1.Введение.
1.1. Общие положения.
1.1.1. Политика обработки персональных данных Некоммерческой корпоративной организации Кредитный потребительский кооператив «ЭМФС», далее Кооператив, определяет базовые принципы, подходы и методы защиты персональных данных обрабатываемых в Кооперативе и может быть использована при формировании Положения и иных внутренних документов, регламентирующих защиту персональных данных.
1.1.2. Политика разработана в соответствии с п. 2, ч. 1, ст. 18.1 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», установившего обязанность «издания оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных…». Кооператив, как юридическое лицо, осуществляющее обработку персональных данных, должен разработать и издать такую Политику, равно как и иные «локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства» о защите персональных данных и устранение последствий таких нарушений.
Наряду с Политикой к таким документам относятся «Положение по обработке персональных данных», внутренние распорядительные документы принимаемые в целях классификации и выработки эффективных методов предотвращения угроз безопасности персональных данных и обязательные для исполнения всеми сотрудниками, привлеченными консультантами и пайщиками Кооператива.
1.1.3. Кооператив, как некоммерческая организация создан и действует ради достижения общественно-полезных целей. Поэтому безопасность обрабатываемых Кооперативом персональных данных является одной из приоритетных его задач, обеспечивающей защиту конституционных прав и свобод граждан, в т.ч., прав на неприкосновенность частной жизни, личную и семейную тайну. Такая задача требует обеспечения в Кооперативе надлежащего уровня информационной безопасности.
1.2. Нормативная база обеспечения безопасности персональных данных.
1.2.1. Политика следует комплексу нормативно-правовых, нормативных актов, нормативного акта Банка России, определяющих требования и рекомендации по обеспечению безопасности персональных данных. Расширенный перечень законодательства и нормативный акт Банка России, на которых основана Политика, приведен в разделе 2.2. «Положения по обработке персональных данных».
1.2.2. Наряду с определением принципов, подходов и методов защиты обрабатываемых Кооперативом персональных данных пайщиков, их контрагентов, сотрудников и привлеченных консультантов, политика определяет ответственность работников Кооператива, имеющих доступ к персональным данным, за несоблюдение установленных режимов обработки персональных данных.
1.2.3. Как установлено ст. 7 Закона № 152-ФЗ, п.1 Указа Президента РФ от 6.03.1997 г. № 188, обрабатываемые Кооперативом персональные данные конфиденциальны и на них распространяются установленные в кооперативе режимы защиты охраняемой служебной информации.
1.2.4. Политика определяет комплекс организационных мер и программно-технических средств, направленных на выявление и нейтрализацию актуальных угроз безопасности, под которыми в соответствии с п.2, Указания Банка России от 10.12.2015 N 3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных», п. 6 Постановления Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
2.Цели, задачи и принципы осуществления политики защиты персональных данных.
2.1. Цели политики
2.1.1. Политика разрабатывается, вводится и применяется в Кооперативе в целях:
- Защиты прав и свобод пайщиков, их контрагентов, сотрудников, привлеченных консультантов и третьих лиц, чьи персональные данные обрабатываются в информационной системе Кооператива.
- Осуществления прав и законных интересов Кооператива.
- Предупреждения возможного ущерба, вызванного несоблюдением политики, Положения иных принятых в Кооперативе правил и процедур обеспечивающих защиту обрабатываемых персональных данных.
2.2. Задачи политики
2.2.1. Политика осуществляется посредством решения следующих задач:
- Предотвращение неправомерного, случайного и иного несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения, копирования, блокирования, распространения персональных данных, их порчи, уничтожения или разрушения в процессе обработки.
- Предупреждение возможного ущерба, вызванного неправомерными умышленными или неосторожными действиями юридических и (или) физических лиц путем безвозмездного присвоения информации или ее разглашения, нарушением установленных норм, регулирующих обработку и защиту персональных данных.
2.3. Принципы осуществления политики
2.3.1. Политики осуществляется на основе следующих принципов:
- Законность: Защита персональных данных осуществляется на законной и справедливой основе и обусловлена требованиями законодательства, нормативно-правовых актов, нормативных актов Банка России и методических документов государственных органов в области обработки и защиты персональных данных.
