Политика обработки персональных данных
Утверждено
в соответствии со ст. 87 ТК РФ,
Законом от 27.07.2006 «О персональных данных» № 152-ФЗ
Приказом №1 от 01.07.2019 г. Генерального директора
ООО «Региональный Центр Кредитования» Бида А.А.
Положение
о персональных данных клиентов
ООО «Региональный Центр Кредитования»
Разработано
Генеральный директором ООО «РЦК» Бида А.А.
г. Великий Новгород, 2019 г.
1. Общие положения
1.1. Настоящим Положением определяется порядок обращения с персональными данными клиентов-физических лиц (далее – клиент, клиенты) ООО «Региональный Центр Кредитования» (далее - Компания), которым Компания оказывает услуги по поиску и привлечению финансирования.
1.2. Упорядочение обращения с персональными данными клиентов имеет целью обеспечить соблюдение законных прав и интересов Компании и ее клиентов в связи с необходимостью получения (сбора), систематизации (комбинирования), хранения и передачи сведений, составляющих персональные данные.
1.3. Персональные данные клиента обрабатываются в целях исполнения договора по оказанию услуг, одной из сторон которого является клиент, а другой - Компания. Компания собирает данные только в объеме, необходимом для достижения названной цели.
1.4. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
1.5. Настоящее Положение является обязательным для исполнения всеми работниками Компании, имеющими доступ к персональным данным клиента.
1.6. Основные понятия, используемые в Положении:
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- распространение персональных данных - действия, направленные на передачу персональных данных неопределенному кругу лиц;
- «Cookies» — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта;
- «IP-адрес» — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP;
- Сайт «novcredit.ru» (далее “Сайт”) – уникальный интернет ресурс, на который распространяется данная политика конфиденциальности.
2. Состав и получение персональных данных Клиентов
2.1. К персональным данным клиента, сбор и обработку которых осуществляет Компания, относятся:
- фамилия, имя, отчество;
- контактный телефон;
- адрес регистрации клиента;
- паспортные данные клиента;
- другая аналогичная информация, на основании которой возможна безошибочная идентификация субъекта персональных данных.
2.2. Все персональные данные сотрудники Компании получают непосредственно от субъектов персональных данных - клиентов.
2.3. Cайт ООО «Региональный Центр Кредитования» использует сервис веб-аналитики Яндекс.Метрика, предоставляемый компанией ООО «ЯНДЕКС», 119021, Россия, Москва, ул. Л. Толстого, 16 (далее — Яндекс).
Cайт ООО «Региональный Центр Кредитования» (https://novcredit.ru/) и сервис веб-аналитики Яндекс.Метрика (https://metrika.yandex.ru/) используют метаданные пользователя (cookie, данные об IP-адресе и местоположении). Cookies – небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя. Веб-клиент (обычно веб-браузер) всякий раз при попытке открыть страницу соответствующего сайта, пересылает этот фрагмент данных веб-серверу в виде HTTP-запроса. Применяется для сохранения данных на стороне пользователя, на практике обычно используется для: аутентификации пользователя; хранения персональных предпочтений и настроек пользователя; отслеживания состояния сеанса доступа пользователя; ведения статистики о пользователях. Данная информация не может идентифицировать пользователя.
Вы можете отказаться от использования файлов cookie, выбрав соответствующие настройки в браузере. Также вы можете использовать инструмент — https://yandex.ru/support/metrika/general/opt-out.html. Однако это может повлиять на работу некоторых функций сайта. Используя этот сайт, вы соглашаетесь на обработку данных о вас сайтом ООО «Региональный Центр Кредитования» и Яндексом в порядке и целях, указанных выше.
3. Обработка и хранение персональных данных клиентов
3.1. Обработка персональных данных Компанией в интересах клиентов заключается в сборе, записи, систематизации, накоплении, хранении, уточнении (обновлении, изменении), извлечении, использовании, передаче, обезличивании, блокировании, удалении, уничтожении и в защите от несанкционированного доступа персональных данных клиентов.
3.2. Согласие клиентов на обработку персональных данных не требуется, поскольку обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных - клиент.
3.3. Обработка персональных данных клиентов ведется методом не автоматизированной обработки.
3.4. К обработке персональных данных клиентов могут иметь доступ только работники Компании, допущенные к работе с персональными данными клиентов и подписавшие Соглашение о неразглашении персональных данных клиентов.
3.5. Перечень работников Компании, имеющих доступ к персональным данным клиентов, определяется приказом генерального директора.
3.6. Персональные данные клиентов на бумажных носителях хранятся в бухгалтерии.
4. Использование и передача персональных данных клиентов
4.1. Использование персональных данных клиентов осуществляется Компанией исключительно для достижения целей, определенных договором между клиентом и Компанией, в частности, для продажи товаров/выполнения работ/оказания услуг.
4.2. При передаче персональных данных клиентов Компания должна соблюдать следующие требования:
4.2.1. Предупредить лиц, получающих персональные данные клиентов о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные клиентов, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных данных.
4.2.2. Разрешать доступ к персональным данным клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций.
4.3. Не допускается отвечать на вопросы, связанные с передачей информации, содержащей персональные данные, по телефону или факсу.
