Политика ООО «МКК «Сибиряк» в отношении обработки и защиты персональных данных
Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 года, действует в отношении всех персональных данных, которые Общество с ограниченной ответственностью «Микрокредитная компания «Сибиряк» (далее – МКК, Оператор) может получить от субъектов персональных данных – работников МКК в связи с реализацией трудовых отношений, клиентов и контрагентов МКК в связи с осуществлением МКК уставной деятельности.
Важнейшим условием реализации целей МКК, является обеспечение необходимого и достаточного уровня информационной безопасности, к которым в том числе относятся персональные данные и технологические процессы, в рамках которых они обрабатываются.
Обеспечение безопасности персональных данных является одной из приоритетных задач МКК.
Обработка и обеспечение безопасности информации, отнесенной к персональным данным, в МКК осуществляется в соответствии с комплексом локальных документов МКК в отношении персональных данных, что позволяет обеспечить защиту персональных данных, обрабатываемых как в информационных системах персональных данных, т.е. в системах, целью создания которых является обработка персональных данных и к защите которых требования и рекомендации по обеспечению безопасности персональных данных предъявляют Федеральная служба безопасности Российской Федерации (ФСБ России), Федеральная служба по техническому и экспортному контролю (ФСТЭК России), так и в иных информационных системах, в которых персональные данные обрабатываются совместно с информацией, защищаемой в соответствии с требованиями, установленными для этой информации.
Настоящая Политика определяет принципы, порядок и условия обработки персональных данных работников, клиентов и контрагентов МКК, чьи персональные данные обрабатываются МКК, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность работников МКК, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
Политика определяет стратегию защиты персональных данных, обрабатываемых в МКК и формулирует основные принципы и механизмы защиты персональных данных.
Политика является основным руководящим документом МКК, определяющим требования, предъявляемые к обеспечению безопасности персональных данных.
Безопасность персональных данных достигается путем исключения несанкционированного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, иные несанкционированные действия.
Безопасность персональных данных при их обработке обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в информационной системе информационные технологии.
Персональные данные являются конфиденциальной информацией и на них распространяются все требования, установленные внутренними документами МКК к защите конфиденциальной информации.
Принципы обработки персональных данных
Обработка персональных данных в МКК осуществляется на основе следующих принципов:
- законности и справедливости целей и способов обработки персональных данных;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям МКК;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
- уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
Состав персональных данных
В МКК происходит обработка, передача, накопление и хранение информации, содержащей персональные данные и в соответствии с действующим законодательством Российской Федерации подлежит защите.
В МКК определены следующие основания для обработки информации, содержащей персональные данные:
1) Нормативно правовые акты для исполнения и в соответствии с которыми Компания обрабатывает Персональные данные, как например:
· Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
· Трудовой кодекс Российской Федерации от 30 декабря 2001 г. №197-ФЗ;
· Налоговый кодекс Российской Федерации: Налоговый кодекс Российской Федерации: часть первая от 31 июля 1998 г. №146-ФЗ и часть вторая от 5 августа 2000 г. №117-ФЗ;
· Федеральный закон от 7 августа 2001 г. №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
· Федеральный закон от 1 апреля 1996 г. №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
· Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях» от 02.07.2010 г. №151-ФЗ;
· Гражданский кодекс Российской Федерации: часть первая от 30 ноября 1994 г. №51-ФЗ, часть вторая от 26 января 1996 г. №14-ФЗ, часть третья от 26 ноября 2001 г. №146-ФЗ и часть четвертая от 18 декабря 2006 г. №230-ФЗ.
2) Согласие субъекта персональных данных на обработку Персональных данных;
3) судебные акты, акты иных органов или должностных лиц, которые МКК должна исполнять;
4) договор, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, если обработка персональных данных необходима для заключения указанного договора или исполнения обязательств по договору;
5) обработка Персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с Законодательством РФ и иными применимыми нормативными правовыми актами РФ.
Цель обработки информации, содержащей персональные данные – осуществление МКК своей основной деятельности в соответствии с Уставом.
