ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Общество с ограниченной ответственностью «Профессиональная коллекторская организация „Верное решение“
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика об обработке персональных данных (далее — Политика) определяет порядок и условия обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных в Обществе с ограниченной ответственностью «Профессиональная коллекторская организация „Верное решение“ (далее — Оператор).
1.2. Обработка персональных данных осуществляется с учетом необходимости обеспечения защиты прав и свобод работников и других субъектов персональных данных на основе следующих принципов: — законности и справедливости; — обработки только персональных данных, которые отвечают целям их обработки; — соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки; — недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. — обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных; — хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных; — обрабатываемые персональные данные уничтожаются, либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
1.3. Обработка персональных данных Оператором осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» и настоящей Политикой.
1.4. Оператор до начала обработки персональных данных назначает ответственного за организацию обработки персональных данных.
1.5. Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
1.6. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
1.7. Оператор обязан представить документы и локальные акты, указанные в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», и (или) иным образом подтвердить принятие мер, указанных в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», по запросу уполномоченного органа по защите прав субъектов персональных данных.
2. ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ В ОБЩЕСТВЕ С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ПРОФЕССИОНАЛЬНАЯ КОЛЛЕКТОРСКАЯ ОРГАНИЗАЦИЯ „ВЕРНОЕ РЕШЕНИЕ“
2.1. Оператором осуществляется обработка полученных в установленном законом порядке Персональных данных следующих категорий субъектов: — физические лица, состоящие в договорных отношениях с Оператором; — сотрудники, с которыми заключены трудовые договоры; — ближайшие родственники сотрудников; — граждане, обратившиеся с жалобами.
3. ОТВЕТСТВЕННЫЙ ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработку персональных данных и контроль за соблюдением законности такой обработки организует ответственный по обработке персональных данных (далее – Ответственный)
3.2. Ответственный обязан:
1) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
2) организовывает обработку персональных данных сотрудниками оператора;
3) организовывает прием и обработку обращений и запросов субъектов персональных данных или их представителей.
3.3. В процессе обработки персональных данных Ответственный обязан соблюдать следующие требования:
3.3.1. Объем и характер обрабатываемых персональных данных, способы обработки персональных данных должны соответствовать целям обработки персональных данных;
3.3.2. Защита персональных данных сотрудников Оператора от неправомерного их использования или уничтожения обеспечивается в порядке, установленном нормативными правовыми актами Российской Федерации;
3.3.3. Передача персональных данных сотрудников Оператора не допускается без их письменного согласия, за исключением случаев, установленных федеральными законами. В случае, если лицо, обратившееся с запросом, не обладает соответствующими полномочиями на получение персональных данных, либо отсутствует письменное согласие сотрудника Оператора на передачу его персональных данных, Оператор вправе отказать в предоставлении персональных данных, за исключением случаев, предусмотренных законом.
4. ПОРЯДОК ОБЕСПЕЧЕНИЯ ОПЕРАТОРОМ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» и другими нормативно[1]правовыми актами, регламентирующими обработку персональных данных.
4.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
4.3. Оператор обрабатывает персональные данные в случае:
4.3.1. Согласия субъекта персональных данных, выраженного в простой письменной форме;
4.3.2. Если физическое лицо, состоит в договорных отношениях с Цедентом, а Цессионарием в таких отношениях выступает Оператор. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных.
4.4. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», за исключением случаев, предусмотренных законом.
4.5. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
4.6. Оператор обязан устно, а по письменному требованию субъекта персональных данных или его представителя — письменно, разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
4.7. Оператор вправе обрабатывать следующие категории персональных данных: — фамилия, имя, отчество; — год рождения, месяц рождения, дата рождения, место рождения; — фактический адрес проживания и адрес регистрации; — семейное положение; — имущественное положение; — образование; — профессия; — доходы.
4.8. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего расположения в рабочее время.
5. ПЕРЕДАЧА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. При передаче персональных данных работника Работодатель должен соблюдать следующие требования:
5.1.1. Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
5.1.2. Не сообщать персональные данные работника в коммерческих целях без его письменного согласия. Обработка персональных данных работников в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
5.1.3. Предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данная Политика не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
5.1.4. Передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функции.
5.2. Хранение и использование персональных данных работников:
5.2.1. Персональные данные работников обрабатываются и хранятся в отделе кадров.
5.2.2. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде — локальной компьютерной сети и компьютерной программе «1С: Зарплата и кадры».
