ФЗ №152 О персональных данных                                                                             

 

 

 

     УТВЕРЖДЕНО

                                                                                                                                                                              Решением Общего собрания  КПК «ЮРТ» 

                                                                              Протокол №18 от 15 ноября 2014г.

 

 

                                                                                                      ПОРЯДОК

ЗАЩИТЫ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

 КРЕДИТНОГО ПОТРЕБИТЕЛЬСКОГО КООПЕРАТИВА

«ЮРТ » 

 

 

 

 

  

                                                                                                            г. Белогорск

2014 год

 

 1. Основные понятия, используемые в настоящем Порядке

1.1.Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе:

1.1.1.фамилия, имя, отчество,

1.1.2.год, месяц, дата и место рождения,

1.1.3.адрес,

1.1.4.семейное, социальное, имущественное положение,

1.1.5.образование,

1.1.6.профессия,

1.1.7.доходы,

1.1.8.другая информация.

   Под физическим лицом применительно к Порядку понимается также любое физическое лицо, уполномоченное в порядке, предусмотренном Гражданским Кодексом РФ, представлять юридическое лицо и осуществлять его права и обязанности во взаимоотношениях с кредитным потребительским кооперативом «ЮРТ» «далее кредитный кооператив).

1.2. Субъекты персональных данных – лица, чьи данные хранятся и обрабатываются кредитным кооперативом в процессе осуществления им своей деятельности. Порядок распространяется на следующие категории субъектов персональных данных:

1.2.1 Пайщик – физическое лицо, являющееся или ранее являвшееся членами кредитного  кооператива;

1.2.2. Работник –лицо, состоящее в трудовых отношениях с  кредитным кооперативом;

1.2.3. Индивидуальный предприниматель –лицо, выполняющее для кредитного кооператива работы и услуги по договорам гражданско-правового характера;

1.2.4. Поручитель- лицо, принявшее на себя обязанность обеспечить обязательства пайщика по полученному им займу;

1.2.5. Доверенное лицо– лицо, уполномоченное представлять во взаимодействии с кредитным кооперативом интересы пайщиков или третьих лиц;

1.2.6.Иные лица– лица, персональные данные которых могут обрабатываться кредитным кооперативом в связи с осуществлением им своей деятельности.

1.3.Оператор– кредитный кооператив, организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели и содержание обработки персональных данных.

1.4.Обработка персональных данных- действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

1.5. Распространение персональных данных- действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

1.6. Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

1.7. Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

 

1.8. Уничтожение персональных данных- действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

1.9. Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

1.10. Материальный носитель персональных данных – бумажный или магнитный (съемный) носитель информации, на котором хранится, уточняется, изменяется, дополняется, блокируется и уничтожается информация о персональных данных субъектов персональных данных.

1.11. Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

1.12.Технические средства, позволяющие осуществлять обработку персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных, программные средства (операционные системы и системы управления базами данных), средства защиты информации, применяемые в информационных системах.

1.13. Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания

 

2. Режим обработки персональных данных

 

2.1. Обработка персональных данных в кредитном кооперативе осуществляется на основе  следующих   принципов:                                                                                                                                                 

 2.1.1. Законности целей и способов обработки персональных данных и добросовестности;                                                                                              2.1.2. Соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных в соответствии определенными законодательством и Уставом полномочиями и обязанностями кредитного кооператива;                                                              2.1.3. Соответствия объема и характера обрабатываемых персональных данных и способов их обработки установленным целям обработки персональных данных.                                                                   2.1.4. Достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

2.1.5. Недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

2.2. Состав персональных данных, предоставляемых кредитному кооперативу субъектами персональных данных, определяется законодательством и уставом кредитного кооператива по каждой категории субъектов персональных данных, установленной пунктом 1.2 данного Порядка.       

2.3. Хранение и обработка персональных данных субъекта персональных данных, учитываемых в информационных базах данных кредитного кооператива, осуществляется в целях его идентификации, ведения истории и оценки характера взаимоотношений с кредитным кооперативом.

2.4. Список работников и индивидуальных предпринимателей, имеющих право доступа к информационной системе и персональным данным определенной категории субъектов персональных данных, либо к определенным информационным массивам (базам данных), определяется председателем кредитного кооператива в соответствии с функциональными и должностными полномочиями и обязанностями сотрудников и условиями договоров, заключенных с индивидуальными   предпринимателями.   