Сведениями, составляющими персональные данные, в МКК является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
В зависимости от субъекта персональных данных МКК обрабатывает персональные данные следующих категорий субъектов персональных данных:
- персональные данные работника МКК — информация, необходимая МКК в связи с трудовыми отношениями и касающаяся конкретного работника;
- персональные данные клиента (потенциального клиента, партнера, контрагента), а также персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося клиентом (потенциальным клиентом, партнером, контрагентом) МКК, — информация, необходимая МКК для выполнения своих обязательств в рамках договорных отношений с клиентом и для выполнения требований законодательства Российской Федерации;
- персональные данные заемщика (залогодателя, поручителя, принципала)/потенциального заемщика (залогодателя, поручителя, принципала), а также персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося заемщиком (залогодателем, поручителем, принципалом)/потенциальным заемщиком (залогодателем, поручителем, принципалом), —информация, необходимая МКК для выполнения своих договорных обязательств и осуществления прав в рамках соответствующего договора, заключенного с заемщиком (залогодателем, поручителем, принципалом), для минимизации рисков МКК, связанных с нарушением обязательств по кредитному договору (договору залога, договору поручительства, договору о предоставлении банковской гарантии), и для выполнения требований законодательства Российской Федерации.
МКК обрабатывает следующие персональные данные:
Лица, цели и перечень обрабатываемых персональных данных
Для разных категорий Владельцев персональных данных и для каждой цели обработки МКК обрабатывает разные Персональные данные на указанных далее условиях.
1. Обработка персональных данных соискателя
Соискатель — физическое лицо, претендующее на вакантные должности в МКК.
Цель обработки | Перечень персональных данных |
|---|---|
Поиск кандидатов на вакантную должность Оценка соответствия соискателей применимым требованиям, включая проверку знаний и способностей Принятие решения о трудоустройстве |
|
| Сбор, формирование и хранение персональных данных соискателя в базе данных потенциальных работников оператора для сообщения соискателю о вакантных должностях и возможного трудоустройства в будущем |
|
| Проверка благонадежности соискателей, включающая в себя управление связанными с соискателями юридическими, репутационными рисками, комплаенс, предотвращение и (или) урегулирование конфликта интересов, противодействие коррупции, проверка полноты достоверности предоставленных соискателями сведений |
|
| Информационное взаимодействие |
|
2. Обработка персональных данных работника
Работник — лицо, состоящее с МКК в трудовых отношениях на основании трудового договора
| Цель обработки | Перечень персональных данных |
|---|---|
| 1) Ведение кадрового учета и документооборота |
|
| 2) Ведение бухгалтерского и налогового учета |
|
| 3) Предоставление отчетности в государственные органы |
|
| 4) Ведение воинского учета |
|
| 5) Расчет и начисление заработной платы, компенсационных и иных выплат, соблюдение иных гарантий и предоставление льгот |
|
| 6) Предоставление отпуска и дополнительных дней отдыха |
|
| 7) Расчет и осуществление удержаний из заработной платы и иных доходов |
|
| 8) Содействие в оформлении банковской карты в рамках зарплатного проекта |
|
| 9) Оформление и выдача доверенностей |
|
3.Обработка персональных данных представителя контрагента.
Представитель контрагента - работник юридического лица/ИП; член органа управления контрагента; представитель по доверенности или на основании Устава
| Цель обработки | Перечень персональных данных |
|---|---|
| 1) Заключение и исполнение договоров |
|
| 2) Информационное взаимодействие |
|
| 3) Оформление и выдача доверенностей |
|
| 4) Прием, регистрация и сопровождение обращений, писем и запросов, подготовка ответов на них, осуществление обратной связи |
|
| 5) Отправка уведомлений, документов |
|
| 6) Бухгалтерский и налоговый учет операций по взаиморасчетам с контрагентами |
|
| 7) Осуществление мер по деловой осмотрительности, проверка контрагента, его представителя и бенефициарного собственника |
|
| 8) Проверка благонадежности субъектов, включающая управление юридическими, репутационными и комплаенс-рисками, проверка полноты и достоверности представленных сведений |
|
4. Обработка персональных данных клиента
| Цель обработки | Перечень персональных данных |
|---|---|
1) Идентификация клиента, заключение договора займа и иных договоров 2) Получение и передача Оператором информации в бюро кредитных историй |
|
| 3) Отправка уведомлений и документов |
|
4) Подтверждение электронной почты, номера телефона, использование сайта МКК 5) Получение рекламы от МКК |
|
| 6) Подтверждение банковской карты Клиента |
|
| 7) Сбор технических данных с устройства Клиента |
|
5. Обработка персональных данных представителя Субъекта персональных данных
| Цель обработки | Перечень персональных данных |
|---|---|
1) Прием, регистрация и сопровождение обращений, писем и запросов, подготовка ответов на них, осуществление обратной связи 2) Отправка уведомлений, документов |
|
6. Обработка персональных данных посетителя офиса МКК
| Цель обработки | Перечень персональных данных |
|---|---|
| 1) Обеспечение безопасности и пропускного режима для входа в офис Компании |
|
7. Обработка персональных данных посетителя Сайта
| Цель обработки | Перечень персональных данных |
|---|---|
| 1) Функционирование и улучшение работы Сайта, мобильных приложений, продуктов (сервисов, услуг) Компании |
|
В любой момент посетитель сайта может изменить параметры своего устройства и (или) браузера таким образом, чтобы пользовательские данные посетителя сайта (пункты л – р) не сохранялись, а также чтобы посетителя сайта его устройство или браузер оповещали об их отправке. Но в таком случае некоторые сервисы и функции сайта МКК могут перестать работать или работать некорректно. МКК использует данные файлы для улучшения качества содержания и возможностей сайта.
