Новотроицкий кредитный потребительский кооператив граждан

Член Ассоциации «Саморегулируемая организация кредитных кооперативов «Содействие». Свидетельство о регистрации в СРО Содействие № 559 от 17.06.2019 г.

Положение об обработке и защите персональных данных

Утверждаю:

Председатель правления НКПКГ

Мельников А.И.

«_______» ________________ 20____ г.

                                                                                                                                 

                       ПОЛОЖЕНИЕ  ОБ ОБРАБОТКЕ И ЗАЩИТЕ  ПЕРСОНАЛЬНЫХ ДАННЫХ

в Новотроицком кредитном потребительском кооперативе граждан

Настоящее  Положение  устанавливает порядок получения, обработки, использования, хранения и гарантии конфиденциальности персональных данных физических лиц, необходимых для осуществления уставной деятельности кооператива  и  в соответствии с Гражданским, Трудовым кодексом, Налоговым кодексом  Российской Федерации, Федеральным законом  от 18.07.2009г. «О кредитной кооперации» № 190-ФЗ, Федеральным законом   от 27.06.2006 г. № 152-ФЗ «О персональных данных».

 Общие положения

1.1.  Новотроицкий кредитный потребительский кооператив граждан  является

 Оператором персональных данных.

1.2.  Цель и задачи  КПК  в области защиты персональных данных -  обеспечение требований  законодательства  в процессе  обработки, хранения и защиты персональных данных членов кооператива, работников,  а также персональных данных, содержащихся в документах, полученных из других организаций, в обращениях граждан и иных субъектов персональных данных;

1.3.Понятие и состав персональных данных: персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации.

2.     Порядок получения и обработки персональных данных

2.1. Получение персональных данных осуществляется  в  соответствии с действующим законодательством,   настоящим Положением, инструкциями и приказами руководителя кооператива на основе согласия субъектов на обработку их персональных данных. Оператор не вправе требовать от субъекта персональных данных предоставления информации о его национальности и расовой принадлежности, политических и религиозных убеждениях, состоянии здоровья  и о его частной жизни. Без согласия субъектов осуществляется обработка общедоступных персональных данных или содержащих только фамилии, имена и отчества, обращений и запросов организаций и физических лиц, регистрация и отправка корреспонденции почтовой связью,  и в иных случаях, предусмотренных законодательством Российской Федерации. Обработка и использование персональных данных осуществляется в целях, указанных в согласии  с субъекта персональных данных,  а также в случаях, предусмотренных нормативно-правовыми актами Российской Федерации.

2.2.Персональные данные каждого пайщика систематизируются в информационной системе «1С Бухгалтерия», а также на бумажных носителях. При вступлении в кооператив и в период членства, а также в течение пяти лет после прекращения членства пайщика в кооперативе сотрудники кооператива, в целях осуществления его уставной деятельности, могут использовать, уточнять, обезличивать, уничтожать  утратившие актуальность персональные данные пайщиков.

2.3.Кооператив не осуществляет исключительно автоматизированную обработку персональных данных своих пайщиков, порождающую  какие бы то ни было юридические последствия для них.

2.4.Исключительно автоматизированная обработка персональных данных может осуществляться кооперативом обезличенно по отдельным группам персональных данных (пол, возраст, возрастные группы, расселенческие признаки, характер деятельности и пр.) в целях статистического и социологического анализа.   

2.5. Обработка персональных данных в информационной системе  (ИСПДн)  «1С Бухгалтерия»:

2.5.1.      При вступлении пайщика в кооператив его персональные данные в составе, установленном  Уставом и Положением о членстве  вносятся в Реестр членов кооператива.  Реестр  ведется в ИСПДн «1С Бухгалтерия».  В период членства пайщика, его персональные данные, учтенные в Реестре, могут уточняться и обновляться. Хранение и обработка учитываемых в Реестре персональных данных пайщика осуществляется исключительно в целях его идентификации при оформлении его участия в организуемой кооперативом финансовой взаимопомощи. 

2.5.2        При каждом обращении пайщика за финансовой взаимопомощью его идентификационные данные по необходимости обновляются и используются для оформления договорной документации и ведения истории потребления услуг финансовой взаимопомощи. Договорная документация фиксируется на бумажных носителях и хранится в досье пайщика. Наряду с идентификационными данными самого пайщика, участвующего в финансовой взаимопомощи в его досье могут учитываться данные третьих лиц – поручителей, контрагентов, выгодоприобретателей. Все документы, содержащиеся в досье пайщика, используются кооперативом исключительно в целях контроля исполнения условий договоров. Персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются кооперативом исключительно для заключения и исполнения договоров с  субъектами персональных данных

2.5.3.      Право на обработку персональных данных (доступ)  предоставляется  приказом руководителя должностным лицам, определенным Положением об обработке и защите персональных данных  и Перечнем должностных лиц.