- Обособленность: Персональные данные, обрабатываемые в соответствии с требованиями специального законодательства, обособляются от иных персональных данных. Доступ к специальным базам персональных данных ограничен в соответствии с законодательно установленными требованиями.
- Целенаправленность и обусловленность: Кооперативом обрабатываются только те персональные данные, которые отвечают целям их обработки и необходимы для соблюдения установленных законодательством требований и обеспечения деятельности кооператива. Содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Обрабатываемые персональные данные сотрудников, пайщиков Кооператива и связанных с ними лиц не являются избыточными по отношению к заявленным целям их обработки.
Обрабатываемые кооперативом персональные данные сотрудников, членов кооператива, поручителей, залогодателей и привлеченных контрагентов используются, в частности, для поддержания взаимодействия в период членства в кооперативе и осуществления договорных отношений, направления уведомлений, информации и запросов, а также обработки поступающих от членов кооператива заявлений на участие в финансовой взаимопомощи.
Персональные данные сотрудников, членов кооператива, поручителей, залогодателей и привлеченных контрагентов используются при разрешении спорных ситуаций, в том числе в судебном процессе ив целях исполнения вступивших в законную силу судебных решений.
Обезличенные персональные данные используются кооперативом для обобщения и анализа статистической информации в целях текущего управления и планирования деятельности кооператива.
- Достоверность: при обработке персональных данных обеспечивается их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Кооператив принимает необходимые меры и (или) обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
- Системность: Обработка персональных данных в Кооперативе осуществляется с учетом всех взаимосвязанных и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
- Срочность: Хранение персональных данных осуществляется форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен законодательством, принятыми в Кооперативе внутренними нормативными и иными внутренними документами, договором, стороной которого является субъект персональных данных.По достижении целей обработки, истечении сроков или утраты необходимости последующей обработки, персональные данные уничтожаются или обезличиваются.
- Комплексность: Защита персональных данных строится с использованием применяемых в кооперативе информационных технологий, внутренних нормативных и распорядительных актов, устанавливающих защищенные режимы обработки персональных данных, организационные и технические ограничения доступа
- Непрерывность обработки, контроля и оценки степени защищенности персональных данных: Защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах действий, связанных с получением, хранением и использованием персональных данных. Соблюдение политики и процедур защиты персональных данных контролируется, результаты контроля регулярно анализируются, вследствие чего выявляются возможные риски и направления совершенствования применяемых политики и процедур защиты персональных данных.
- Своевременность: Меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки в составе общего комплекса принятых кооперативом мер охраны конфиденциальной служебной информации и поддерживаются в течение всего периода их обработки Кооперативом.
- Преемственность и непрерывность совершенствования: Модернизация и расширение мер и средств защиты персональных данных осуществляется на основе постоянного мониторинга процессов их обработки, выявления и анализа угроз, разработки мер их предупреждения, внедрения новых способов защиты информации.
- Персональная ответственность: Ответственность за обеспечение безопасности персональных данных несут сотрудники и привлеченные индивидуальные предприниматели - консультанты, обеспечивающие деятельность кооператива в процессе исполнения ими обязанностей, связанных с обработкой и защитой персональных данных.
При поступлении на работу или заключении договора на предоставление кооперативу услуг, обеспечивающих его деятельность, все указанные лица дают подписку об ознакомлении с установленным в кооперативе режимом охраны конфиденциальной служебной информации и обязательство не разглашать и не использовать иным неправомерным способом такую информацию, ставшую им известной при осуществлении трудовых функций и договорных обязательств.
- Минимизация прав доступа: Доступ сотрудников к обрабатываемым Кооперативом персональным данным сотрудников, пайщиков и связанных с ними лиц разграничен в соответствии с пределами их должностной компетенции и кругом осуществляемых ими служебных обязанностей.
- Гибкость: Защита обрабатываемых Кооперативом персональных данных обеспечивается при изменении характеристик информационной системы, обеспечивающей автоматизированную обработку персональных данных, а также при расширении состава и структуры обрабатываемых персональных данных сотрудников, пайщиков и связанных с ними лиц.
- Специализация и профессионализм: Меры защиты персональных данных, разработка и эксплуатация систем защиты осуществляются работниками, располагающими необходимыми для этого квалификацией и опытом.
Сотрудники кооператива, участвующие в обработке персональных данных, регулярно знакомятся с положениями законодательства и нормативных актов Банка России, касающихся персональных данных, в т.ч. с настоящей Политикой и иными принятыми в кооперативе организационно-распорядительными документами, регламентирующими порядок обработки и защиты персональных данных. При поступлении на работу или заключении договора на предоставление кооперативу услуг, лица, чьи обязанности связаны с доступом к обрабатываемым кооперативом персональным данным, проходят первичный инструктаж, а в последующем, по мере возникновения необходимости, Кооператив проводит обучение сотрудников и привлеченных консультантов по вопросам обработки и защиты персональных данных.
- Наблюдаемость и прозрачность: Меры по обеспечению безопасности персональных данных планируются так, чтобы руководство Кооператива или уполномоченные им лица могли наблюдать за их исполнением, оценивать их результаты.
3.Состав, обрабатываемых Кооперативом персональных данных.
3.1 Персональные данные членов Кооператива.
3.1.1 Целью обработки персональных данных является вступление в члены Кооператива, соблюдение условий членства и участие в управлении Кооперативом.
3.1.2. Для идентификации, фиксирования и хранения идентификационных сведений о члене кооператива и связанных с ним лицах, кооператив обрабатывает персональные данные, предусмотренные ч.1, ст. 7 Закона № 115-ФЗ, и приложением № 1 к «Положению об идентификации некредитными финансовыми организациями клиентов, представителей клиента, выгодоприобретателей, бенефициарных владельцев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (утв. Банком России 12.12.2014 N 444-П), а именно:
- фамилию, имя и отчество (если иное не вытекает из закона или национального обычая);
- дату рождения, месяц рождения, год рождения, место рождения;
- гражданство;
- паспортные данные: номер, серия, дата выдачи, наименование органа, выдавшего документ, код подразделения).
- адрес регистрации, адрес местожительства;
- идентификационный номер налогоплательщика;
- страховой номер индивидуального лицевого счета в системе индивидуального (персонифицированного) учета;
- контактный номер телефона.
3.1.3. В соответствии с ч.1 ст. 12 Закона № 190-ФЗ, для учета в реестре в составе персональных данных членов кооператива обрабатываются:
- регистрационный номер записи в реестре членов кредитного кооператива;
- фамилию, имя и отчество (если иное не вытекает из закона или национального обычая);
- паспортные данные: номер, серия, дата выдачи, наименование органа, выдавшего документ, код подразделения);
- государственный регистрационный номер записи о государственной регистрации индивидуального предпринимателя (при наличии);
- идентификационный номер налогоплательщика;
- адрес местопребывания или местожительства;
- номер телефона;
- дата вступления в кооператив и дата прекращения членства в кооперативе;
- запись о соответствии члена кредитного кооператива принципу (принципам) объединения членов кредитного кооператива (пайщиков), определенному Уставом кооператива.
3.1.4 В соответствии с п. 5 ст. 15 Федерального закона от 18.07.2009 № 190-ФЗ «О кредитной кооперации» в состав органов кооператива могут входить исключительно физические лица, являющиеся членами кооператива или его сотрудниками. В соответствии с п. 4 ст. 15 Федерального закона от 18.07.2009 № 190-ФЗ «О кредитной кооперации» в органы управления не может избираться или назначаться лицо с непогашенной судимостью за преступления в сфере экономики. Поэтому в состав обрабатываемых персональных данных членов кооператива, входящих в состав органов правления кооператива, дополнительно включается справка о наличии/отсутствии судимости.
3.1.5 Также, Кооператив обрабатывает сведения о внесенных членом Кооператива суммах взносов, платежей, связанных с соблюдением условий членства в Кооперативе.
3.1.6 Порядок дачи и отзыва Согласия на обработку ПД. Согласие на обработку ПДн дается членом Кооператива при вступлении в члены Кооператива. Член Кооператива имеют право выразить несогласие на предоставление ПДн и оформить отказ. Отказ от предоставления ПДн оформляется на бланке Кооператива, с указанием причины отказа и подтверждением о предупреждении про последствия отказа от предоставления ПДн (Приложение № 1). Также он имеют право отозвать ранее выданное Согласие на обработку ПДн.