Цели сбора и обработки персональных данных
МКК осуществляет обработку персональных данных в следующих целях:
- осуществления деятельности, предусмотренной Уставом МКК, действующим законодательством РФ, в частности ФЗ: «О микрофинансовой деятельности и микрофинансовых организациях», «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «О валютном регулировании и валютном контроле», «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных»;
- заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и Уставом МКК;
- организации кадрового учета МКК, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также Уставом и локальными актами МКК.
С согласия субъекта персональных данных МКК может использовать персональные данные клиентов и контрагентов в следующих целях:
- для связи с клиентами и контрагентами в случае необходимости, в том числе для направления уведомлений, информации и запросов, связанных с оказанием услуг, а также обработки заявлений, запросов и заявок клиентов и контрагентов;
- для улучшение качества услуг, оказываемых Обществом;
- для продвижения услуг на рынке путем осуществления прямых контактов с клиентами и контрагентами;
- для проведения статистических и иных исследований на основе обезличенных персональных данных.
ООО «МКК «Сибиряк» использует cookie-файлы для улучшения качества содержания и возможностей сайта; обеспечения функционирования и безопасности сайта; улучшения качества сайта; регистрации в системе самообслуживания (личном кабинете); предоставлении пользователям информации об ООО «МКК «Сибиряк», его продуктах и услугах; усовершенствования продуктов и (или) услуг и для разработки новых продуктов и (или) услуг. Иная собираемая информация может быть использована для генерации «списка интересов» пользователей, состоящего из случайного идентификатора, категории интереса и отметки времени для демонстрации им интернет-контента и рекламных объявлений, соответствующих их интересам.
Cайт «ООО «МКК «Сибиряк» использует сервис веб-аналитики Яндекс Метрика, предоставляемый компанией ООО «ЯНДЕКС», 119021, Россия, Москва, ул. Л. Толстого, 16 (далее — Яндекс).
Сервис Яндекс Метрика использует технологию «cookie» — небольшие текстовые файлы, размещаемые на компьютере пользователей с целью анализа их пользовательской активности.
Аналитике подлежат обрабатываемые данные, среди которых содержатся куки (cookies) - файлы; айпи (IP) - адрес; сведения об устройстве, используемом субъектом, при посещении сайта МКК; сведения о программном обеспечении устройства субъекта и его настройках, в частности, о браузере и системных данных устройства; сведения о сессии субъекта на сайте как посетителя сайта (в том числе, о дате, времени сессии, количестве просмотров веб-страниц, ресурсов сайта); числовые значения, формируемые Обществом на основе анализа упомянутых выше данных.
Собранная при помощи cookie информация не может идентифицировать вас, однако может помочь нам улучшить работу нашего сайта. Информация об использовании вами данного сайта, собранная при помощи cookie, будет передаваться Яндексу и храниться на сервере Яндекса в ЕС и Российской Федерации. Яндекс будет обрабатывать эту информацию для оценки использования вами сайта, составления для нас отчетов о деятельности нашего сайта, и предоставления других услуг. Яндекс обрабатывает эту информацию в порядке, установленном в условиях использования сервиса Яндекс Метрика.
