УТВЕРЖДЕНО
Приказ № б/н от 02 декабря 2013 г.
Кредитный потребительский кооператив
«Кредитный союз»
Директор
______________ Н.М. Мазурин
Политика в отношении обработки персональных данных в КПК «Кредитный союз»".
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика в отношении обработки персональных данных (далее - Политика) определяет порядок сбора, хранения, передачи и любого другого использования персональных данных работников, пайщиков, поручителей и залогодателей в КПК "Кредитный союз" (далее - КПК) в соответствии с законодательством Российской Федерации. Целью данной Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Положение разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (Постановление Правительства от 17 ноября 2007 г. № 781), иными нормативными актами.
1.3. Для целей настоящей Политики используются следующие основные понятия:
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), удаление, уничтожение персональных данных.
Учет персональных данных - все процедуры по записи, систематизации и накоплению информации персонального характера.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.4. Настоящая Политика утверждается и вводится в действие приказом Директора и является обязательной для исполнения всеми работниками, имеющими доступ к персональным данным сотрудников, пайщиков, поручителей и залогодателей.
2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КПК
2.1. Персональные данные относятся к конфиденциальной информации, порядок работы с ними регламентирован Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и осуществляется с соблюдением строго определенных правил и условий.
2.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.
2.2.1. Персональные данные работников КПК обрабатываются в целях обеспечения исполнения трудового законодательства при оформлении трудовых отношений работников с КПК.
2.2.2. Персональные данные пайщиков обрабатываются в целях вступления в члены КПК и (или) для заключения договоров займов и личных сбережений.
2.2.3. Персональные данные поручителей и залогодателей обрабатываются в целях обеспечения заключаемых договоров займов.
2.3. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.4. Обработка персональных данных осуществляется с письменного согласия субъекта на обработку его персональных данных.
2.5. Обработка персональных данных возможна без согласия субъекта персональных данных, если персональные данные являются общедоступными.
2.6. Согласие работника не требуется в следующих случаях:
- обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия работодателя;
- обработка персональных данных осуществляется в целях исполнения трудового договора.
2.7. В случае отзыва субъектом персональных данных согласия на обработку персональных данных КПК вправе продолжить обработку персональных данных без согласия субъекта персональных данных для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей, для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица или для исполнения договора, стороной которого либо выгодоприобретателем, поручителем или залогодателем по которому является субъект персональных данных.
2.8. КПК обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2.9. Обработка персональных данных осуществляется путем документирования на материальных (бумажных) носителях и в электронном виде во внутренней компьютерной сети с помощью компьютерных программ 1С: Предприятие-Бухгалтерия Версия 8.2 , 1С Предприятие-Зарплата и управление версия 8.2.
3. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Понятие и состав персональных данных работников КПК
3.1.1. Персональные данные работников - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.
3.1.2. К персональным данным работников относятся:
- сведения, содержащиеся в паспорте;
- фото;
- информация, содержащаяся в трудовой книжке;
-информация, содержащаяся в страховом свидетельстве государственного пенсионного страхования;
- сведения, содержащиеся в документах воинского учета;
- сведения об образовании, квалификации или наличии специальных знаний или подготовки;
- информация о состоянии здоровья в случаях, предусмотренных законодательством;
- сведения, содержащиеся в свидетельстве о постановке на учет физического лица в налоговом органе на территории Российской Федерации;
- сведения о семейном положении;
- информация о заработной плате;
- другая персональная информация (рабочий и личный номер телефона и адрес электронной почты).
3.2. Понятие и состав персональных данных пайщиков, поручителей и залогодателей
3.2.1. Персональные данные пайщиков - информация, касающаяся конкретного физического лица (субъекта персональных данных), необходимая для вступления в члены КПК, для заключения договора займа и (или) договора передачи личных сбережений.
3.2.2. Персональные данные поручителей и залогодателей - информация, касающаяся конкретного физического лица (субъекта персональных данных), необходимая для обеспечения заключаемого договора займа с пайщиками КПК.