3.1.7 Последствия отказа в предоставлении ПД:
Невозможность провести обязательную идентификацию физического лица, оформить вступление в члены Кооператива, а также внести запись в реестр членов Кооператива.
3.1.8 Действия с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3.1.9 Срок хранения 7 лет после выхода из членов Кооператива (Основание – Перечень типовых управленческих документов, образующихся в деятельности организации, с указанием срока хранения, утв. Росархивом 20.12.2019, Письмо ЦБ РФ № ИН-03-46/58 от 30.07.2021).
3.1.10 Способы уничтожения: Бумажные носители информации персональных данных перед уничтожением сверены с записями в акте об уничтожении и полностью уничтожены путем измельчения техническими средствами, исключающими возможность дальнейшего использования, персональные данные в информационной системе сверены с записями в акте об уничтожении и полностью уничтожены путем удаления без возможности ее восстановления.
3.2. Персональные данные членов Кооператива и связанных с ними лиц (поручителей, залогодателей).
3.2.1 Целью обработки персональных данных является подготовка, заключение и исполнение гражданско-правового договора.
3.2.2. Для идентификации, фиксирования и хранения идентификационных сведений о члене кооператива и связанных с ним лицах, кооператив обрабатывает персональные данные, предусмотренные ч.1, ст. 7 Закона № 115-ФЗ, и приложением № 1 к «Положению об идентификации некредитными финансовыми организациями клиентов, представителей клиента, выгодоприобретателей, бенефициарных владельцев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (утв. Банком России 12.12.2014 N 444-П), а именно:
- фамилию, имя и отчество (если иное не вытекает из закона или национального обычая);
- дату рождения, месяц рождения, год рождения, место рождения;
- гражданство;
- паспортные данные: номер, серия, дата выдачи, наименование органа, выдавшего документ, код подразделения).
- адрес регистрации и адрес проживания;
- идентификационный номер налогоплательщика;
- страховой номер индивидуального лицевого счета в системе индивидуального (персонифицированного) учета;
- номера телефонов (домашний, сотовый);
- адрес электронной почты (при указании);
- адрес в социальных сетях (при указании).
3.2.3. Согласно п.3.1. ст. 5 Закона № 218-0ФЗ «О кредитных историях», Кооператив обязан предоставлять всю имеющуюся информацию, определенную ст. 4, в отношении заемщиков, поручителей, залогодателей хотя бы в одно бюро кредитных историй. В состав обрабатываемых персональных данных заемщика и лиц, поручившихся за исполнение им обязательств по предоставленному Кооперативом, займу, дополнительно включаются сведения из титульной и основной частей кредитной истории, предусмотренные ст. 4 Закона № 218-0ФЗ «О кредитных историях»:
- фамилию, имя и отчество (если последнее имеется);
- паспортные данные (номер, серия, дата выдачи, наименование органа, выдавшего документ, код подразделения);
- идентификационный номер налогоплательщика;
- страховой номер индивидуального лицевого счета в системе индивидуального (персонифицированного) учета;
- адрес регистрации и адрес проживания;
- номера телефонов (домашний, сотовый);
- адрес электронной почты (при предоставлении);
- сведения о государственной регистрации физического лица в качестве индивидуального предпринимателя (при наличии);
- реквизиты договоров (займа, залога, поручительства), заключенных с кооперативом, а также сведения, характеризующие исполнение договорных обязательств (сведения об обязательствах, суммы, даты предоставления и исполнения обязательств, данные о задолженности по обязательствам и т.п.);
- изменения и дополнения к заключенному договору займа/залога/поручительства;
- факты рассмотрения судом споров по заключенному договору займа/залога/поручительства;
- сведения об обеспечении договора займа.
3.2.4. Для осуществления Кредитной политики (политики предоставления денежных средств пайщикам), контроля дисциплины членства, проверки платежеспособности членов кооператива - заемщиков, поручителей, залогодателей, совершенствования продуктовых рядов, обеспечивающих финансовую взаимопомощь членов, Кооперативом также обрабатываются дополнительные сведения о заемщике, поручителе, залогодателе:
- о месте работы, стаже, занимаемой должности,
- доходах (заработная плата, пенсия, дивиденды, доход ИП и т.д);
- имущественное положение (в случае предоставления обеспечения по договору займа в виде залога);
- сведения о семейном положении (в случае предоставления в залог имущества, приобретенного в браке);
- информация о текущих кредитных обязательствах из бюро кредитных историй;
- информация о наличии/отсутствии исполнительного производства;
- реквизиты банковской карты, лицевого или расчетного счета в банке (при необходимости).
Для осуществления сберегательной политики (политики привлечения денежных средств членов кооператива), контроля дисциплины членства, совершенствования продуктовых рядов, обеспечивающих финансовую взаимопомощь членов, Кооперативом также обрабатываются сведения:
- сведения об истории участия члена кооператива в финансовой взаимопомощи, суммах, объемах, интенсивности такого участия в период членства;
- реквизиты договоров передачи личных сбережений, а также сведения, характеризующие исполнение договорных обязательств;
- сведения о начисленном и удержанном налоге на доходы физических лиц с доходов, полученных членом кооператива за использование его личных сбережений и выплате дохода;
- размер сформированного членом кооператива паенакопления;
- реквизиты банковской карты, реквизиты счета в банке (при необходимости).
3.2.5 Для соблюдения Федерального закона от 07.10.2022 № 377-ФЗ «Об особенностях исполнения обязательств по кредитным договорам (договорам займа) лицами, призванными на военную службу по мобилизации в ВС РФ, принимающими участие в специальной военной операции, а также членам их семей…» и Федерального закона от 03.04.2020 № 106-ФЗ «О внесении изменений в Федеральный закон «О центральном банке России» … в части особенности изменения условий кредитного договора, договора займа» для предоставления льготного периода, кооператив может дополнительно обрабатывать следующие персональные данные:
- отношение к воинской обязанности, сведения о воинском учете.
3.2.6 Порядок дачи и отзыва Согласия на обработку ПД. Согласие на обработку ПДн дается членом Кооператива перед подписанием договоров. Согласие на обработку ПДн дается поручителем, залогодателем, с которыми заключены договоры в обеспечение договора займа, до подписания вышеуказанных договоров. Они имеют право выразить несогласие на предоставление ПДн и оформить отказ. Отказ от предоставления ПДн оформляется на бланке Кооператива, с указанием причины отказа и подтверждением о предупреждении про последствия отказа от предоставления ПДн (Приложение № 1). Также они имеют право отозвать ранее выданное Согласие на обработку ПДн.
3.2.7 Последствия отказа в предоставлении ПД:
Невозможность выполнить требования законодательства РФ, провести обязательную идентификацию физического лица, оформить заключение и ведение договоров передачи личных сбережений, договоров займа, поручительства, залога.
3.2.8 Действия с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3.2.9 Срок хранения 7 лет после полного исполнения обязательств по договорам займа, поручительства, залога, договора передачи личных сбережений (Основание – Перечень типовых управленческих документов, образующихся в деятельности организации, с указанием срока хранения, утв. Росархивом 20.12.2019, Письмо ЦБ РФ № ИН-03-46/58 от 30.07.2021).
3.2.10 Способы уничтожения: Бумажные носители информации персональных данных перед уничтожением сверены с записями в акте об уничтожении и полностью уничтожены путем измельчения техническими средствами, исключающими возможность дальнейшего использования, персональные данные в информационной системе сверены с записями в акте об уничтожении и полностью уничтожены путем удаления без возможности ее восстановления.
3.3 Персональные данные сотрудников Кооператива.
3.3.1. Целью обработки персональных данных является обеспечение соблюдения трудового законодательства РФ.