Передача персональных данных
Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные работников, клиентов и контрагентов третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.
По мотивированному запросу исключительно для выполнения возложенных законодательством функций и полномочий персональные данные субъекта персональных данных без его согласия могут быть переданы: в судебные органы в связи с осуществлением правосудия; в органы государственной безопасности; в органы прокуратуры; в органы полиции; в следственные органы; в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.
Работники МКК, ведущие обработку персональных данных, не отвечают на вопросы, связанные с передачей персональных данных по телефону или факсу.
Способы получения согласия на обработку персональных данных
МКК получает согласие на обработку персональных данных (далее — Согласие) одним из следующих способов: 1) в письменном виде — подписывается собственноручно; 2) в электронном виде:
проставлением чек-бокса в интерфейсе Компании (например, поставить ”галочку” в поле, подтверждающем согласие, либо нажать кнопку ”Согласен на обработку персональных данных” и прочее схожее);
подписанием Согласия электронной подписью (например, вводом полученного смс-кода в поле интерфейса Сайта);
иными способами, которые позволяют установить получение такого согласия.
Действия с персональными данными. Особенности обработки персональных данных без использования средств автоматизации
Для достижения целей обработки Персональных данных МКК может собирать, записывать, систематизировать, накапливать, хранить, уточнять (обновлять, изменять), извлекать, использовать, передавать (предоставлять, обеспечивать доступ), блокировать, удалять, уничтожать, обезличивать, распространять персональные данные.
Персональные данные обрабатываются как без использования средств автоматизации, так и с использованием средств автоматизации.
Обработка персональных данных без использования средств автоматизации осуществляется с согласия субъектов персональных данных. В целях обеспечения сохранности и конфиденциальности информации, содержащей персональные данные, все операции по оформлению, формированию, ведению и хранению данной информации выполняются специалистами, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.
Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных.
Места хранения материальных носителей персональных данных определены и перечислены в Перечне мест хранения материальных носителей персональных данных. Лица, осуществляющие обработку персональных данных, определены в Приказе об утверждении должностей, имеющих доступ к персональным данным работников в МКК, Приказе об утверждении списка должностей, имеющих доступ к информационным системам персональных данных в МКК.
При обработке персональных данных без использования средств автоматизации персональные данные обособляются от иной информации путем фиксации на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков). При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.
Материальные носители с персональными данными должны храниться в запирающихся на ключ помещениях, металлических шкафах, сейфах, иных шкафах. Должностным лицам, работающим с персональными данными, запрещается разглашать информацию, содержащую персональные данные, устно или письменно кому бы то ни было, если это не вызвано служебной необходимостью.
Передача персональных данных допускается только в случаях, установленных законодательством Российской Федерации и действующими инструкциями по работе со служебными документами и обращениями граждан, а также по письменному поручению вышестоящих должностных лиц. Ответы на запросы граждан и организаций даются в том объеме, который позволяет не разглашать в ответах конфиденциальные данные, за исключением данных, содержащихся в материалах запроса или опубликованных в общедоступных источниках.
В МКК обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, исключающие одновременное копирование иных персональных данных, не подлежащих распространению и использованию:
а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
Хранение материальных носителей, содержащих персональные данные, осуществляется следующим образом:
а) личные дела сотрудников Компании, картотеки, учетные журналы и книги учета хранятся в запирающихся шкафах;
б) трудовые книжки хранятся в несгораемом сейфе;
в) ключи от рабочих шкафов сотрудников отдела кадрового администрирования и учета хранятся у самих сотрудников и ответственного лица, назначенного руководителем отдела;
г) материальные носители, содержащие персональные данные контрагентов Компании, хранятся отдельно.
При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
При использовании типовых форм документов, характер информации которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых МКК способов обработки персональных данных;
б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения письменного согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель.
Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку указанных персональных данных, но с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.
Лица, осуществляющие обработку и (или) хранение персональных данных, несут ответственность за обеспечение их информационной безопасности. Лица, виновные в нарушении норм, регулирующих обработку и хранение персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Передача и Распространение персональных данных
МКК вправе выполнять передачу и распространение персональных данных на следующих условиях:
1) Без согласия субъекта персональных данных для соблюдения МКК законодательства (например, запрос от органов внутренних дел, либо МКК обязана раскрыть Персональные данные неопределенному кругу согласно требованиям законодательства);
2) Без согласия субъекта персональных данных, если это разрешено МКК законодательством (например, Передача персональных данных должников коллекторским агентствам при просрочке возврата займа);
З) С согласия субъекта персональных данных для достижения целей, указанных в согласии.
