональных данных

Для целей настоящей Политики используются следующие основные понятия и определения:

• «персональные данные» - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
• «оператор» - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• «обработка персональных данных» - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
• «автоматизированная обработка персональных данных» - обработка персональных данных с помощью средств вычислительной техники;
• «распространение персональных данных» - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• «предоставление персональных данных» - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• «блокирование персональных данных» - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• «уничтожение персональных данных» - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• «обезличивание персональных данных» - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• «информационная система персональных данных» - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• «мобильное приложение (mobile app)» – программное обеспечение, предназначенное для работы на смартфонах, планшетах и других мобильных устройствах, разработанное для конкретной платформы (iOS и Android). Мобильные приложения могут быть загружены из онлайновых магазинов приложений, таких как App Store, Google Play, и др. Не автоматизированная обработка персональных данных – обработка персональных данных без использования средств автоматизации и вычислительной техники.
• «трансграничная передача персональных данных» - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
• «конфиденциальность персональных данных» - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
• «информация» — сведения (сообщения, данные) независимо от формы их представления;
• «доступ к информации» – возможность получения информации и ее использования;
• «документированная информация» — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

3. Цели и задачи обработки персональных данных

3.1. К персональным данным относятся:

• фамилия, имя, отчество;
• пол;
• дата и место рождения;
• гражданство;
• паспортные данные, в том числе, сведения об адресе регистрации;
• сведения об образовании (наименование образовательного учреждения, реквизиты документа об образовании, о квалификации или наличии специальных знаний (наименование, серия, номер, год окончания), квалификация по документу об образовании, направление или специальность);
• сведения о трудовой деятельности (в том числе профессия, стаж работы, данные о трудовой занятости на текущее время);
• семейное положение (состояние в браке, состав семьи, степень родства (ближайшие родственники));
• адрес места жительства (фактический адрес, дата регистрации по месту жительства);
• номер телефона;
• адрес электронной почты;
• сведения о приеме на работу и переводах (дата, структурное подразделение, должность, тарифная ставка (оклад), надбавка);
• основание прекращения трудового договора;
• данные свидетельств о регистрации актов гражданского состояния (брак, развод, свидетельство о смерти);
• сведения о свидетельстве о рождении гражданина (серия и номер свидетельства, дата выдачи, место государственной регистрации);
• данные, содержащиеся в свидетельстве о рождении;
• идентификационный номер налогоплательщика (ИНН);
• страховой номер индивидуального лицевого счета (СНИЛС);
• данные страхового полиса обязательного медицинского страхования;
• реквизиты банковского счета;
• номер расчетного счета;
• номер лицевого счета;
• сведения о страховых взносах;
• фото и видео материалы, содержащие изображение субъекта персональных данных;
• сведения о временной нетрудоспособности;
• сведения трудовой книжки;
• информация об IP-адресе и интернет-провайдере посетителя Сайта;
• информация из cookies (геолокация, язык браузера, внешний источник перехода на Сайт Организации, сведения об устройстве посетителя Сайта (сведения о ПО устройства, браузере и его настройках, системных данных устройства, включая модель и производителя устройства, информацию об операционной системе, размере экрана), сведения о сессии посетителя Сайта, в том числе, о дате, времени сессии, количестве просмотров веб-страниц и ознакомления с ресурсами Сайта посетителя);
• данные о посетителях Сайта полученные с использованием метрических программ (Яндекс.Метрика, Google Analytics и проч.) и числовые значения, формируемые на основе анализа полученных данных;
• сведения о ранее выданных документах, удостоверяющих личность;
• сведения из электронной трудовой книжки;
• справка о доходах и суммах налога физического лица;
• сведения о наименовании работодателя, адресе места работы, занимаемой должности, трудовом стаже и графике работы;
• даты предыдущей и следующей зарплаты;
• индивидуальные номера и иная информация, идентифицирующая персональные страницы на сайтах социальных сетей или иных коммуникационных сервисов;
• сведения о кредитной истории (в том числе, входящие в основную часть кредитной истории);
• реквизиты банковских карт и иных используемых субъектом персональных данных электронных средств осуществления платежей, а также сведения о таких платежах;
• информация о факте предоставления займа либо отказа в займе;
• сведения об условиях заключенного с клиентом договора займа и его изменениях, об исполнении клиентом его обязанностей по соответствующему договору, а также иная информация по договору займа;
• информация, содержащаяся в каком либо из следующих документов: свидетельство о смерти, выписка из истории болезни – стационарной формы (выписной эпикриз), справка медико-социальной экспертизы, решение (приговор) суда, заявление опекуна (попечителя), решение органа опеки и попечительства, справка о призыве на срочную службу, судебный акт, справка из службы занятости, приказ об увольнении, трудовая книжка, свидетельство о браке, свидетельство о рождении ребенка, справка о подтверждении доходов (ф. 2-НДФЛ), документальное подтверждение единовременной утраты имущества на суммы свыше 500 000,00 рублей, справка о ДТП, больничный лист, подтверждающий участие военнослужащего в специальной операции документ (военный билет с соответствующей отметкой, приказ о призыве, повестка, выписка из приказа командира военной части, выписка из приказа военного комиссариата о призыве на военную службу, мобилизационное предписание, заключенный контракт о военной службе), доверенность;
• сведения о смене ФИО (предыдущие фамилия, имя, отчество);
• данные ранее выданного документа, удостоверяющего личность (серия и номер, дата выдачи документа, кем выдан документ, код выдавшего документ подразделения, дата окончания срока действия документа);
• сведения о государственной регистрации в качестве индивидуального предпринимателя;
• сведения о дееспособности;
• сведения по делу о несостоятельности (банкротстве);
• иные данные, предоставляемые субъектом персональных данных Организации в процессе взаимодействия, в том числе, содержащиеся в анкете, заявлениях, платежных документах, подаваемых субъектом или законными представителями субъекта Организации или правомерно получаемых Организацией от третьих лиц.

