Общие положения

• Настоящее Положение разработано в целях реализации требований законодательства в области обработки и защиты персональных данных и обеспечивает защиту прав и свобод человека и гражданина при обработке его персональных данных кооперативом, в т.ч. защиту прав на неприкосновенность частной жизни, личной и семейной тайны.
• Положение по обработке персональных данных кредитным потребительским кооперативом «Финпроф» (далее – Кооператив) разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», иного законодательства, нормативно-правовых актов, нормативных актов Банка России и является внутренним регулятивным документом Кооператива, определяющим направления его деятельности в области обработки и защиты персональных данных, оператором которых является Кооператив.

2. Основные понятия
   • Для целей настоящего Положения используются следующие понятия:
     • Персональные данные (ПД) — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Под физическим лицом понимается также любое физическое лицо, уполномоченное действовать от имени и в интересах пайщика и (или) связанных с ним лиц во взаимоотношениях с Кооперативом.
     • Субъекты персональных данных – лица, чьи персональные данные хранятся и обрабатываются Кооперативом в процессе осуществления им своей деятельности.
     • Оператор – Кооператив, организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели и содержание обработки персональных данных.
     • Обработка персональных данных – действия (операции) или совокупность действий (операций) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
     • Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
     • Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
     • Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
     • Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
     • Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
     • Материальный носитель персональных данных – бумажный или магнитный (съемный) носитель информации, на котором хранится, уточняется, изменяется, дополняется, блокируется и уничтожается информация о персональных данных субъектов персональных данных.
     • Технические средства, позволяющие осуществлять обработку персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных, программные средства (операционные системы и системы управления базами данных), средства защиты информации, применяемые в используемых Кооперативом информационных системах.
     • Конфиденциальность персональных данных – обязательное для соблюдения Кооперативом или иным получившим доступ к персональным данным лицом требование не допускать их раскрытия третьим лицам и распространения без согласия субъекта персональных данных или наличия иного законного основания.
     • Уполномоченный орган — Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор).
   • Кооператив осуществляет обработку персональных данных в следующих целях:
     • Организации финансовой взаимопомощи, как основной деятельности кооператива, предусмотренной п.1, ст. 3 Закона № 190-ФЗ и уставом кооператива.
     • Реестрового учета пайщиков, систематизации их участия в финансовой взаимопомощи, обобщения параметров такого участия в период членства пайщика в кооперативе.
     • Заключения, исполнения и прекращения гражданско-правовых договоров с пайщиками, связанными с ними лицами, индивидуальными предпринимателями и иными контрагентами.
     • Исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, в т.ч. на доходы пайщиков, полученные ими за использование кооперативом личных сбережений и (или) по условиям членства в кооперативе.
     • Защиты прав пайщика при осуществлении действий, направленных на возврат просроченной им задолженности.
     • Обеспечения требований иного законодательства, регламентирующего порядок и условия обработки кооперативом персональных данных при осуществлении им функций оператора.
   • К персональным данным относятся:
     • Фамилия, имя, отчество, дата рождения
     • Сведения, содержащиеся в основном документе, удостоверяющем личность субъекта.
     • Информация, содержащаяся в страховом свидетельстве государственного пенсионного страхования.
     • Сведения, содержащиеся в свидетельстве о постановке на учет физического лица в налоговом органе на территории Российской Федерации.
     • Сведения о доходах клиента.
     • Сведения о семейном положении клиента.
     • Адреса места жительства клиента.
     • Другая персональная информация (рабочий и личный номер телефона, адрес электронной почты).

3. Обработка персональных данных
   • В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных обязаны соблюдаться следующие требования:
     • Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов РФ, обеспечения личной безопасности субъекта персональных данных и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества оператора.
     • Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
     • При принятии решений, затрагивающих интересы субъекта персональных данных, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
     • Клиенты и их законные представители имеют право ознакомиться с документами оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.
     • Субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны.
   • Получение персональных данных.
     • Все персональные данные следует получать непосредственно от субъекта персональных данных. Субъект самостоятельно принимает решение о предоставление своих персональных данных и дает письменное согласие на их обработку оператором.
     • В случае недееспособности либо несовершеннолетия субъекта персональных данных все персональные субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и дает письменное согласие на их обработку оператором. Письменное согласие не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
     • Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случаях, указанных в пункте 3.2.2. настоящего положения, согласие может быть отозвано законным представителем субъекта персональных данных. В случаях, когда оператор может получить необходимые персональные данные субъекта только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении оператор обязан сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение. Согласие оформляется в письменной форме в двух экземплярах: один из которых предоставляется субъекту, второй хранится у оператора. Запрещается получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни.
     • Запрещается получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
   • Хранение персональных данных.
     • Хранение персональных данных субъектов осуществляется на бумажных и электронных носителях с ограниченным доступом.
     • Подразделения, хранящие персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных». Осуществляемой без использования средств автоматизации», утвержденному постановлением правительства РФ 15 сентября 2008 г. N 687.
   • Передача персональных данных
     • При передаче персональных данных субъекта оператор обязан соблюдать следующие требования:
   • предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности;
   • не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;
     • все сведения о передаче персональных данных субъекта регистрируются в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается какая именно информация была передана. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
     • Внутренний доступ (доступ внутри организации) к персональным данным субъекта. Право доступа к персональным данным субъекта имеют:
   • Единоличный исполнительный орган Кооператива (Председатель Правления);
   • Руководитель обособленного подразделения;
   • Специальное должностное лицо;
   • Главный бухгалтер;
   • Менеджер по работе с клиентами;
   • сам субъект, носитель данных.
     • Все сотрудники, имеющие доступ к персональным данным субъектов, обязаны подписать соглашение о неразглашении персональных данных.
     • К числу массовых потребителей персональных данных вне учреждения относятся государственные и негосударственные функциональные структуры: налоговые инспекции; правоохранительные органы; органы статистики; страховые агентства; военкоматы; органы социального страхования; пенсионные фонды; подразделения федеральных, республиканских и муниципальных органов управления. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.
     • Организации, в которые субъект может осуществлять перечисления денежных средств (страховые Общества, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения) могут получить доступ к персональным данным субъекта только в случае его письменного разрешения.
   • Уничтожение персональных данных
     • Персональные данные Клиентов обрабатываются в Компании в течение всего срока действия соответствующего Договора, а также хранятся не менее 5 лет после его прекращения, с соблюдением всех установленных данным Положением и действующим законодательством требований. После истечения указанного срока Компания вправе принять решение об уничтожении персональных данных клиента.

4. Права и обязанности субъектов персональных данных и оператора
   • В целях обеспечения защиты персональных данных субъекты имеют право:

• получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
• осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные клиента, за исключением случаев, предусмотренных федеральным законом;
• требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства;
• при отказе оператора или уполномоченного им лица исключить или исправить персональные данные субъекта — заявить в письменной форме о своем несогласии, представив соответствующее обоснование;
• дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
• требовать от оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;
• обжаловать в суд любые неправомерные действия или бездействие оператора или уполномоченного им лица при обработке и защите персональных данных субъекта.
  • Для защиты персональных данных субъектов оператор обязан:
• за свой счет обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;
• по запросу ознакомить субъекта персональных данных с настоящим положением и его правами в области защиты персональных данных;
• осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;
• обеспечить субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством;
• по требованию субъекта или его законного представителя предоставить ему полную информацию о его персональных данных и обработке этих данных.
  • Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.

5. Ответственность за нарушение норм,

регулирующих обработку и защиту персональных данных

• Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, содержащему персональные данные, несет персональную ответственность за данное разрешение.
• Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым Кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в ответственности в порядке, установленном федеральными законами.