2.5.4.      При проведении общих собраний, социальных акций, иных мероприятий, требующих установления связи с пайщиками, кооператив использует учитываемые в реестре их адресную информацию, а при направлении поздравлений с днем рождения – информацию о возрасте.

2.5.5.      При возникновении просрочек в погашении займов сотрудники кооператива используют учитываемую в Реестре  и в досье пайщика его адресную информацию и контактные телефоны, а также адресную информацию и контактные телефоны поручителей для выработки согласованных действий по преодолению просрочек и исполнения  обязательств по полученному займу.  

2.5.6.      Цель и способы обработки кооперативом персональных данных пайщиков разъясняются им при вступлении в кооператив. Одновременно с подачей заявления о вступлении в кооператив, пайщик дает письменное согласие на обработку своих персональных данных в целях,  предусмотренных Уставом кооператива. Все обрабатываемые персональные данные кооператив  получает исключительно от субъекта этих данных.

2.5.7.      Персональные данные защищаются от несанкционированного доступа в соответствии с нормативно-правовыми актами Российской Федерации, нормативно-распорядительными актами и рекомендациями регулирующих органов в области защиты информации, а также утвержденными регламентами и инструкциями Оператора – НКПКГ.

3.      Персональные данные также  обрабатываются  Оператором  без использования средств автоматизации. В кооперативе  формируются досье на бумажных носителях индивидуально для каждого пайщика. Досье пайщиков систематизированы по датам, №№ договоров,  и в алфавитном порядке.  Досье пайщиков хранятся в головном офисе кооператива  в закрытых шкафах,  находящихся под надзором сотрудников кооператива. Правом доступа к досье пайщика обладают сотрудники кооператива, курирующие взаимоотношения с данным пайщиком. Несанкционированный доступ к месту хранения досье со стороны других пайщиков и третьих лиц исключен.   Порядок обработки ПДн установлен в Положении по обработке и защите  персональных данных в НКПКГ, обрабатываемых без использования средств автоматизации.

4.      Права, обязанности и ответственность субъекта персональных данных  и Оператора при обработке персональных данных:

 4.1.  В целях обеспечения защиты своих персональных данных  пайщик (субъект персональных данных)  в соответствии с Федеральным законом Российской Федерации от 27.06.2006 г. № 152-ФЗ «О персональных данных» за исключением случаев, предусмотренных данным Федеральным законом, имеет право:

-  на предоставление сведений об учитываемых кооперативом его персональных данных, в т.ч. выписки из его кредитной истории;  сведений о состоянии и движении средств, переданных ему кооперативу в форме личных сбережений, паенакоплений, членских взносов, копий  документов, хранящихся в досье пайщика.

            Указанные сведения предоставляются пайщику после его идентификации (предъявления документов, удостоверяющих личность) в доступной форме, заверенные подписью руководителя и печатью кооператива. Не допускается предоставление в составе таких сведений персональных данных других пайщиков и третьих лиц, за исключением случаев, если такие предоставление таких данных вызвано необходимостью соблюдения договора, стороной которого является пайщик, запрашивающий свои персональные данные.

        - требовать от Оператора уточнения своих персональных данных, их блокирования, обезличивания  или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

- на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе:

•       способы обработки персональных данных, применяемые кооперативом;

•       сведения о сотрудниках кооператива, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

•       перечень обрабатываемых персональных данных и источник их получения;

•       сроки обработки персональных данных, в том числе сроки их хранения;

•       сведения о юридических последствиях для пайщика, которые может повлечь обработка его персональных данных кооперативом.

- на обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке).

4.2. Оператор обязан:

  - безвозмездно предоставить пайщику  (субъекту персональных данных) или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить, обезличить  или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

-  в случае выявления неправомерных действий с персональными данными Оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его законного представителя.

4.3.Оператор не вправе без письменного согласия субъекта персональных данных передавать обрабатываемые персональные данные третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации;

4.4.Оператор, а также должностные лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. Ответственность за соблюдение требований законодательства Российской Федерации при обработке и использовании персональных данных возлагается в приказе об утверждении Положения и иных приказах на конкретных должностных лиц Оператора, обрабатывающих персональные данные.

5.     Сотрудники кооператива, работающие на основании трудовых договоров и договоров гражданско-правового характера,  предупреждаются  об условии конфиденциальности информации, содержащей персональные данные пайщиков,  недопустимости разглашения такой информации и о  дисциплинарной и материальной ответственности в случае ее разглашения и подписывают обязательство  о неразглашении (конфиденциальности) информации  о персональных данных. 

6.     Защита  персональных данных

В кооперативе установлен следующий режим защиты персональных данных:

6. В целях защиты обрабатываемых информационной системой «1С Бухгалтерия» персональных данных пайщиков от несанкционированного доступа вводится

 Управление доступом:

6.1.      На включение каждого компьютера, а также  на вход в ИСПДн «1С Бухгалтерия» устанавливаются  индивидуальные  пароли  состоящие более чем из шести буквенно-цифровых символов, позволяющие идентифицировать и проверить подлинность сотрудника, пользующегося  информационной системой.

6.2.      Пароли доводятся до каждого сотрудника индивидуально. При этом сотрудник подтверждает своей подписью, что он получил переданный ему пароль входа в компьютер  и доступа к информационной системе «1С Бухгалтерия»  и предупрежден о необходимости сохранять пароль в тайне, не передавать пароль третьим лицам, в том числе иным сотрудникам Кооператива.

В целях распределения прав пользования информационной системой «1С Бухгалтерия» вводится

Разграничение доступа между сотрудниками в соответствии с функциональной необходимостью и их должностной компетенцией:

В кооперативе установлен следующий порядок разграничения прав доступа к информационной системе «1С Бухгалтерия» по типам документов:

6.3.Председатель Правления (системный администратор) обладает полной информацией о системном и прикладном программном обеспечении ИСПДн. Обладает полной информацией о технических средствах и конфигурации ИСПДн.  Пользуются правом неограниченного доступа к системе, обрабатываемым ею информационным массивам (базам данных) и формируемым ею документам. Право неограниченного доступа предусматривает право внесения изменений во все  документы.

6.4.Консультант-программист (администратор безопасности), обслуживающий информационную систему «1С Бухгалтерия» на основании договора с сервисной организаций,   обладает полной информацией о технических средствах и конфигурации ИСПДн. Имеет доступ ко всем техническим средствам обработки и защиты информации в ИСПДн. Обладает правами конфигурирования и административной настройки технических средств ИСПДн. Обеспечивает техническую защиту базы данных. Не обладает правом  внесения изменений в документы,  содержащие ПДн. Пользуются правом доступа к ИСПДн  только в  присутствии  ответственного лица кооператива.

6.5.Сотрудники, назначенные Приказом руководителя  ответственными  за обработку, хранение и защиту персональных данных, обладают всеми необходимыми атрибутами и правами, обеспечивающими доступ ко всем ПДн. Имеют право на  сбор, систематизацию, накопление,  хранение,  уточнение,  использование, обезличивание,  уничтожение.  Имеют право  внесения изменений в запись о персональных данных пайщика (ФИО, дата рождения, паспортные данные) на основании информации, полученной от субъекта персональных данных.

6.6.            Сотрудники  Кооператива, исполняющие функции менеджеров офиса пользуются правом ограниченного доступа к информационной системе «1С Бухгалтерия», разрешающего вводить и использовать персональные данные пайщиков для оформления договорной документации, анализа кредитной истории при рассмотрении заявки на получение займа, взаимодействия с пайщиками, их доверенными лицами, поручителями, выгодоприобретателями как в период пользования услугами финансовой взаимопомощи, так и  впоследствии – в течение всего периода членства в Кооперативе. Данная категория доступа не разрешает вносить изменения в документы, формируемые и обрабатываемые информационной системой «1С Бухгалтерия».

      Регистрация входа и выхода сотрудников из информационной системы «1С Бухгалтерия» вводится в целях фиксирования количества и характера обращений.

6.7. В параметрах регистрации указываются дата и время входа (выхода) сотрудника, его идентификатор (индивидуальный пароль), результат попытки входа (успешная или неуспешная), вид совершенной операции, номер сформированного документа. Регистрация входа и выхода в информационную систему «1С Бухгалтерия» обеспечивается программными средствами.

      Целостность программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды обеспечивается транслятором и средствами разработки.

6.8. Функции системы защиты персональных данных периодически тестируются по ситуации изменения программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа. На каждое рабочее место устанавливается средство обнаружения вредоносных программ (антивирусная программа Касперского).  

7.   В целях физической охраны ИСПДн:

7.1. Офисные помещения, в которых обрабатываются персональные данные,  оборудованы средствами защиты (металлические решетки на окна и двери,   датчиками охранной и противопожарной безопасности);

7.2. База данных ИСПДн «1С Бухгалтерия» размещается на  сервере, доступ к которому  ограничен физически и программными средствами, что предупреждает возможность прямого (неправомерного или случайного) доступа к базе данных, не уполномоченных на то сотрудников и посторонних лиц;

7.3. В  целях предупреждения риска утраты персональных данных пайщиков в связи с техническими повреждениями оборудования, база данных ИСПДн «1С Бухгалтерия», раз в месяц делается резервная копия  на съемный носитель и переносится в  сейф;

      7.4. Работоспособность сервера   тестируется регулярно консультантом-программистом,   обслуживающим информационную систему «1С Бухгалтерия»

       7.8. Правом доступа к серверу обладает Председатель Правления Кооператива и консультант-программист, обслуживающий информационную систему «1С Бухгалтерия».