5.3. При получении персональных данных не от работника (за исключением случаев, если персональные данные были предоставлены работодателю на основании федерального закона или если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию: — наименование (фамилия, имя, отчество) и адрес оператора или его представителя; — цель обработки персональных данных и ее правовое основание; — предполагаемые пользователи персональных данных; — установленные настоящим Федеральным законом права субъекта персональных данных.
5.4. Срок хранения персональных данных определяется:
5.4.1. По общему правилу течение сроков исковой давности составляет три года в соответствии со ст.196 Гражданского Кодекса Российской Федерации.
5.4.2. Моментом исполнения физическим лицом взятых на себя обязательств, когда такое лицо состоит в договорных отношениях с Цедентом, а Цессионарием выступает Оператор. В случае полного исполнения взятых на себя обязательств обработка персональных данных физического лица прекращается.
6. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных, технических и программных мер, необходимых и достаточных для обеспечения требований федерального законодательства в области защиты персональных данных;
6.2. Оператором применяются следующие организационно-технические меры: — назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных; — ограничение и регламентация состава работников, имеющих доступ к персональным данным; — ознакомление работников с требованиями федерального законодательства и нормативных документов компании по обработке и защите персональных данных; — обеспечение учета и хранения материальных носителей информации и их обращения, исключающих хищение, подмену, несанкционированное копирование и уничтожение; — разработка системы защиты персональных данных; — парольная защита доступа пользователей к информационной системе персональных данных; — применение средств контроля доступа к коммуникационным портам, устройствам ввода-вывода информации, съемным машинным носителям и внешним накопителям информации; — осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ.
7. ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И СПОСОБАМИ ИХ ОБРАБОТКИ
7.1. Оператором осуществляется сбор, запись, систематизация, накопление, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление и уничтожение персональных данных.
7.2. Обработка персональных данных осуществляется Оператором следующими способами:
7.2.1. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации: — Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти. — Мероприятия по обеспечению безопасности персональных данных на стадиях проектирования и ввода в эксплуатацию объектов информатизации проводятся в соответствии с приказом ФСТЭК Росси от 05.02.2010 №58 «О методах и способах защиты информации в информационных системах персональных данных». — Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии: — утвержденных организационно-технических документов о порядке эксплуатации информационных систем персональных данных, включающих акт классификации ИСПДн, инструкции пользователя, администратора по организации антивирусной защиты, и других нормативных и методических документов; — настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств в соответствии с требованиями безопасности информации; — охраны и организации режима допуска в помещения, предназначенные для обработки персональных данных.
7.2.2. Обработка персональных данных без использования средств автоматизации: — Обработка персональных данных без использования средств автоматизации (далее – неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации. — При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных. — При неавтоматизированной обработке персональных данных на бумажных носителях: — не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы; — персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков); — документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных; — дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных. — Неавтоматизированная обработка персональных данных в электронном виде осуществляется с применением организационных (охрана помещений) и технических мер, исключающих возможность несанкционированного доступа к персональным данным лиц, не допущенных к их обработке. — При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном электронном носителе, если электронный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности: а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных; б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию. — Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность. — Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
8. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Уничтожение документов, содержащих персональные данные, в том числе черновиков, бракованных листов и испорченных копий, должно производиться ответственным по обработке персональных данных, с последующим составлением акта об уничтожении.
8.2. Документы, черновики документов, испорченные листы, варианты и неподписанные проекты документов разрываются таким образом, чтобы было невозможно дальнейшее восстановление информации.
8.3. Уничтожение персональных данных в электронном виде осуществляется путём удаления информации со всех носителей и резервных копий без возможности дальнейшего восстановления, с составлением акта об уничтожении.
8.4. Разрешение на уничтожение персональных данных дает специально созданная комиссии, в которую входят: Ответственный, а также лица, имеющие доступ к персональным данным.
9. КОНТРОЛЬ, ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ИЛИ НЕИСПОЛНЕНИЕ ПОЛОЖЕНИЯ
9.1. Контроль за исполнением Политики возложен на Ответственного за обработку персональных данных.
9.2. Лица, нарушающие или не исполняющие требования Политики, привлекаются к дисциплинарной, административной или уголовной ответственности.
9.3. Руководители структурных подразделений оператора несут персональную ответственность за исполнение обязанностей их подчиненными.