Конфиденциальность
8-800-500-96-90 Звонок по России бесплатный с 8:00 до 20:00 по московскому времени
личный кабинет

Конфиденциальность

Политика обработки и защиты персональных данных

Введение

Политика ООО "МКК "Манисто" в отношении обработки и защиты персональных данных (далее — Политика) определяет общую стратегию защиты персональных данных, обрабатываемых в ИСПДн ООО "МКК "Манисто" и формулирует основные принципы и механизмы защиты ПДн Клиентов. Политика является основным руководящим документом ООО "МКК "Манисто", определяющим требования, предъявляемые к обеспечению безопасности ПДн и гарантии такой безопасности. Безопасность персональных данных Клиентов достигается путем полного исключения несанкционированного, в том числе случайного и противоправного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, передача и распространение персональных данных, а также иных несанкционированных действий. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. Настоящий документ разработан в соответствии с требованиями Федерального закона от 27 июля 2006г. № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 11 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

1. Общие положения 1.1. Цель и область применения политики Целью Политики является обеспечение безопасности персональных данных Клиентов, а также реализация положений нормативных правовых актов и иных документов по защите персональных данных. Основными целями обеспечения безопасности персональных данных являются: предотвращение нарушений прав субъекта персональных данных (физического лица) на сохранение конфиденциальности информации, обрабатываемой в ИСПДн ООО "МКК "Манисто";предотвращение искажения или несанкционированной модификации информации, содержащей персональные данные, обрабатываемой в ИСПДн ООО "МКК "Манисто"; предотвращение несанкционированных действий в отношении информации, содержащей персональные данные. Требования настоящей Политики обязательны для всех сотрудников ООО "МКК "Манисто" и распространяются на: автоматизированные системы ООО "МКК "Манисто"; средства телекоммуникаций; информационные ресурсы и носители информации; помещения. Внутренние документы ООО "МКК "Манисто", затрагивающие вопросы, рассматриваемые в данном документе, должны разрабатываться с учетом положений Политики и не противоречить им. Настоящий документ является локальным нормативным актом Общества и вступает в силу с момента подписания Генеральным директором ООО "МКК "Манисто" приказа об утверждении.

1.2. Законодательство Российской Федерации в области персональных данных Основными законодательными и нормативно-правовыми актами Российской Федерации в области персональных данных являются: 1.2.1 Федеральный закон от 12.12.2005 г. №160 «О ратификации конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных». 1.2.2 Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных». 1.2.3 Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». 1.2.4 Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». 1.2.5 Постановление Правительства Российской Федерации от 06.07.2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». 1.2.6 Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 г. №55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных». 1.2.7 Приказ Федеральной службы по техническому и экспортному контролю №58 от 5.02.2010 г. «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных». 1.2.8 Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г. 1.2.9 Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г. 1.2.10 Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/5-144. 1.2.11 Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных. Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/6/6-622.

1.3. Принципы обработки персональных данных Обработка персональных данных осуществляется на основе принципов: 1.3.1 законности целей и способов обработки персональных данных и добросовестности; 1.3.2 соответствия целей обработки персональных данных целям, заранее определенным и

заявленным при сборе персональных данных, а также полномочиям Общества; 1.3.3 соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных; 1.3.4 достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных; 1.3.5 недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

1.4. Способы обработки персональных данных Общество может осуществлять обработку персональных данных с использованием средств автоматизации, а также без использования таких средств.

2. Субъекты персональных данных Обществом (оператором персональных данных) осуществляется обработка персональных данных следующих категорий субъектов персональных данных: Клиенты Общества. 2.1. Цели обработки персональных данных Оценка платежеспособности клиента Общества перед предоставлением клиенту Общества (заемщику) займа.

2.2. Перечень обрабатываемых персональных данных

ФИО, пол, семейное положение, количество детей, иждивенцы, дата и место рождения, паспортные данные, адрес регистрации, адрес фактического проживания, наличие в собственности жилого помещения, контактные телефонные номера, электронная почта, уровень образования, Статус занятости (в общем виде), уровень доходов в месяц, IP адрес, с которого осуществляется доступ к moneysto.ru

2.3. Сроки хранения персональных данных Период хранения и обработки персональных данных определяется в соответствии со ст.21 Закона «О персональных данных». Обработка ПДн начинается с момента поступления персональных данных в ИСПДн и прекращается: в случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления, Общество устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений Общества в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, уничтожает персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Общество уведомляет субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, Общество уведомляет также указанный орган; в случае достижения цели обработки персональных данных Общество незамедлительно прекращает обработку персональных данных и уничтожает соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, и уведомляет об этом субъекта

персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, Общество уведомляет также указанный орган; в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Общество прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва. Об уничтожении персональных данных Общество уведомляет субъекта персональных данных. В случае прекращения деятельности Общества.

3. Категории персональных данных В информационных системах Общества осуществляется обработка следующих категорий персональных данных: категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нём дополнительную информацию; категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных; категория 4 — обезличенные и (или) общедоступные персональные данные.

3.1. Специальные категории персональных данных. Биометрические персональные данные. В информационных системах Общества запрещена обработка следующих персональных данных: специальных категорий персональных данных касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости; сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные); персональных данных о частной жизни, о членстве субъектов персональных данных в общественных объединениях или их профсоюзной деятельности. Обработка специальных категорий персональных данных может осуществляться в следующих случаях: субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных; персональные данные являются общедоступными; персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно; обработка персональных данных необходима в связи с осуществлением правосудия; обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации. Обработка специальных категорий персональных данных, осуществлявшаяся в вышеперечисленных случаях, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка. Обработка биометрических персональных данных может осуществляться в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

 

4. Условия обработки персональных данных При обработке персональных данных должны соблюдаться следующие условия:

4.1. Конфиденциальность персональных данных В Обществе документально оформляется перечень сведений конфиденциального характера. В соответствии с Указом Президента Российской Федерации от 06.03.1997 г. №188 «Об утверждении перечня сведений конфиденциального характера», персональные данные относятся к конфиденциальной информации. Обществом и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться полная конфиденциальность таких данных, за исключением следующих случаев: в случае обезличивания персональных данных; в отношении общедоступных персональных данных.

