Политика конфиденциальности
ООО «МКК «АМК»

Настоящая политика в отношении обработки и защиты персональных данных (далее – Политика) разработана Обществом с ограниченной ответственностью «Микрокредитная компания «Агентство малого кредитования» (далее - Общество) в соответствии с п. 2 ст. 18.1 Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных», Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», и определяет стратегию защиты персональных данных, обрабатываемых в информационных системах персональных данных (далее – ИСПДн) Общества и формулирует основные принципы и механизмы защиты персональных данных (далее также – ПДн).

Важнейшим условием реализации целей Общества, является обеспечение необходимого и достаточного уровня информационной безопасности, к которым в том числе относятся персональные данные и технологические процессы, в рамках которых они обрабатываются.

Обеспечение безопасности персональных данных является одной из приоритетных задач Общества.

Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

1. Общие положения.

1.1. Цель применения Политики.

Целью настоящей Политики является обеспечение безопасности персональных данных, а также реализация положений нормативных правовых актов и иных документов по защите персональных данных.

Основными целями обеспечения безопасности персональных данных являются:

• предотвращение нарушений прав субъекта персональных данных (физического лица) на сохранение конфиденциальности информации, обрабатываемой в ИСПДн Общества;
• предотвращение искажения или несанкционированной модификации информации, содержащей персональные данные, обрабатываемой в ИСПДн Общества;
• предотвращение несанкционированных действий в отношении информации, содержащей персональные данные.

Требования настоящей Политики обязательны для всех сотрудников ООО «МКК «АМК» и распространяются на:

• информационные ресурсы и носители информации;
• автоматизированные системы Общества;
• средства телекоммуникаций;
• помещения, в которых осуществляется деятельность Общества.

Внутренние документы Общества, затрагивающие вопросы, рассматриваемые в данном документе, должны разрабатываться с учетом положений Политики и не противоречить им.

1.1. Принципы обработки персональных данных.

Обработка персональных данных в Обществе осуществляется на основе следующих принципов:

• законности и справедливости целей и способов обработки персональных данных;
• соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Общества;
• соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
• хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
• уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

1.2. Способы обработки персональных данных.

Общество может осуществлять обработку персональных данных с использованием средств автоматизации, а также без использования таких средств.

2. Субъекты персональных данных.

Обществом (оператором персональных данных) осуществляется обработка персональных данных следующих категорий субъектов персональных данных:

• клиенты Общества;
• сотрудники Общества;
• контрагенты Общества.

3. Цели обработки персональных данных.

3.1. Общество осуществляет обработку персональных данных в следующих целях:

• осуществления деятельности, предусмотренной Уставом Общества, действующим законодательством РФ, в том числе, Федеральным законом от 02.07.2010 № 151-ФЗ «О микрофинансовой деятельности и микрофинансовых организациях», Федеральным законом от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
• заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическими лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством РФ и Уставом Общества;
• организации кадрового учета Общества, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, предоставления сведений в банк для оформления банковской карты и перечисления на неё заработной платы сотрудникам Общества, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: Федеральным законом от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», а также Уставом и локальными актами Общества.

С согласия субъекта персональных данных, Общество может использовать персональные данные клиентов и контрагентов в следующих целях:

• для связи с клиентами и контрагентами в случае необходимости, в том числе для направления уведомлений, информации и запросов, связанных с оказанием услуг, а также обработки заявлений, запросов и заявок клиентов и контрагентов Общества;
• для улучшения качества услуг, оказываемых Обществом;
• для продвижения услуг на рынке путем осуществления прямых контактов с клиентами и контрагентами Общества;
• для проведения статистических и иных исследований на основе обезличенных персональных данных.

3.2. Перечень обрабатываемых персональных данных.

Общество обрабатывает следующие категории персональных данных в связи с реализацией трудовых отношений:

• фамилия, имя, отчество;
• дата и место рождения;
• пол;
• фото;
• паспортные данные;
• адрес регистрации и фактического проживания;
• семейное, социальное, имущественное положение;
• данные документов об образовании (квалификации, профессиональной подготовке, сведения о повышении квалификации);
• профессия;
• доходы;
• сведения о трудовой деятельности;
• сведения о состоянии здоровья;
• сведения о воинском учете;
• ИНН;
• СНИЛС;
• номер полиса обязательного медицинского страхования;
• номер банковской карты;
• стаж работы и другие данные, содержащиеся в трудовой книжке;
• номер телефона (домашний, мобильный, рабочий);
• другие сведения, предусмотренные унифицированной формой № Т-2 и документами при приеме на работу.