4.4. Компания вправе предоставлять или передавать персональные данные клиентов третьим лицам в следующих случаях:
- если раскрытие этой информации требуется для соблюдения закона, выполнения судебного акта;
- для оказания содействия в проведении расследований, осуществляемых правоохранительными или иными государственными органами;
- для защиты законных прав клиента и Компании.
5. Защита персональных данных клиентов от несанкционированного доступа
5.1. Компания обязана при обработке персональных данных клиентов принимать необходимые организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий
5.2. Для эффективной защиты персональных данных клиентов необходимо:
5.2.1. соблюдать порядок получения, учета и хранения персональных данных клиентов;
5.2.2. применять технические средства охраны, сигнализации;
5.2.3. заключить со всеми работниками, связанными с получением, обработкой и защитой персональных данных клиента, Соглашение о неразглашении персональных данных клиентов;
5.2.4. привлекать к дисциплинарной ответственности работников, виновных в нарушении норм, регулирующих получение, обработку и защиту персональных данных клиентов.
5.3. Допуск к персональным данным клиентов работников Компании, не имеющих надлежащим образом оформленного доступа, запрещается.
5.4. Документы, содержащие персональные данные клиентов, хранятся в закрытых металлических шкафах, обеспечивающих защиту от несанкционированного доступа (ключи от шкафов имеются только у генерального директора и главного бухгалтера).
5.5. Защита доступа к электронным базам данных, содержащим персональные данные клиентов, обеспечивается:
- использованием лицензионных программных продуктов, предотвращающих несанкционированный доступ третьих лиц к персональным данным клиентов;
- системой паролей для входа в локальную сеть и программу «1С:Предприятие». Пароли устанавливаются системным администратором и сообщаются индивидуально работникам, имеющим доступ к персональным данным клиентов;
- регистрацией и учетом входа (выхода) пользователя в локальную сеть и программу «1С:Предприятие»;
- физической охраной информационной системы.
5.6. Копировать и делать выписки персональных данных клиентов разрешается исключительно в служебных целях с письменного разрешения руководителя.
6. Обязанности Компании
6.1. Осуществлять обработку персональных данных клиентов исключительно в целях оказания законных услуг/продаж клиентам.
6.2. Получать персональные данные клиента непосредственно у него самого. Если персональные данные клиента возможно получить только у третьей стороны, то клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работники Компании должны сообщить клиентам о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа клиента дать письменное согласие на их получение.
6.3. Не получать и не обрабатывать персональные данные клиента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных законом.
6.4. Предоставлять доступ к своим персональным данным клиенту или его законному представителю при обращении либо при получении запроса, содержащего номер основного документа, удостоверяющего личность клиента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, и собственноручную подпись клиента или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации. Сведения о наличии персональных данных должны быть предоставлены клиенту в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
6.5. Ограничивать право клиента на доступ к своим персональным данным, если:
1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
3) предоставление персональных данных нарушает права и законные интересы третьих лиц.
6.6. Обеспечить хранение и защиту персональных данных клиентов от неправомерного их использования или утраты.
6.7. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц..
6.8. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
6.9. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
6.10. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами..
6.11. В связи с тем, что Компания осуществляет обработку персональных данных клиентов, полученных Компанией в связи с заключением договора с клиентом, персональные данные клиентов используются Компанией исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных, Компания вправе осуществлять обработку персональных данных клиентов без уведомления уполномоченного органа по защите прав субъектов персональных данных.
7. Права клиента
7.1. Клиент имеет право на:
- доступ к информации о самом себе, в том числе содержащей информацию подтверждения факта обработки персональных данных, а также цель такой обработки; способы обработки персональных данных, применяемые Компанией; сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; перечень обрабатываемых персональных данных и источник их получения, сроки обработки персональных данных, в том числе сроки их хранения; сведения о том, какие юридические последствия для Клиента может повлечь за собой обработка его персональных данных;
- определение форм и способов обработки его персональных данных;
- ограничение способов и форм обработки персональных данных;
- запрет на распространение персональных данных без его согласия;
- изменение, уточнение, уничтожение информации о самом себе;
- обжалование неправомерных действий или бездействий по обработке персональных данных и соответствующую компенсацию в судебном порядке.
8. Конфиденциальность персональных данных клиентов
8.1. Сведения о персональных данных клиентов, являются конфиденциальными. Компания обязана не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом
9. Ответственность за нарушение норм, регулирующих обработку персональных данных клиентов
9.1. Компания несет ответственность за персональные данные клиентов, которые находятся в ее распоряжении, и закрепляет персональную ответственность работников за соблюдением установленного режима конфиденциальности.
9.2. Каждый работник, получающий для работы документ, содержащий персональные данные клиента, несет ответственность за сохранность носителя и конфиденциальность информации.
9.3. Любое лицо может обратиться к работнику Компании с жалобой на нарушение данного Положения. Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в 10-ти-дневный срок со дня поступления.
9.4. Работники Компании обязаны на должном уровне обеспечивать рассмотрение запросов, заявлений и жалоб клиентов, а также содействовать исполнению требований компетентных органов.
9.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных клиентов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством РФ.