4.2. Поручение обработки персональных данных третьему лицу В случае, если Клиент дает свое согласие на предоставление персональных данных третьему лицу, Общество на основании договора поручает обработку персональных данных такому третьему лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке. Контроль выполнения настоящего требования осуществляет Генеральный директор Общества. Ответственность третьего лица в данном случае сопряжена с ответственностью Общества.

4.3. Хранение и уничтожение персональных данных Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат незамедлительному уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Для уничтожения персональных данных, приказом Генерального директора учреждается специальная комиссия по уничтожению персональных данных. Уничтожение персональных данных оформляется соответствующим актом. Уничтожение персональных данных осуществляется таким образом, который гарантирует невозможность их восстановления. Места хранения материальных носителей персональных данных утверждаются приказом Генерального директора и должно гарантировать безопасность такого хранения и отсутствие возможности получения несанкционированного доступа к таким данным.

4.4. Обработка персональных данных в целях продвижения товаров, работ, услуг Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, допускается только при условии предварительного письменного согласия субъекта персональных данных.

4.5. Трансграничная передача персональных данных Обществом может осуществляться трансграничная передача персональных данных. Для осуществления трансграничной передачи персональных данных необходимо получить

согласие субъекта персональных данных в письменной форме. Трансграничная передача персональных данных может осуществляться без согласия субъекта персональных данных только в случаях: исполнения договора, стороной которого является субъект персональных данных, и условия которого недвусмысленно требуют осуществления трансграничной передачи персональных данных; защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности своевременного получения согласия в письменной форме субъекта персональных данных.

5. Общие требования по организации защиты персональных данных

5.1. Общие положения Организация работ по обеспечению безопасности персональных данных осуществляется Генеральным директором Общества. В целях разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах Общества, приказом Генерального директора назначаться лицо, ответственное за обеспечение безопасности персональных данных. Разработка и осуществление мероприятий по обеспечению безопасности персональных данных может осуществляться также сторонними организациями на договорной основе. В таких случаях указанные организации должны иметь лицензии на право проведения соответствующих работ. Приказом Генерального директора Общества назначаются ответственные лица по работе с персональными данными. Лица, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного соответствующим актом, который подписывается Генеральным директором Общества.

5.2. Мероприятия по обеспечению безопасности персональных данных при осуществлении автоматизированной обработки. 5.2.1. Система защиты персональных данных Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью специально разработанной системы защиты персональных данных, включающей организационные меры и технические средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. При обработке персональных данных в информационных системах Общества должно быть обеспечено: проведение мероприятий, направленных на предотвращение любых возможностей осуществления несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим в соответствии с соответствующими документами подтвержденного права доступа к такой информации; своевременное обнаружение фактов несанкционированного доступа к персональным данным; недопущение как физического, так и информационного воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование; возможность незамедлительного и полного восстановления всех

персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; при этом, необходимо гарантировать, что резервные копии, обеспечивающие возможность мгновенного восстановления таких данных, защищены не хуже, чем оригиналы.постоянный контроль за обеспечением уровня защищенности персональных данных. 5.2.2. Перечень мероприятий по обеспечению безопасности персональных данных Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: определение потенциально возможных угроз безопасности персональных данных, возникающих при их обработке, формирование на их основе модели угроз в целя их предотвращения; разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием современных проверенных методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем; регулярную проверку готовности средств защиты информации к использованию с составлением письменных заключений о возможности их эксплуатации; своевременную установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией; обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними; учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных; учет лиц, допущенных к работе с персональными данными в информационной системе, проверка уровней их доступа к информационным данным; контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией; разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести или привели к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; описание системы защиты персональных данных. 5.2.3. Классификация информационных систем персональных данных Все информационные системы персональных данных Общества подлежат обязательной классификации. Для проведения классификации информационных систем персональных данных Компании приказом Генерального директора Общества назначается специальная комиссия. Результаты классификации оформляются соответствующим актом. 5.2.4. Помещения, в которых ведется обработка персональных данных Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать полную сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц, не имеющих задокументированного права такого пребывания.

5.3. Контроль и надзор за выполнением требований настоящей Политики

Контроль и надзор за выполнением требований настоящей Политики осуществляется в соответствии с применяемым «Планом внутренних проверок состояния защиты персональных данных». Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер. Он может проводиться структурным подразделением, ответственным за обеспечение безопасности персональных данных, или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите конфиденциальной информации.

5.4. Финансирование мероприятий по обеспечению безопасности персональных данных Финансирование мероприятий по обеспечению безопасности персональных данных осуществляется за счет средств Общества и предусматривается бюджетом Общества.

6. Ответственность за нарушение требований настоящей политики

Лица, чьи действия привели к нарушению нормативно-правовых актов в отношении защиты персональных данных, в зависимости от степени их виновности и нарушенных актов несут гражданскую, дисциплинарную и уголовную ответственность.

 

Укажите сумму руб.
1500 руб. 50000 руб.
На какой срок дней
5 дней 31 день
Берёте
4000 руб.
На срок до
18 апреля
Возвращаете
4130 руб.