3.2. Обработка персональных данных осуществляется с целью содействия субъектам персональных данных в:

• обеспечения личной безопасности;
• исполнения договорных обязательств;
• предложения продуктов и услуг Организации;
• предоставления скидок и льготных условий предоставления займов;
• обслуживание заемщиков.

3.3. Обработка персональных данных осуществляется с использованием автоматизированной информационной системы

3.4. Обработка персональных данных осуществляется для решения следующих задач:

• контроль за исполнением договоров;
• бухгалтерский учет;
• контроль за финансово-хозяйственной деятельностью организации;
• формирования системы обслуживания заемщиков;

3.5. При принятии решений, затрагивающего интересы субъекта персональных данных, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

4. Субъекты персональных данных

4.1. Организация обрабатывает персональные данные следующих категорий субъектов персональных данных:

1. 4.1.1. Работники Организации – физические лица, состоящие с Организацией в трудовых отношениях, на основании заключенного трудового договора.
2. 4.1.2. Бывшие работники Организации – физические лица, ранее состоявшие с Организацией в трудовых отношениях на основании заключенного трудового договора.
3. 4.1.3. Соискатели на вакантные должности Организации – физические лица, претендующее на вакантные должности Организации.
4. 4.1.4. Контрагенты/подрядчики Организации (физические лица) – физические лица, заключившие с Организацией гражданско-правовой договор.
5. 4.1.5. Посетители Сайта Организации – физические лица, посетившие Сайт Организации и заинтересованные в информации, товарах или услугах, представленных на Сайте.
6. 4.1.6. Зарегистрированные Пользователи Сайта Организации – физические лица, успешно прошедшие процедуру регистрации на Сайте Организации, в результате которой был создан профиль пользователя Сайта (личный кабинет).
7. 4.1.7. Пользователи Мобильного приложения Организации – физические лица, установившие на свое мобильное устройство (смартфон, планшет и проч.) Мобильное приложение Организации.

4.2. Все персональные данные субъекта персональных данных оператору следует получать у него самого. Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо Организации должно сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.

4.3. Организация не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, частной жизни.

4.4. Субъект персональных данных самостоятельно принимает решение о предоставлении своих персональных данных и дает согласие на их обработку. Обработка указанных персональных данных возможна только с их согласия, либо без их согласия случаях, предусмотренных действующим законодательством, а именно:

• полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
• относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
• сделанных субъектом персональных данных общедоступными;
• включающих в себя только фамилии, имена и отчества субъектов персональных данных;
• необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
• обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

4.5. Субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны.

4.6. Согласие на обработку персональных данных оформляется в письменном виде. Письменное согласие на обработку своих персональных данных должно включать в себя:

• фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
• наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
• срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; 9) подпись субъекта персональных данных.

4.7. В случаях, когда оператор может получить необходимые персональные данные субъекта только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении оператор обязан сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение. Согласие оформляется в письменной форме в двух экземплярах: один из которых предоставляется субъекту, второй хранится у оператора.

4.8. В случае недееспособности либо несовершеннолетия субъекта персональных данных все персональные данные следует получать от его законных представителей.

4.9. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных по письменному запросу на имя руководителя организации.

4.10. Субъект персональных данных имеет право на получение следующей информации:

• сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
• перечень обрабатываемых персональных данных и источник их получения;
• сроки обработки персональных данных, в том числе сроки их хранения;
• сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

4.11. Сведения о персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

4.12. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при получении письменного запроса субъекта персональных данных или его законного представителя. Письменный запрос должен быть адресован на имя руководителя организации или уполномоченного руководителем лицо.

5. Состав персональных данных, обрабатываемых с использованием автоматизированной системы

5.1. Состав персональных данных, обрабатываемых с использованием автоматизированной системы Организации, определяется настоящей Политикой (п.3.1.) и соответствует целям и задачам сбора, обработки и использования персональных данных в соответствии с разделом 3 настоящей Политики.

6. Порядок сбора, хранения и использования персональных данных

6.1. Субъекты персональных данных при получении от них согласия на обработку персональных данных в автоматизированной информационной системе знакомятся с настоящей Политикой путем его размещения в общедоступном месте в офисе Организации, а именно с перечнем собираемых и используемых сведений, с целями и задачами сбора, хранения и использования персональных данных.

6.2. Персональные данные субъектов персональных данных могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

6.3. Порядок хранения анкет и иных документов, содержащих информацию персонального характера, а также согласий на обработку персональных данных определяются «Политикой о порядке хранения информации персонального характера на бумажных носителях».

6.4. Ввод персональных данных в автоматизированную систему Организации осуществляется работником, имеющим доступ к работе с персональными данными, и в соответствии с его должностными обязанностями. На бумажном носителе информации, содержащей персональные данные (анкеты, личные листки и др.) работник, осуществляющий ввод данных, оставляет отметку о дате ввода информации и о лице, осуществившем ее ввод.

6.5. Работники, осуществляющие ввод и обработку данных с использованием автоматизированной информационной системы, несут ответственность за достоверность и полноту введенной информации.

6.6. При работе с программными средствами автоматизированной информационной системы Организации, реализующими функции просмотра и редактирования персональных данных, запрещается демонстрация экранных форм, содержащих такие данные, лицам, не имеющим соответствующих должностных обязанностей.

6.7. Хранение персональных данных в автоматизированной информационной системе Организации осуществляется на серверах Организации с использованием специализированного программного обеспечения, отвечающего требованиям безопасности.

6.8. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по истечению установленных сроков хранения информации, по достижении целей обработки или в случае утраты необходимости в их достижении.

6.9. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

6.10. Хранение резервных и технологических копий баз данных автоматизированной информационной системы, содержащих информацию персонального характера, осуществляется на серверах организации и сменных носителях, доступ к которым ограничен.

7. Особенности предоставления доступа к персональным данным

7.1. Доступ работников к персональным данным, содержащимся как в автоматизированной информационной системы организации, так и на бумажных носителях осуществляется с письменного согласия руководителя организации или уполномоченного им лица (допуск).

7.2. Работник, получивший допуск к персональным данным, должен быть ознакомлен с порядком работы с персональными данными.

7.3. При получении доступа к персональным данным работники подписывают Обязательство о неразглашении персональных данных и Соглашение о конфиденциальности.

7.4. Доступ к автоматизированной информационной системе Организации разграничен политикой безопасности системы, реализуемой с использованием технических и организационных мероприятий.

7.5. Каждый пользователь имеет индивидуальную учетную запись, которая определяет его права и полномочия в автоматизированной информационной системе. Информация об учетной записи не может быть передана другим лицам. Пользователь несет персональную ответственность за конфиденциальность сведений собственной учетной записи.

7.6. Право доступа к персональным данным субъектов персональных данных в части их касающейся имеют:

• Генеральный директор Организации;
• Заместитель директора;
• Помощник директора;
• Специальное должностное лицо, ответственное за реализацию Правил внутреннего контроля;
• Работники, находящиеся на должностях, в должностные обязанности которых входит обработка и сбор персональных данных.

8. Порядок передачи информации, содержащей персональные данные

8.1. В соответствии с законодательством Российской Федерации персональные данные Организацией могут быть переданы правоохранительным, судебным органам и другим учреждениям в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства, а также в иных случаях, установленных федеральным законом.

8.2. Запрещается сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия. Обработка персональных данных субъектов персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.

8.3. Передача информации третьей стороне возможна при письменном согласии заемщиков или в иных случаях, предусмотренных локальными актами оператора или согласие на обработку персональных данных заемщика.

9. Сведения о реализуемых в Организации требованиях к защите персональных данных.

9.1. В целях недопущения вреда при обработке персональных данных в Организации реализуются следующие требования к защите персональных данных:

Правовые меры состоят из:

• Инструктажа всех работников Организации по требованиям действующего законодательства в области персональных данных;
• Изучения и применения правовых механизмов, направленных на минимизацию вреда и ущерба субъектам персональных данных;
• Разработки, принятия и соблюдения локальных актов по вопросам персональных данных.

Организационные меры состоят из:

• Систематических разъяснительных мероприятий с работниками Организации по вопросам недопущения причинения вреда субъектам персональных данных;
• Подбор квалифицированных кадров;
• Возложения обязанности по разъяснения настоящего политики на Ответственного за обработку персональных данных Организации.

Технические меры включают в себя:

• Недопущение утечки конфиденциальной информации, в том числе информации, составляющей коммерческую и служебную тайны, путем выделения специальных помещений для обработки и хранения персональных данных;
• Обеспечение информационной безопасности оператора, бесперебойного функционирования технических средств обработки персональных данных. Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах;
• Обеспечение физической защиты объектов, находящихся на балансе Организации;
• Обеспечение физической защиты работников Организации при исполнении ими служебных обязанностей, комфортного морально-психологического климата и обстановки делового сотрудничества среди работников Организации;
• Незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
• Постоянный контроль за обеспечением уровня защищенности персональных данных в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

10.1. Лица, виновные в нарушении настоящей Политики, несут ответственность в соответствии с действующим законодательством РФ.