В остальных случаях Компания не выполняет Передачу и Распространение персональных данных.
Отказ от предоставления персональных данных
Если в соответствии с законодательством МКК требуются Персональные данные и (или) МКК должна получить Согласие, а Владелец персональных данных отказывается предоставить Персональные данные, либо Согласие, то это может повлечь последствия, которые МКК разъясняет Владельцу персональных данных в каждом конкретном случае.
В случаях, предусмотренных пунктами 2 — 11 части 1 статьи 6 Федерального закона от 27.07.2006 согласие субъекта персональных данных на обработку персональных данных не требуется. В предусмотренных законом случаях МКК осуществляет обработку персональных данных в отсутствие согласия субъекта персональных данных на такую обработку.
Обработка пользовательских данных и coocie -файлов:
При посещении кем-либо сайта https://drivezaim.ru или https://драйвзайм.рф (далее Сайт) МКК обрабатывает следующие Персональные данные (Пользовательские данные) такого посетителя:
1)информацию о действиях на Сайте;
2) данные о местоположении устройства;
3)IР-адрес устройства;
4)coocie-файлы;
5)данные сервисов Яндекс.Метрика.
Пользовательские данные помогают Сайту и мобильным приложениям МКК корректно работать, а МКК анализировать поведение посетителей Сайта и пользователей мобильных приложений, чтобы улучшать работу и услуги МКК.
В настройках своего устройства Владелец персональных данных может: 1) отключить передачу Пользовательских данных; 2) настроить оповещения об их отправке.
При отключении передачи Пользовательских данных Сайт или приложения Компании могут перестать работать или работать некорректно.
Сроки обработки и хранения персональных данных
Обработка персональных данных начинается с момента поступления персональных данных в информационную систему персональных данных и прекращается:
- в случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления, МКК устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений МКК в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, уничтожает персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных МКК уведомляет субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, МКК уведомляет также указанный орган;
- в случае достижения цели обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, МКК незамедлительно прекращает обработку персональных данных и уничтожает соответствующие персональные данные;
- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных МКК прекращает обработку персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий 30 дней. Об уничтожении персональных данных МКК уведомляет субъекта персональных данных.
- в случае прекращения деятельности МКК.
Сроки обработки Персональных данных определяются:
- договором с Субъектом персональных данных или его Согласием;
- иными нормативными документами и требованиями законодательства.
Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
В случае получения согласия клиента (или контрагента) на обработку персональных данных в целях продвижения услуг МКК на рынке путем осуществления прямых контактов с помощью средств связи, данные клиента (или контрагента) хранятся бессрочно (до отзыва субъектом персональных данных согласия на обработку его персональных).
Порядок уничтожения персональных данных
Персональные данные подлежат уничтожению:
1)При достижении целей их обработки или в случае утраты необходимости в достижении цели обработки персональных данных, если иное не предусмотрено законодательством;
2)По истечении срока их хранения;
З) При изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
4)При выявлении факта неправомерной обработки персональных данных в случае, если обеспечить правомерность обработки персональных данных невозможно;
5)В случае обращения субъекта персональных данных к Оператору персональных данных с требованием о прекращении обработки персональных данных, если иное не предусмотрено законом о персональных данных;
6)При отзыве Субъектом персональных данных согласия, если иное не предусмотрено законом о персональных данных;
7)При предоставлении субъектом персональных данных (или его представителем) сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
8)В иных случаях, предусмотренных Федеральным законом о персональных данных.
Способы уничтожения персональных данных:
-на бумажном носителе путем измельчения;
-на электронном носителе путем физического уничтожения носителя или стирания информации на нем способами гарантированного уничтожения.
Факт уничтожения персональных данных должен оформляться актом об уничтожении персональных данных, а в случае автоматизированной обработки персональных данных дополнительно выгрузкой из журнала регистраций событий в информационной системе, которая должна содержать:
- фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
- наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;
- причину уничтожения персональных данных.
Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение З лет с момента уничтожения персональных данных.