3.3.2 Согласно Трудового кодекса РФ от 30.12.2001 N 197-ФЗ ст. 65 «Документы, предъявляемые при заключении трудового договора», Кооператив обрабатывает следующие персональные данные:
- Фамилия, имя, отчество;
- пол;
- гражданство;
- дата рождения, месяц рождения, год рождения;
- место рождения;
- данные паспорта: номер, серия, дата выдачи, наименование органа выдавшего документ, код подразделения;
- адрес регистрации;
- адрес места жительства;
- ИНН, СНИЛС;
- сведения об образовании, профессия;
- отношение к воинской обязанности и сведения о воинском учете (для военнообязанных и лиц, подлежащих призыву на военную службу);
- данные о трудовой деятельности из трудовой книжки (места работы, стаж, занимаемые должности);
- сведения о наличии (отсутствии) судимости за преступления в сфере экономки или преступления против государственной власти, в случае если сотрудник занимает должность единоличного исполнительного органа, члена правления, специального должностного лица, ответственного за реализацию в Кооперативе ПВК по ПОД/ФТ/ФРОМУ.
3.3.3 Для соблюдения трудового законодательства РФ, Кооператив, также, обрабатывает следующие персональные данные сотрудников:
- семейное положение;
- данные документа, содержащиеся в свидетельстве о рождении;
- сведения о доходах с прежнего места работы (заработной плате, пособиях, отпусках, командировках и иных полученных доходах);
- сведения о доходах сотрудника (заработной плате, отпусках, командировках, пособиях, иных полученных доходах) в Кооперативе;
- информация о начисленном и удержанном НДФЛ и иных обязательных выплатах и удержаниях;
- номера телефона (домашний, мобильный);
- данные водительского удостоверения (при необходимости);
3.3.4 Правовое основание обработки персональных данных сотрудников .
Ст. 65 Трудового кодекса РФ от 30.12.2001 № 197-ФЗ, Налоговый кодекс РФ, Федеральный закон "О бухгалтерском учете" от 06.12.2011 N 402-ФЗ, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», п. 2 ст. 7 Федерального закона от 07.08.2001 N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" , Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном страховании на случай временной нетрудоспособности и в связи с материнством».
3.3.5 Порядок дачи и отзыва Согласия на обработку ПД сотрудника.
Согласие на обработку ПДн дается сотрудником до подписания трудового договора. Сотрудник имеет право выразить несогласие на предоставление ПДн и оформить отказ. Отказ от предоставления ПДн оформляется на бланке Кооператива, с указанием причины отказа и подтверждением о предупреждении про последствия отказа от предоставления ПДн (Приложение № 2). Сотрудник имеет право отозвать ранее выданное Согласие на обработку ПДн.
3.3.6 Последствия отказа сотрудником от предоставления ПД.
При отказе предоставить ПД, Кооператив не сможет выполнить требования законодательства РФ, оформить трудовой договор с сотрудником согласно Трудового кодекса РФ, вести кадровый, бухгалтерский и налоговый учет.
3.3.7 Действия с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3.3.8 Срок хранения персональных данных субъектов, относящихся к трудовым правоотношениям, составляет 75 лет (5 лет с момента увольнения сотрудника - хранение, далее 70 лет архивное хранение.) (Основание – Перечень типовых управленческих документов, образующихся в деятельности организации, с указанием срока хранения, утв. Росархивом 20.12.2019)
3.4. Персональные данные привлеченных контрагентов – физических лиц, оказывающих Кооперативу услуги, выполняющих работы.
3.4.1. Целью обработки персональных данных является подготовка, заключение и исполнение гражданско-правового договора.
С этой целью Кооператив обрабатывает следующие персональные данные:
- Фамилия, имя, отчество;
- адрес регистрации;
- адрес места нахождения;
- паспортные данные (номер, серия, дата выдачи, наименование органа, выдавшего паспорт, код подразделения);
- ИНН;
- ОГРИП (для ИП),
- адрес электронной почты (при указании);
- номер телефона;
- реквизиты счета в кредитной организации, реквизиты банковской карты,
- сведения о доходах, полученных в Кооперативе.
3.4.2 Правовое основание: Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ГК РФ, Федеральный закон от 13.07.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», п. 14 Письма ФНС России от 10.03.2021 № БВ-4-7-3060@ «О практике применения статьи 54.1 Налогового кодекса Российской Федерации».
3.4.3 Порядок дачи и отзыва Согласия на обработку ПД:
Согласие на обработку ПДн дается контрагентом до подписания договора гражданско-правового характера. Контрагент имеет право выразить несогласие на предоставление ПДн и оформить отказ. Отказ от предоставления ПДн оформляется на бланке кооператива, с указанием причины отказа и подтверждением о предупреждении про последствия отказа от предоставления ПДн (Приложение № 3). Контрагент имеет право отозвать ранее выданное Согласие на обработку ПДн.
3.4.4 Последствия отказа в предоставлении ПД: Невозможность выполнить требования законодательства РФ, идентифицировать и проверить контрагента, а также оформить договор на оказание услуг, проведение работ и т.п.
3.4.5 Действия с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3.4.6 Срок хранения 5 лет с момента окончания действия договоров и исполнения обязательств. (Основание – Перечень типовых управленческих документов, образующихся в деятельности организации, с указанием срока хранения, утв. Росархивом 20.12.2019)
3.4.7 Способы уничтожения: Бумажные носители информации персональных данных перед уничтожением сверены с записями в акте об уничтожении и полностью уничтожены путем измельчения техническими средствами, исключающими возможность дальнейшего использования, персональные данные в информационной системе сверены с записями в акте об уничтожении и полностью уничтожены путем удаления без возможности ее восстановления.
3.5. Передача персональных данных
3.5.1. Кооператив не предоставляет и не раскрывает сведения, содержащие персональные данные работников, членов кооператива, поручителей и залогодателей, с которыми заключены договора в обеспечение договоров займа, привлеченных контрагентов третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.
3.5.2. Передача персональных данных пайщиков-заемщиков третьим лицам при переуступке им прав требования по предоставленному ему займу (займам) осуществляется в порядке и с учетом ограничений, установленных Законом № 353-ФЗ «О потребительском кредите (займе)» и законом О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях" от 03.07.2016 N 230-ФЗ.
3.5.3. Органы, наделенные правом получения информации, содержащей персональные данные, могут использовать такую информацию исключительно в целях, которые заявлялись при ее запросе. Они самостоятельно обеспечивают защищенный режим хранения и использования полученной информации и ответственность за ее неправомерное использование.
3.6. Сроки обработки персональных данных
3.6.1. Персональные данные сотрудников, пайщиков, контрагентов и иных физических лиц обрабатываются Кооперативом не дольше, чем этого требуют цели обработки персональных данных.
3.6.2. В случае, когда если срок хранения персональных данных установлен федеральным законом, договором, стороной которого, залогодателем или поручителем, по которому является субъект персональных данных, они хранятся в кооперативе в течение установленного срока, даже если цель обработки этих данных достигнута.
3.6.3. По достижении цели обработки персональных данных и (или) истечении установленного срока их хранения они уничтожаются или обезличиваются, если иное не предусмотрено федеральным законом.
3.6.4. Обработка персональных данных закономерно прекращается ликвидации кооператива.
3.7. Права субъекта персональных данных
3.7.1. Субъект персональных данных вправе:
- Требовать от Кооператива уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
- Потребовать от кооператива предоставить перечень обрабатываемых им своих персональных данных и указать источник их получения.
- Получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения,
- Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
3.7.2. Для реализации вышеуказанных прав субъект персональных данных, может в порядке, установленном ст.14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», обратиться в Кооператив с соответствующим запросом.
3.7.3. Если субъект персональных данных считает, что Кооператив осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие кооператива в установленном законодательством порядке.
Кооперативом предприняты необходимые организационные, технические и правовые меры по защите персональных данных. Принимаемые меры основаны на требованиях ст. 18.1, ст.19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», иных нормативных актов в сфере персональных данных, в том числе:
4.Меры защиты информации, содержащей персональные данные.
4.1. Организационные меры защиты информации
4.1.1. В качестве организационных мер, в т.ч. предприняты следующие:
-
- Назначено лицо, ответственное за организацию обработки и обеспечение безопасности персональных данных, которое также осуществляет контроль соблюдения настоящего Положения.
- Разработано и внедрено Положение по обработке персональных данных, где, в т.ч. определена ответственность должностных лиц, имеющих доступ к персональным данным, за невыполнение требований, регулирующих обработку и защиту персональных данных. В соответствии с п. 2, ст.18.1 Закона № 152-ФЗ указанные документы, совместно с настоящее политикой опубликованы на сайте кооператива в информационно-коммуникационной сети «Интернет».
- Лица, ведущие обработку персональных данных, проинструктированы и ознакомлены с нормативными правовыми актами, регламентирующими порядок работы и защиты персональных данных.
Приказом по кооперативу разграничены права, установлен порядок и пределы доступа сотрудников к обрабатываемым Кооперативом персональным данным в соответствии с их должностной компетенцией и кругом осуществляемых функций. В целях разграничения полномочий при обработке персональных данных, доступ к персональным данным распределен между работниками кооператива в соответствии с их функциональной специализацией.
-
- Обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
- В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям проводятся периодические проверки условий обработки персональных данных.
4.1.2. Допущенные к обработке персональных данных работники и привлеченные контрагенты знакомятся под расписку:
- С принятыми в кооперативе документами, устанавливающими порядок обработки персональных данных;
- С общими установленными в кооперативе мерами охраны конфиденциальной служебной информации, предупреждающими несанкционированный доступ, распространение или порчу такой информации.
- С мерами ответственности за нарушение установленного в кооперативе режима конфиденциальности охраняемой служебной информации.
4.1.3. Сотрудники, осуществляющие обработку персональных данных и ответственные за обеспечение её безопасности, должны иметь квалификацию, достаточную для поддержания требуемого режима безопасности персональных данных.
В этих целях в кооперативе введена и действует система обучения и повышения квалификации сотрудников по обеспечению безопасности персональных данных.
4.1.4. Ответственным за обучение и повышение квалификации сотрудников является Председатель Кооператива.
4.2. Технические меры защиты информации
Наряду с организационными мерами, кооперативом принимаются технические меры защиты информации, обеспечивающие:
- Предотвращения несанкционированного доступа к системам, в которых хранятся персональные данные;
- Резервирование и восстановление персональных данных, работоспособность технических средств и программного обеспечения, средств защиты информации в информационных системах персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- Иные необходимые меры безопасности.
4.3. Правовые меры защиты информации
4.3.1. Правовые меры защиты обрабатываемых кооперативом персональных данных обеспечиваются:
- Обоснованием принятых в кооперативе политики, положений, иных внутренних документов устанавливающих процедуры и методы защиты охраняемой служебной информации, в т.ч. содержащей персональные данные, требованиями законодательства, нормативно правовых актов и нормативных актов Банка России, в области защиты персональных данных.
- Правовым разграничением доступа и порядки использования персональных данных внутренними документами, принимаемыми общим собранием пайщиков, регулирующими корпоративные отношения в кооперативе в соответствии с п.5, ст. 52 ГК РФ и изданными в их развитие организационно-распорядительными документами.
Введением мер дисциплинарной ответственности за неправомерное использование информации, содержащей персональные данные.
Сотрудники кооператива и привлеченные контрагенты, получившие доступ к обрабатываемым персональным данным, предупреждаются о возможной дисциплинарной, административной, гражданско-правовой или уголовной ответственности в случае нарушения норм и требований действующего законодательства, регулирующего правила обработки и защиты персональных данных.
Сотрудники кооператива и привлеченные контрагенты, по вине которых произошло нарушение конфиденциальности персональных данных, и работники, создавшие предпосылки к нарушению конфиденциальности персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации, внутренними документами Кооператива и условиями трудового договора.
4.3.2. В соответствии со ст. 7 Закона № 152-ФЗ, п.1, Указа Президента РФ от 06.03.1997 N 188 «Об утверждении Перечня сведений конфиденциального характера», информация, относящаяся к персональным данным, ставшая известной в связи с осуществлением трудовых отношений, в связи с членством пайщиков в кооперативе и их участием в финансовой взаимопомощи, относится к конфиденциальной служебной информации, охраняемой в соответствии с принятыми в кооперативе организационно-распорядительными документами.
5.Изменения и дополнения Политики.
5.1. Политика является внутренним документом Кооператива.
5.2. Политика подлежит изменению, дополнению при вступлении в силу нового, изменений действующего законодательства и нормативных актов Банка России, регулирующих отношения, связанные с защитой персональных данных, а также при расширении и детализации применяемых кооперативом процедур такой защиты.