3.2.3. К персональным данным пайщиков, поручителей и залогодателей относятся:
- сведения, содержащиеся в паспорте;
- сведения, содержащиеся в свидетельстве о постановке на учет физического лица в налоговом органе на территории Российской Федерации;
- сведения о месте работы;
- информация о заработной плате и прочих видах доходов;
- информация об имущественном обеспечении займа (документ, удостоверяющий право собственности на объект залога);
- сведения о наличии движимого и (или) недвижимого имущества;
-сведения, содержащиеся в свидетельстве о регистрации индивидуального предпринимателя;
- сведения, содержащиеся в свидетельстве о постановке на учет в налоговом органе на территории Российской Федерации;
- сведения, содержащиеся в свидетельстве о постановке на учет в Пенсионном Фонде Российской Федерации (страховое свидетельство);
- налоговая декларация за последний отчетный период с квитанцией об уплате налогов.
-другая персональная информация, предоставленная лично (контактный телефон, сведения о семейном положении, свидетельство о рождении ребенка, и пр.).
4. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ В КПК
4.1. Сбор персональных данных
4.1.1. Персональные данные работника, пайщика, поручителя и залогодателя предоставляются субъектом персональных данных лично.
4.1.2. В случае, когда персональные данные возможно получить только у третьей стороны, субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
4.1.3. Субъект персональных данных обязан предоставлять КПК достоверную персональную информацию. При изменении персональных данных должен письменно уведомить об этом КПК в срок, не превышающий 3 дней.
4.1.4. КПК имеет право запрашивать у субъекта персональных данных дополнительные сведения и документы, подтверждающие их достоверность.
4.1.5. КПК не имеет права получать и обрабатывать персональные данные о политических, религиозных и иных убеждениях и частной жизни субъекта персональных данных.
4.2. Учет персональных данных
4.2.1. Учет персональных данных работников
К документам КПК, учитывающим информацию персонального характера о работниках, относятся:
- комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
- копии документов, удостоверяющих личность и документы, содержащие информацию персонального характера, включаемые в личные дела сотрудников;
- учетные документы по личному составу ("Личная карточка работника",ф.Т-2)
-вспомогательные регистрационно-учетные формы, содержащие сведения персонального характера (книга учета трудовых книжек, журналы учета командировок, отпусков, военнообязанных и пр.);
- трудовые договоры с работниками, изменения к трудовым договорам, договоры о материальной ответственности с работниками;
- распорядительные документы по личному составу (подлинники и копии);
- документы по оценке деловых и профессиональных качеств работников при приеме на работу;
- документы, отражающие деятельность аттестационной комиссии;
- документы о результатах служебных расследований;
- копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;
- документы бухгалтерского учета, содержащие информацию о расчетах с персоналом
- медицинские документы, справки;
- другие документы, содержащие сведения персонального характера.
4.2.2. Учет персональных данных пайщиков
К документам КПК, содержащим информацию персонального характера о пайщиках, поручителях и залогодателях относятся:
- регистрационно-учетные формы, содержащие сведения персонального характера (реестр пайщиков, журнал учета договоров, программа 1С: Предприятие-Бухгалтерия Версия 8.2 , 1С Предприятие-Зарплата и управление версия 8.2.
-копии документов, удостоверяющих личность;
-документы, содержащие информацию персонального характера, включаемые в досье пайщика (анкеты, заявления, переписка);
- договоры займа (личных сбережений, поручительства и залога);
-отчетные, аналитические и справочные материалы о пайщиках, поручителях и залогодателях, передаваемые руководству КПК руководителями дополнительных офисов.
4.3. Хранение персональных данных
4.3.1. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
4.3.2. Конкретные обязанности по хранению сведений о субъектах персональных данных, заполнению, хранению и выдаче документов, ведению информационной базы персональных данных отражающих персональные данные, возлагаются на работников КПК и закрепляются в должностных инструкциях.
4.3.3. Допуск к персональным данным разрешен должностным лицам, которым персональные данные необходимы для выполнения конкретных трудовых функций. Внешний допуск к персональным данным работников имеют члены органов управления КПК: Директор, Правления кооператива, Ревизионной комиссии и Комитета по займам, внешний аудитор.
4.3.4. Обработка и хранение сведений персонального характера на материальных носителях осуществляется на основании Положения о порядке хранения информации персонального характера на бумажных носителях в КПК "Кредитный союз"
4.3.5. Обработка и хранение сведений персонального характера в информационной системе КПК осуществляется с использованием программного обеспечения на основании Политики и Положения о персональных данных.
4.3.6. Доступ к программному обеспечению, а также к персональной информации, хранящейся в информационной системе КПК, строго регламентирован и осуществляется при введении пароля пользователя.
4.3.7. Хранение персональных данных осуществляться не дольше, чем этого требуют цели обработки персональных данных, если срок хранения не установлен федеральным законом.
4.4. Передача персональных данных
4.4.1. КПК обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
4.4.2. Передача персональных данных работников, пайщиков и поручителей в пределах КПК осуществляется в соответствии с должностными инструкциями и руководящими распоряжениями Директора КПК.
4.4.3. Работники КПК, в обязанности которых входит работа с персональными данными работников, пайщиков, поручителей и залогодателей, обеспечивают защиту персональных данных от несанкционированного доступа и копирования.
4.4.4. Передача персональных данных субъектов разрешена только специально уполномоченным лицам и организациям, при этом указанные лица и организации должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
4.4.5. КПК имеет право передавать персональные данные субъекта его законным, полномочным представителям в порядке, установленном законодательством, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
4.4.6. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.
4.5. Уничтожение персональных данных
4.5.1. Документы, содержащие персональные данные, подлежат уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
4.5.2. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении таких целей.
4.5.3. Уничтожение или обезличивание части персональных данных производится способом, исключающим дальнейшую обработку этих персональных данных.
5. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ СВОИХ ПЕРСОНАЛЬНЫХ ДАННЫХ
Субъект персональных данных (работник, пайщик, поручитель, залогодатель) имеет право:
5.1. Получать бесплатный доступ к своим персональным данным и ознакомление с ними.
5.2. Требовать уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для КПК персональных данных.
5.3. Получать от КПК:
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- цели и сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
5.4. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия КПК при обработке и защите его персональных данных.
5.5. Требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
5.6. Требовать извещения силами КПК всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях.
5.7. Отзывать согласие на обработку персональных данных.
6. ОБЯЗАННОСТИ И ОТВЕТСТВЕННОСТЬ КПК ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. КПК обязан:
- предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
- назначить ответственного за организацию обработки персональных данных;
-применять правовые, организационные и технические меры по обеспечению безопасности персональных данных;
- разработать документы (Положения, инструкции, приказы, распоряжения, должностные инструкции), определяющие политику КПК в отношении обработки и защиты персональных данных;
- осуществлять внутренний контроль соответствия обработки персональных данных требованиям к их защите;
- ознакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику КПК в отношении обработки персональных данных, организовать обучение работников;
- опубликовать данное Положение на сайте КПК "Кредитный союз": http://www. CREDIT-SOYUZ.RU
6.2. Работники, в соответствии со своими полномочиями владеющие информацией о субъектах персональных данных, получающие и использующие ее, несут персональную ответственность за нарушение режима защиты, обработки и порядка использования этой информации.
6.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта персональных данных, несут ответственность в соответствии с законодательством РФ:
- дисциплинарную;
- материальную;
- гражданско-правовую;
- административную;
- уголовную.
7. КОНТРОЛЬ ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Контроль и надзор за обработкой персональных данных в КПК осуществляет ответственный за обработку персональных данных, назначаемый приказом Директора.
7.2. Лицо, ответственное за обработку персональных данных, получает указания непосредственно от Директора и подотчетно ему.
7.3. Лицо, ответственное за обработку персональных данных, обязано:
1) осуществлять внутренний контроль за соблюдением КПК и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников КПК положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
8.1. Положение обязательно для всех работников КПК.
8.2. Работники должны быть ознакомлены под роспись с документами организации, устанавливающими порядок обработки персональных данных.