Ответственным за уничтожение персональных данных является лицо, ответственное за организацию обработки и обеспечение безопасности персональных данных.
Права субъектов персональных данных
Субъект персональных данных вправе получить от МКК информацию, касающуюся обработки его Персональных данных, в том числе содержащую:
1)подтверждение факта обработки его Персональных данных;
2)правовые основания и цели обработки Персональных данных;
З) цели и применяемые МКК способы обработки Персональных данных;
4)информацию о МКК как об операторе персональных данных (наименование, место нахождения, сведения о лицах (кроме работников), которые имеют доступ к Персональным данным или которым они могут быть раскрыты на основании договора или закона);
5)обрабатываемые Персональные данные, источник их получения;
б) сроки обработки и хранения Персональных данных;
7)порядок реализации Субъектом персональных данных его прав, предусмотренных законодательством в области Персональных данных;
8)информацию об осуществленной или о предполагаемой трансграничной передаче Персональных данных;
9)информацию о лицах, которым Компания поручила или может поручить обработку его Персональных данных (наименование, ФИО и адрес);
10)информацию о способах исполнения Компанией обязанностей, установленных ст. 18.1 Федерального закона о персональных данных.
Кроме прочего, Субъект персональных данных в соответствии с Федеральным законом о персональных данных имеет право:
1)на доступ к Персональным данным;
2)уточнение Персональным данных;
З) блокирование и удаление Персональных данных;
4)обжалование действий или бездействия Компании;
5)отзыв согласия на обработку Персональных данных.
Для обжалования действий Компании как оператора Персональных данных Владелец персональных данных может обратиться в территориальный орган Роскомнадзора в своём регионе.
Для реализации вышеуказанных прав субъект персональных данных, может в порядке установленном ст.14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», обратиться в МКК с соответствующим запросом. Для выполнения таких запросов представителю МКК может потребоваться установить личность субъекта персональных данных и запросить дополнительную информацию.
Меры по обеспечению защиты персональных данных
МКК принимает все необходимые правовые, организационные и технические меры для обеспечения режима конфиденциальности и безопасности Персональных данных в соответствии с Федеральным законом о персональных данных.
МКК обеспечивает безопасность Персональных данных в зависимости от способа их хранения:
- персональные данные в бумажном виде хранятся в папках в специальном запирающемся шкафу;
- персональные данные в электронном виде хранятся в локальной компьютерной сети с системой разграничения доступа и парольной защитой.
Работники МКК имеют доступ только к тем Персональным данным, которые необходимы им для выполнения своих функций.
Для обеспечения конфиденциальности и безопасности Персональных данных, защиты Персональных данных от неправомерного или случайного доступа к ним, от иных неправомерных действий в отношении Персональных данных МКК принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие, если обработка Персональных данных была поручена другому лицу.
В частности, Компания принимает следующие меры:
-определение актуальных угроз безопасности Персональных данных, обрабатываемых в информационной системе персональных данных;
-применение соответствующих организационных и технических мер защиты для установленных уровней защищённости Персональных данных;
-для нейтрализации актуальных угроз безопасности Персональных данных применяются средства защиты информации, соответствующие уровням защищённости Персональных данных и прошедшие процедуру оценки соответствия;
-проведение оценки эффективности мер защиты и обеспечения безопасности Персональных данных;
-обеспечение регистрации и учёта всех действий, совершаемых с Персональными данными в информационной системе персональных данных;
-осуществление организации учёта технических средств, входящих в состав информационной системы персональных данных, а также машинных носителей;
-определение и актуализация перечня лиц, которым для выполнения трудовых обязанностей необходим доступ к Персональным данным, обработка которых производится в информационной системе персональных данных;
-обеспечение автоматической регистрации событий безопасности, связанных с изменением прав доступа к Персональным данным;
-реализация мер, направленных на предупреждение и обнаружение фактов несанкционированного доступа к Персональным данным, и принятие мер по предупреждению, обнаружению и ликвидации последствий компьютерных атак на информационную систему персональных данных и по реагированию на компьютерные инциденты в них;
-обеспечение восстановления Персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
-эксплуатация разрешённого к использованию программного обеспечения и его компонентов, а также обеспечение контроля за его установкой и обновлением;
-выявление инцидентов и реагирование на них, реализация мер по устранению инцидентов в случае их появления;
-проведение внешнего и внутреннего инструментального контроля защищённости системных компонентов информационной структуры на наличие уязвимостей;
-проведение оценки вреда, который может быть причинён Владельцам персональных данных.
Порядок рассмотрения обращений или запросов Субъектов персональных данных
Для реализации своих прав Субъект персональных данных может направить в МКК обращение или запрос (далее — Обращение) обычной или электронной почтой, или через личный кабинет на Сайте МКК.
После получения Обращения МКК для начала убеждается в его законности, а затем предоставляет Субъекту персональных данных (или его представителю) ответ на Обращение и (или) принимает иные меры в зависимости от содержания Обращения:
В случае выявления неправомерной обработки персональных данных МКК обеспечивает блокирование персональных данных.
В случае выявления неточных персональных данных МКК осуществляет блокирование персональных данных, если блокирование не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных МКК на основании сведений, представленных Субъектом персональных данных, уточняет персональные данные в течение семи рабочих дней со дня предоставления таких сведений и снимает блокирование персональных данных.
В случае выявления неправомерной обработки персональных данных, МКК в срок, не превышающий трех рабочих дней с даты выявления, прекращает неправомерную обработку персональных данных. Если обеспечить правомерность обработки персональных данных невозможно, МКК в течение десяти рабочих дней с даты выявления неправомерной обработки, уничтожает персональные данные. Субъект персональных данных уведомляется об устранении нарушения.
В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, МКК уведомляет уполномоченный орган по защите прав субъектов персональных данных:
в течение двадцати четырех часов — о произошедшем инциденте, о предполагаемых причинах инцидента, о предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий инцидента, сведения о лице, уполномоченном Компанией на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных по вопросам, связанным с выявленным инцидентом;
в течение семидесяти двух часов — о результатах внутреннего расследования выявленного инцидента, сведения о лицах, действия которых стали причиной инцидента (при наличии).
При ответе на Обращение МКК не может указывать в нём Персональные данные, принадлежащие другим субъектам персональных данных, кроме случаев, когда имеются законные основания для раскрытия таких персональных данных.
В случае достижения цели обработки персональных данных МКК прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки.
В случае отзыва субъектом персональных данных согласия на обработку его персональных данных, МКК прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий тридцати дней с даты поступления отзыва.
В случае обращения субъекта персональных данных в МКК с требованием о прекращении обработки персональных данных, МКК в течение десяти рабочих дней с даты получения требования прекращает обработку персональных данных.
В случае отсутствия возможности уничтожения персональных данных в течение установленных сроков, МКК блокирует персональные данные и обеспечивает их дальнейшее уничтожение.
МКК может отказать Субъекту персональных данных в удовлетворении требований, указанных в Обращении, если посчитает их необоснованными и неправомерными. Для этого МКК направит субъекту персональных данных (или его представителю) мотивированный отказ.
Гарантии конфиденциальности
Информация, относящаяся к персональным данным, ставшая известной в связи с реализацией трудовых отношений, в связи с оказанием услуг клиентам МКК и в связи с сотрудничеством с контрагентами МКК, является конфиденциальной информацией и охраняется законом.
Работники МКК и иные лица, получившие доступ к обрабатываемым персональным данным, предупреждаются о возможной дисциплинарной, административной, гражданско–правовой или уголовной ответственности в случае нарушения норм и требований действующего законодательства, регулирующего правила обработки и защиты персональных данных.
Работники МКК, по вине которых произошло нарушение конфиденциальности персональных данных, и работники, создавшие предпосылки к нарушению конфиденциальности персональных данных, несут ответственность, предусмотренную действующим законодательством Российской Федерации, внутренними документами МКК и условиями трудового договора.
Изменения настоящей Политики
Настоящая Политика является внутренним документом МКК.
Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных. В случае внесения в настоящую Политику изменений, к ним будет обеспечен неограниченный доступ всем заинтересованным субъектам персональных данных. Новые редакции Политики вступают в силу с даты их утверждения.
МКК вправе изменить Политику без согласия Субъекта персональных данных.
Действующая редакция настоящей Политики хранится в месте нахождения МКК по адресу: 630005, Новосибирская обл., г. Новосибирск, ул. Каменская, д. 55, офис 26, электронная версия Политики – на сайте Компании по адресу: