Политика в отношении обработки персональных данных

ОГЛАВЛЕНИЕ
1. ОБЩИЕ ПОЛОЖЕНИЯ
2. ОСНОВНЫЕ ПОНЯТИЯ
3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
7. ПЕРЕЧЕНЬ ДЕЙСТВИЙ И СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
8. УСЛОВИЯ ОБРАБОТКИ И КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
9. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
10. МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
11. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
12. ОБЯЗАННОСТИ И ПРАВА ФОНДА
13. ИЗМЕНЕНИЕ ПОЛИТИКИ
1. ОБЩИЕ ПОЛОЖЕНИЯ
Политика в отношении обработки персональных данных Некоммерческой организации «Гарантийный фонд для субъектов малого и среднего предпринимательства Оренбургской области (микрокредитная компания)» (далее – Политика) определяет политику Некоммерческой организации «Гарантийный фонд для субъектов малого и среднего предпринимательства Оренбургской области (микрокредитная компания)» (далее – Фонд) в отношении обработки персональных данных и реализации мер по защите персональных данных в соответствии с требованиями статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Настоящая политика реализует основную цель Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных», которая заключается в обеспечении защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Настоящая Политика определяет принципы и цели обработки персональных данных в Фонде, правовые основы обработки персональных данных, права субъектов персональных данных и иные положения, касающиеся обработки персональных данных в Фонде. Настоящей Политикой установлены меры по обеспечению защиты персональных данных. В целях обеспечения неограниченного доступа к настоящей Политике, документ размещается на информационных стендах в офисах и на сайте Фонда.
2. ОСНОВНЫЕ ПОНЯТИЯ
В настоящей Политике используются следующие основные понятия: Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных). Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Защита персональных данных – комплекс мер, принимаемых Фондом для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных; Ответственный за организацию обработки персональных данных – должностное лицо Фонда, назначенное приказом руководителя Фонда, организующее разработку и внедрение правовых, организационных и технических мер в Фонде, с целью обеспечения обработки и защиты персональных данных в Фонде, в соответствии с положениями законодательства Российской Федерации в области обработки и защиты персональных данных.
3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных в Фонде осуществляется на основе следующих принципов: - Обработка персональных данных осуществляется на законной и справедливой основе. - Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. - Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. - Обработке подлежат только персональные данные, которые отвечают целям их обработки. - Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки. - При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Фонд обеспечивает принятие необходимых мер по удалению или уточнению неполных или неточных данных. - Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Фонд осуществляет обработку персональных данных в следующих целях: - осуществление основной деятельности, предусмотренной Уставом Фонда; - оформление трудовых отношений; исполнение обязательств по трудовым и гражданско-правовым договорам; ведение кадрового делопроизводства; содействие работникам в обучении и продвижении по службе; исполнение требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение; - заключение и исполнение гражданско-правовых договоров с физическими и юридическим лицами, в связи с осуществлением хозяйственной деятельности Фонда. С согласия субъекта персональных данных, Фонд может использовать персональные данные в следующих целях: - для связи в случае необходимости, в том числе для направления уведомлений, информации и запросов, связанных с оказанием услуг, а также обработки заявлений, запросов и заявок; - для продвижения услуг Фонда на рынке.
5. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных в Фонде осуществляется в соответствии со следующими нормативными правовыми актами: - Конституция Российской Федерации от 12 декабря 1993 г. (ст. ст. 2, 17-24, 41); - Гражданский кодекс Российской Федерации (части 1, 2, 4); - Трудовой кодекс Российской Федерации (глава 14 (ст. 86-90)); - Налоговый кодекс Российской Федерации - Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; - Федеральный закон Российской Федерации от 24 июля 2007 г. № 209-ФЗ «О развитии малого и среднего предпринимательства в Российской Федерации»; - Федеральный закон Российской Федерации от 2 июля 2010 г. № 151-ФЗ «О микрофинансовой деятельности и микрофинансовых организациях»; - Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»; - Постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; - Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; - приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»; - Устав Фонда и иные нормативные правовые акты, регулирующие отношения, связанные с обработкой и защитой персональных данных.
6. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
Фондом осуществляется обработка персональных данных следующих категорий субъектов персональных данных: - работники Фонда; - члены семьи работников Фонда; - лица, состоявшие в трудовых отношениях с Фондом; - члены семьи лиц, состоявших в трудовых отношениях с Фондом; - физические лица, с которыми Фонд вступает в договорные и иные правовые отношения; - физические лица, состоящие или состоявшие в договорных и иных правовых отношениях с Фондом; - представители юридических лиц, состоящих или состоявших в договорных и иных правовых отношениях с Фондом. Перечень персональных данных, обрабатываемых в Фонде, определяется в соответствии с законодательством Российской Федерации и внутренними документами Фонда с учетом целей обработки персональных данных, указанных в разделе 4 настоящей Политики. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, Фондом не осуществляется. Обработка биометрических персональных данных, Фондом не осуществляется. 7. ПЕРЕЧЕНЬ ДЕЙСТВИЙ И СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ Обработка персональных данных Фондом включает в себя: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение, обезличивание персональных данных. Фонд не осуществляет трансграничную передачу персональных данных. Обработка персональных данных осуществляется Фондом с использованием средств автоматизации, а также без использования таких средств (на бумажных носителях информации).
8. УСЛОВИЯ ОБРАБОТКИ И КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных Фондом допускается в следующих случаях: - обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; - обработка персональных данных необходима для осуществления и выполнения, возложенных законодательством Российской Федерации на Фонд функций, полномочий и обязанностей; - обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или залогодателем по которому является субъект персональных данных; - обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; - обработка персональных данных необходима для осуществления прав и законных интересов Фонда или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; - обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», при условии обязательного обезличивания персональных данных; - осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных); - осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. Фондом обеспечивается конфиденциальность персональных данных, за исключением случая общедоступных персональных данных. Фонд без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено Федеральным законом. По мотивированному запросу исключительно для выполнения возложенных законодательством Российской Федерации функций и полномочий, персональные данные субъекта персональных данных без его согласия могут быть переданы Фондом: - правоохранительным органам; - налоговым органам; - судебным органам; - отделениям Пенсионного фонда; - отделениям Фонда социального страхования; - отделениям Фонда обязательного медицинского страхования; - федеральной инспекции по труду; - военкоматам; - иным органам и организациям в случаях, установленных нормативными правовыми актами, обязательными для исполнения. Доступ работников Фонда к персональным данным определен Перечнем должностей, утвержденным приказом руководителя Фонда. Работники Фонда, получившие доступ к обрабатываемым персональным данным, подписывают обязательство о неразглашении конфиденциальной информации и предупреждаются о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области обработки персональных данных. Работники Фонда, осуществляющие обработку персональных данных, не отвечают на вопросы, связанные с передачей персональных данных по телефону или факсу.
9. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных в Фонде начинается с момента получения от субъекта персональных данных согласия на обработку его персональных данных и прекращается моментом отзыва субъектом персональных данных согласия на обработку его персональных данных, если иное не предусмотрено федеральным законом. Хранение персональных данных в Фонде осуществляется в виде электронных файлов на несъемных машинных носителях ПЭВМ, а также на бумажных носителях информации. Сроки хранения персональных данных определяются целями, для которых эти персональные данные обрабатываются в Фонде, а также федеральным законодательством. Обрабатываемые персональные данные в Фонде уничтожаются в следующих случаях: - в случае достижения цели обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. При этом Фонд прекращает обработку персональных данных и уничтожает соответствующие персональные данные в срок, не превышающий тридцати дней с момента достижения цели обработки персональных данных. - в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных, Фонд прекращает обработку персональных данных, уничтожает соответствующие персональные данные в срок, не превышающий тридцати дней с момента поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или залогодателем по которому является субъект персональных данных, либо если Фонд не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами. - в случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных. При этом Фонд блокирует обработку персональных данных в срок, не превышающий трех рабочих дней с момента такого выявления, и принимает меры по устранению допущенных нарушений. В случае невозможности устранения допущенных нарушений, Фонд, в срок, не превышающий десяти рабочих дней с момента выявления неправомерности действий с персональными данными, уничтожает персональные данные; - в случае прекращения деятельности Фонда. Ответственным за уничтожение персональных данных является лицо, ответственное за организацию обработки персональных данных. При наступлении любого из событий, повлекших необходимость уничтожения персональных данных, лицо, ответственное за организацию обработки персональных данных обязано: - принять меры к уничтожению персональных данных; - оформить соответствующий Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) и представить Акт на утверждение руководителю Фонда; - в случае необходимости уведомить об уничтожении персональных данных субъекта персональных данных и/или уполномоченный орган.
10. МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
В Фонде приняты следующие меры, направленные на обеспечение исполнения Фондом обязанностей, предусмотренных статьями 18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»: - назначено ответственное лицо за организацию обработки персональных данных; - определен перечень должностей работников Фонда имеющих доступ к персональным данным; - разработаны и утверждены локальные нормативные акты Фонда: Политика в отношении обработки персональных данных, Положение о защите персональных данных, которыми регламентируется порядок получения, обработки, хранения, передачи и защиты персональных данных в Фонде; - осуществлено ознакомление работников Фонда, допущенных к обработке персональных данных, с положениями законодательства Российской Федерации о персональных данных и внутренними документами Фонда, регулирующими вопросы обработки персональных данных. - определены угрозы безопасности персональных данных при их автоматизированной обработке и обработке, осуществляемой без использования средств автоматизации; - оборудованы охранной сигнализацией помещения, в которых осуществляется обработка персональных данных; - определены места хранения материальных носителей персональных данных и обеспечено раздельное хранение персональных данных, обработка которых осуществляется в различных целях; - рабочие места работников Фонда размещены таким образом, чтобы исключить возможность обозрения посторонними лицами находящихся на столе документов, а также мониторов ПЭВМ; - осуществлена защита персональных данных при подключении ПЭВМ к информационно-телекоммуникационным сетям, в том числе к сети «Интернет»; - ПЭВМ работников Фонда защищены антивирусной защитой; - установлены правила доступа к ПЭВМ, обрабатывающим персональные данные; - в целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям внутренних документов Фонда и законодательства Российской Федерации, организовано проведение периодических проверок условий обработки персональных данных; - обеспечен неограниченный доступ к Политике в отношении обработки персональных данных.
11. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Субъект персональных данных вправе: - получать информацию о перечне своих персональных данных, обрабатываемых Фондом и информацию об источнике их получения; - получать информацию о правовых основаниях обработки персональных данных, целях и применяемые Фондом способах обработки персональных данных; - получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения; - требовать от Фонда уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав; - требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях. Для реализации вышеуказанных прав, субъект персональных данных может в порядке, установленном ст.14 Закона о персональных данных, обратиться в Фонд с соответствующим запросом. Правила оформления запроса и работы с ним определены Регламентом реагирования на запросы/обращения субъектов персональных данных ( Приложение к настоящей Политике). Если субъект персональных данных считает, что Фонд осуществляет обработку его персональных данных с нарушением требований законодательства о персональных данных или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Фонда в порядке, предусмотренном законодательством Российской Федерации.
12. ОБЯЗАННОСТИ И ПРАВА ФОНДА
Фонд, как оператор персональных данных, обязан принимать меры, необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иными нормативными правовыми актами Российской Федерации регулирующими отношения, в сфере обработки и защиты персональных данных. Фонд, как оператор персональных данных, вправе: - использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством Российской Федерации; - отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством Российской Федерации; - отстаивать свои интересы в суде.
13. ИЗМЕНЕНИЕ ПОЛИТИКИ
Настоящая Политика подлежит изменению, дополнению в случае изменения законов Российской Федерации и иных нормативных правовых актов в сфере обработки и защиты персональных данных. Все изменения в Политику вносятся решением Совета Фонда.