Для целей осуществления уставной (коммерческой) деятельности Общество вправе обрабатывать следующие категории персональных данных клиентов и контрагентов:

• фамилия, имя, отчество;
• образование;
• сведения о трудовом и общем стаже;
• сведения о составе семьи;
• паспортные данные;
• адрес электронной почты;
• ИНН;
• налоговый статус (резидент/нерезидент);
• сведения о доходах;
• специальность;
• занимаемая должность;
• адрес места жительства;
• телефон;
• место работы или учебы членов семьи и родственников;
• состав декларируемых сведений о наличии материальных ценностей;
• содержание декларации, подаваемой в налоговую инспекцию;
• СНИЛС;
• иные сведения, указанные заявителем;
• IP адрес, с которого осуществляется доступ к сайту Общества manymo.ru.

4. Специальные категории персональных данных. Биометрические персональные данные.

В информационных системах Общества запрещена обработка следующих персональных данных:

• специальных категорий персональных данных касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
• сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные);
• персональные данные о частной жизни, о членстве субъектов персональных данных в общественных объединениях или их профсоюзной деятельности.

Обработка специальных категорий персональных данных может осуществляться в следующих случаях:

• субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
• персональные данные являются общедоступными;
• персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
• обработка персональных данных необходима в связи с осуществлением правосудия;
• обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.

Обработка специальных категорий персональных данных, осуществлявшаяся в вышеперечисленных случаях, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.

Обработка биометрических персональных данных может осуществляться в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

5. Условия обработки персональных данных.

5.1. Конфиденциальность персональных данных.

В Обществе документально оформляется перечень сведений конфиденциального характера. В соответствии с Указом Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера», персональные данные относятся к конфиденциальной информации.

Обществом и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением следующих случаев:

• в случае обезличивания персональных данных;
• в отношении общедоступных персональных данных.

5.2. Поручение обработки персональных данных третьему лицу.

В случае, если Общество на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке. Контроль выполнения настоящего требования осуществляет директор Общества.

5.3. Хранение и уничтожение персональных данных.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено законодательством РФ.

Для уничтожения персональных данных, приказом директора назначается комиссия по уничтожению персональных данных.

Уничтожение персональных данных оформляется актом.

Места хранения материальных носителей персональных данных утверждаются приказом директора.

5.4. Обработка персональных данных в целях продвижения товаров, работ, услуг.

Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, допускается только при условии предварительного согласия субъекта персональных данных.

5.5. Трансграничная передача персональных данных.

Обществом может осуществляться трансграничная передача персональных данных. Для осуществления трансграничной передачи персональных данных необходимо получить согласие субъекта персональных данных в письменной форме.

Трансграничная передача персональных данных может осуществляться без согласия субъекта персональных данных в случаях:

• исполнения договора, стороной которого является субъект персональных данных;
• защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

6. Общие требования по организации защиты персональных данных.

6.1. Общие положения.

Организация работ по обеспечению безопасности персональных данных осуществляется Директором Общества.

Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах Общества, приказом директора назначается лицо, ответственное за обеспечение безопасности персональных данных.

Разработка и осуществление мероприятий по обеспечению безопасности персональных данных может осуществляться также сторонними организациями на договорной основе, имеющими лицензии на право проведения соответствующих работ.

Приказом директора Общества назначаются ответственные лица по работе с персональными данными.

Лица, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании утвержденного списка.

6.2. Мероприятия по обеспечению безопасности персональных данных при автоматизированной обработке.

6.2.1 Система защиты персональных данных.

Безопасность персональных данных при их обработке в информационных системах Общества обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.

При обработке персональных данных в информационных системах Общества должно быть обеспечено:

• проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
• своевременное обнаружение фактов несанкционированного доступа к персональным данным;
• недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
• возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• постоянный контроль за обеспечением уровня защищенности персональных данных.

6.2.2. Перечень мероприятий по обеспечению безопасности персональных данных.

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

• определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
• разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
• проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
• установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
• обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
• учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
• учет лиц, допущенных к работе с персональными данными в информационной системе;
• контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
• разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
• описание системы защиты персональных данных.

6.2.3 Классификация информационных систем персональных данных.

Информационные системы персональных данных Общества подлежат обязательной классификации.

Для проведения классификации информационных систем персональных данных в Обществе назначается комиссия.

Результаты классификации оформляются соответствующим актом.

6.2.4. Помещения, в которых ведется обработка персональных данных.

Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

6.3. Контроль и надзор за выполнением требований настоящей Политики.

Контроль и надзор за выполнением требований настоящей Политики заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер. Он может проводиться структурным подразделением, ответственным за обеспечение безопасности персональных данных, или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите конфиденциальной информации.

6.4. Политика в отношении файлов «cookie».

Посещая сайт, используя мобильные приложения Общества в информационно- телекоммуникационной сети «Интернет» (далее - сеть «Интернет»), действуя свободно, в своем интересе и, выражая свою волю, субъекты персональных данных, указанных в разделе 2 настоящей Политики, соглашаются с ней в отношении использования файлов «cookie» Общества, в том числе с тем, что Общество может обрабатывать файлы «cookie» самостоятельно или с использованием метрических программ Google Analytics, Яндекс.Метрика, в целях указанных ниже.

Под обработкой понимаются любые действия с использованием средств автоматизации, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение обрабатываемых данных.

Под файлами «cookie» понимаются данные о пользователях сайта Общества, мобильных приложений Общества, доступные и собираемые Обществом самостоятельно или с использованием метрических программ Google Analytics, Яндекс.Метрика, а именно: псевдоним пользователя, адрес пользователя или адрес устройства пользователя и его технические характеристики, посредством которого пользователь зашел на сайт Общества и (или) установил соединение с интернет-сервисом Общества, используемая операционная система на устройстве пользователя, версия операционной системы, а также сведения о пользователе, включающие IP-адрес, поисковые запросы пользователя, информация об используемом браузере и языке, даты и времени доступа к сайту, интернет-адреса веб- страниц, посещаемых пользователем, тематика информации, размещенной на посещаемых пользователем интернет - ресурсах Общества, идентификатор пользователя, преобразованный Обществом при помощи хеш-функции или других модификаций, идентификатор устройства, географическое положение, количество просмотренных страниц, длительность пребывания на сайте Общества, запросы, которые пользователь использовал при переходе на сайт, страницы, с которых были совершены переходы, сведения о мобильном устройстве, в т.ч. идентификатор устройства, сведения о местоположении, данные о настройках системы, CUS пользователя, User-Agent пользователя, источник рекламного трафика, идентификатор сессии, время авторизации/регистрации, токен, время каждой проверки токена в привязке к системам, идентификаторы систем, посещаемых пользователем, версия мобильного приложения, логин пользователя сервиса, дата/время использования сервиса и любая информация, не позволяющая однозначно идентифицировать пользователя или конкретное физическое лицо, для предоставления пользователю рекламной информации и аналитическая пользовательская информация.

Выбор состава файлов «cookie» для обработки зависит от используемого браузера и устройства. Файлы «cookie» Обществом могут использоваться для:

• предоставлении информации об Обществе, его продуктах и услугах;
• усовершенствования продуктов и (или) услуг Общества и для разработки новых продуктов и (или) услуг Общества;
• ведения статистики о пользователях;
• хранения персональных предпочтений и настроек пользователей;
• отслеживания состояния сессии доступа пользователей;
• обеспечения функционирования и улучшения качества работы сайта/мобильных приложений Общества;
• использования интернет форм на сайте Общества;
• предоставления дистанционного обслуживания;
• формирования списка интересов, демонстрации пользователю интернет-контента.

Пользователь вправе самостоятельно управлять файлами «cookie». Используемый пользователем браузер и (или) мобильное устройство может позволять блокировать, удалять или иным образом ограничивать использование файлов «cookie». Чтобы узнать, как управлять файлами «cookie» с помощью используемых браузера или мобильного устройства, пользователю необходимо воспользоваться инструкцией, предоставляемой разработчиком браузера или производителем соответствующего устройства пользователя.

Обрабатываемые файлы «cookie» уничтожаются, либо обезличиваются Обществом по достижении указанных выше целей обработки или в случае утраты необходимости в достижении этих целей.

7. Ответственность за нарушение требований настоящей Политики.

Лица, виновные в нарушении требований настоящей Политики, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

8. Изменение настоящей Политики.

Настоящая Политика является внутренним документом Общества.

Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных. В случае внесения в настоящую Политику изменений, к ним будет обеспечен неограниченный доступ всем заинтересованным субъектам персональных данных.

Действующая редакция настоящей Политики хранится в месте фактического нахождения Общества по адресу: г. Ижевск, пер. Северный дом 52, электронная версия Политики – на сайте Общества в информационно-телекоммуникационной сети «Интернет» по адресу: manymo.ru