2.5. Цели и способы обработки кредитным кооперативом персональных данных разъясняются субъектам персональных данных. Все обрабатываемые персональные данные кредитный кооператив получает исключительно от самих субъектов персональных данных. Не допускается сбор и обработка персональных данных о субъекте персональных данных, полученных от третьих лиц, за исключением случаев, когда получение таких данных предусмотрено Уставом кредитного кооператива для осуществления своей уставной деятельности и в соответствии с законодательством.

2.6. Обработка персональных данных в кредитном кооперативе признается осуществленной без использования средств автоматизации, поскольку осуществляется при непосредственном участии уполномоченных на то сотрудников кредитного кооператива.                                                                    2.7. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.                                    2.8. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, информируются о факте обработки ими персональных данных, обработка которых осуществляется кредитным кооперативом без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами кредитного кооператива.                        

2.9. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, кредитным кооперативом принимаются меры по обеспечению раздельной обработки персональных данных.                                                                                                           

2.10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).                                               2.11. Правила, предусмотренные пунктами 2.9 и 2.10  Порядка, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными   данными.                                                                                                                

2.12. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

2.13. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.                                                                            

2.14. Кредитный кооператив обеспечивает раздельное хранение персональных данных (материальных носителей), по категориям субъектов персональных данных, обработка которых осуществляется в различных целях. При совпадении целей обработки персональных данных допускается совместное хранение персональных данных различных субъектов.                      

2.15. Кредитный кооператив не осуществляет исключительно автоматизированную обработку персональных данных субъектов персональных данных, порождающую для них какие-то бы  ни было юридические последствия                                                                                

2.16. Исключительно автоматизированная обработка персональных данных может осуществляться кредитным кооперативом обезличенно в целях статистического и социологического анализа по определенным критериям (пол, возрастная группа, территориальный признак, характер  деятельности и пр).

 2.17. Обработка персональных данных осуществляется кредитным кооперативом с письменного согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона от 27 июля 2006 года №152 - ФЗ «О  персональных данных».               

2.18. Письменное согласие субъекта на обработку его персональных данных может оформляться отдельным документом, либо включено в общий документ, оформляющий условия взаимоотношений субъекта персональных данных с кредитным кооперативом. Документ, в котором письменно подтверждается согласие субъекта на обработку его персональных данных кредитным кооперативом, должен содержать:

2.18.1. ФИО, адрес регистрации (прописки), данные основного документа, удостоверяющего личность, сведения о дате его выдачи, и выдавшем органе;

2.18.2.Описание цели обработки персональных данных;

2.18.3. Перечень персональных данных, на обработку которых субъектом персональных данных дается согласие;

2.18.4. Перечень действий с персональными данными субъекта персональных данных, на совершение которых дается согласие, либо согласие на общий характер действий с персональными данными, происходящими из существа взаимоотношений субъекта персональных данных с кредитным кооперативом;

2.18.5. Срок действия согласия субъекта персональных данных и порядок отзыва им согласия на обработку его персональных данных;

2.18.6. Собственноручная подпись субъекта персональных данных (при этом равнозначным содержащему собственноручную подпись субъекта персональных данных на бумажном носителе признается согласие в форме электронного документа, подписанного электронной цифровой подписью в случаях, предусмотренных действующим законодательством).                           2.19. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на кредитный кооператив.                                2.20. Согласие на обработку персональных данных может быть письменно отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных кредитный кооператив вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27 июля 2006 года №152-ФЗ  «О персональных данных».                          2.21. Кредитным кооперативом обеспечивается конфиденциальность обрабатываемых им персональных данных.

2.22. Любой субъект персональных данных имеет право на ознакомление со своими персональными данными в объеме, установленном законодательством и содержащимся в базах данных кредитного кооператива. Сведения о наличии персональных данных по запросам субъектов персональных данных предоставляются кредитным кооперативом в форме справки. В такой справке не могут содержаться персональные данные других субъектов. При получении запроса субъекта персональных данных о предоставлении ему его личных персональных данных, кредитный кооператив идентифицирует этого субъекта персональных данных по учтенным в информационных базах кредитного кооператива идентификационным данным и, в случае необходимости, может запросить дополнительные документы, удостоверяющие личность этого субъекта.                                                                                                                                              

2.23. При заявлении требования о предоставлении кредитным кооперативом своих персональных данных субъект персональных данных имеет право на получение дополнительной информации, в том числе:

2.23.1.О способах обработки персональных данных, применяемых кредитным кооперативом;     

2.23.2.О сотрудниках кредитного кооператива, имеющих доступ к персональным данным и/или которым может быть предоставлен такой доступ;                                                                            

2.23.3.О перечне обрабатываемых персональных данных и источнике их получения;         

2.23.4.О сроках обработки и хранения персональных данных;                                               

2.23.5.О юридических для него последствиях, которые может повлечь обработка его персональных данных.

2.24. Все запросы субъектов персональных данных на ознакомление с их персональными данными регистрируются в журнале регистрации и учета обращений субъектов персональных данных.

2.25. Любой субъект персональных данных вправе потребовать от кредитного кооператива уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими или недостоверными.

2.26. Любой субъект персональных данных может обращаться в кредитный кооператив с требованием об изменении, уточнении, уничтожении, ознакомлении, блокировании или иными действиями с его персональными данными лично или через своего законного представителя, полномочия которого подтверждаются в порядке, установленном Гражданским Кодексом РФ.                                                                                                                      

2.27. Обязанность предоставить доказательство о своевременном сообщении кредитному кооперативу сведений обо всех изменениях, произошедших в персональных данных, возлагается на субъектов персональных данных.                                                                                 

2.28. Любой субъект персональных данных вправе обжаловать действия или бездействие кредитного кооператива в уполномоченный орган по защите своих прав в случае, если считает, что Кооператив осуществляет обработку его персональных данных с нарушениями действующего законодательства.

2.29. Все сотрудники кредитного кооператива, в том числе работающие по договорам гражданско-правового характера, вправе инициализировать и выносить на рассмотрение председателя кредитного кооператива свои предложения по совершенствованию системы защиты персональных данных, к которым они имеют доступ.

2.30. Все персональные данные формируются в кредитном кооперативе индивидуально по каждому субъекту персональных данных, и хранятся в архиве кредитного кооператива. Все персональные данные систематизированы по категориям субъектов персональных данных, характеру их взаимоотношений с кооперативом. Документы хранятся в головном офисе кредитного кооператива в  шкафах, расположенных в помещении кассы и находящихся под надзором сотрудников кредитного кооператива, что исключает несанкционированный доступ к месту хранения персональных данных со стороны других субъектов персональных данных и третьих лиц. Правом доступа к персональным данным обладают уполномоченные председателем сотрудники  кредитного кооператива, отвечающие за взаимоотношения кредитного кооператива с данными субъектами персональных данных.

2.31. Приказом по кредитному кооперативу и условиями договоров, заключенных с третьими лицами (в том числе с индивидуальными предпринимателями), все сотрудники кредитного кооператива, в том числе работающие по договорам гражданско–правового характера, расписываются в том, что они предупреждены об условиях конфиденциальности информации, содержащей персональные данные субъектов персональных данных, способах обработки и защиты персональных данных, о недопустимости разглашения такой информации и мерах материальной и дисциплинарной ответственности, применяемых в случае разглашения такой информации, в соответствии с требованиями действующего законодательства.

 

3.Определение класса информационной системы, используемой кредитным кооперативом для обработки    и защиты персональных данных.

3.1. Состав информационной системы, используемой кредитным кооперативом для обработки и защиты   персональных  данных.                                                                                            

Используемая в кредитном кооперативе информационная система включает следующие компоненты:

3.1.1. Программный продукт «1С : Бухгалтерия» (правообладатель -  ООО «1С»);

3.1.2. Программный продукт «Финансы  КПК» (правообладатель -                                                                                                

3.1.3. Программный продукт Антивирусное бесплатное программное обеспечение Microsoft security essentials (правообладатель - «Microsoft»);

3.1.4.Программная операционная система Windows 8 (правообладатель – компания «Мicrosoft»);                                                                                                                                                   

3.2. Исходные данные информационной системы:

3.2.1. В информационной системе одновременно обрабатываются данные менее чем 1500 субъектов персональных данных или субъектов персональных данных в пределах одной конкретной организации – кредитного кооператива);                                                                                                     

3.2.2. По характеристикам безопасности персональных данных информационная система относится к специальным информационным системам, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий);

3.2.3. По структуре информационная система представляет собой комплекс автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные  системы);                                                                                                                      

3.2.4. Информационная система не относится к системам, имеющим наличие подключений к сетям связи общего пользования и сетям международного информационного обмена (интернет);                                                                                                                                                      3.2.5. По режиму обработки персональных данных информационная система является многопользовательской;                                                                                                                               3.2.6. По разграничению прав доступа пользователей информационная система является системой с разграничением прав доступа сотрудников кредитного кооператива в соответствии с их компетенцией;

3.3.Классификация информационной системы.

3.3.1. Информационная система относится к третьему классу информационных систем, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных.

3.3.2. Класс информационной системы может быть пересмотрен по решению кредитного кооператива (оператора) на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменения конкретной информационной системы, а также по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.               

 

3.3.3. В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем