Политика обработки и защиты персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

В целях поддержания деловой репутации и гарантирования выполнения норм федерального законодательства в полном объеме Кредитный Потребительский Кооператив «Капитал Плюс» (далее – Организация), как оператор персональных данных считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
Настоящая Политика разработана в соответствии с частью 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных субъектов персональных данных и предназначено для предоставления неограниченного доступа к информации в отношении обработки персональных данных, а также к сведениям о реализуемых требованиях к защите персональных данных в Организации.
Политика раскрывает основные категории персональных данных, обрабатываемых Организацией, цели, способы и принципы обработки Организацией персональных данных, права и обязанности Организации при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Организацией в целях обеспечения безопасности персональных данных при их обработке, описывает порядок обработки и защиты персональных физических лиц в связи с реализацией трудовых отношений, заключением договоров и исполнением договорных обязательств Организации.
Политика является общедоступным документом, декларирующим концептуальные основы деятельности Организации при обработке персональных данных.
2. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Политика Организации в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами Российской Федерации:
 Конституцией Российской Федерации.
 Трудовым кодексом Российской Федерации.
 Гражданским кодексом Российской Федерации.
 Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
 Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
 Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
 Федеральным законом от 29.11.2010 N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»,
 Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи"
 Постановлением Правительства РФ от 15.09.2008 года № 687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
 Постановлением Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
 иными нормативными и правоприменительными документами в сфере защиты информации.
2.2. Во исполнение норм настоящей Политики руководящий орган Организации утверждает следующие локальные нормативные правовые акты:
 Политику информационной безопасности;
 Журнал учёта обращений субъектов персональных данных;
 Журнал учёта носителей информации;
 Журнал учёта доступа к ПДн;
 Журнал учёта доступа к ИСПДн;
 Схема расположения и конфигурация ИСПДн;
 Акты классификации информационных систем персональных данных;
В Организации назначено лицо, ответственное за обработку и безопасность персональ-ных данных;
 создана Комиссия по контролю за обработкой и защитой персональных дан-ных;
 утвержден список лиц, обрабатывающих персональные данные;
 осуществлены иные действия, направленные на обеспечение безопасности об-работки персональных данных и соблюдения действующего законодательства Российской Федерации в данной сфере.

3. ИНФОРМАЦИЯ ОБ ОРГАНИЗАЦИИ КАК ОПЕРАТОРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Наименование Организации: Кредитный Потребительский Кооператив "Капитал Плюс" (КПК "Капитал Плюс").
ИНН: 6321092798;
Юридический адрес: 445044, Самарская Область, Тольятти Город, Автостроителей Улица, дом 2, кв. 309;
Фактический адрес: 445044, Самарская Область, Тольятти Город, Автостроителей Ули-ца, дом 2, кв. 309;
Тел. +7 (8482) 65-03-31, +7 (937) 237-46-30;
Реестр операторов персональных данных: https://pd.rkn.gov.ru/operators-registry/operators-list/, Регистрационный номер 63-16-001996, Приказ № 89 от 10.06.2016 года.
Ответственным за организацию обработки и обеспечения безопасности персональных данных в КПК «Капитал Плюс» приказом по Организации назначается ответственное лицо.
4. ИНФОРМАЦИЯ ОБ УПОЛНОМОЧЕННОМ ГОСУДАРСТВЕННОМ ОРГАНЕ
Уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Роскомнадзор, Управление по защите прав субъектов персональных данных
Адрес: 109074, г. Москва, Китайгородский пр., д.7, стр.2.
Справочно-информационный центр:
Тел.: +7 (495) 983-33-93
Факс: +7 (495) 587-44-68
Общий электронный адрес Роскомнадзора - rsoc_in@rkn.gov.ru
Сайт: rkn.gov.ru

Территориальный орган Роскомнадзора по Самарской области:
Адрес: 443001, г. Самара, ул. Молодогвардейская, д. 198.
Тел.: +7 (846) 250-05-44.
Факс: +7 (846) 250-05-40.
E-mail: Rsockanc63@rkn.gov.ru
Сайт: 63.rkn.gov.ru

5. ОСНОВНЫЕ ПОНЯТИЯ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, в том числе:
- фамилия, имя, отчество;
- дата и место рождения;
- адрес регистрации, место проживания;
- семейное, социальное, имущественное положение;
- образование, профессия, доходы и т.п.
Также в Политике используются следующие понятия:
Оператор персональных данных – юридическое лицо самостоятельно или совместно с третьими лицами организующее и осуществляющее обработку персональных данных, а также определяющее цели обработки, состав персональных данных и действия с ними;
Субъект персональных данных – физическое лицо, персональные данные которого обрабатываются оператором персональных данных.
Обработка персональных данных – любое действие, совершаемое с персональными данными, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Изменение персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными влекущих уточнение, изменение полностью или в части персональных данных наличествующих на дату осуществления действия по изменению.
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

6. ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ, ПЕРЕДАЧИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Организация в своей деятельности неукоснительно придерживается принципов обработки персональных данных, указанных в статье 5 Федерального закона № 152-ФЗ «О персональных данных», а именно:
 законности и справедливости основы обработки персональных данных, законности целей и способов обработки персональных данных;
 соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Организации;
 соответствия содержания и объема обрабатываемых персональных данных, способов обработки персональных данных заявленным целям обработки персональных данных;
 обеспечения точности, достаточности и актуальности персональных данных по отношению к целям их обработки, недопустимости избыточности обрабатываемых персональных данных по отношению к заявленным целям их обработки;
 недопустимости объединения созданных для несовместимых между собой целей баз данных персональных данных.
6.2. Сбор персональных данных осуществляется у субъекта персональных данных. Если предоставление персональных данных является обязательным в соответствии с законодательством Российской Федерации, субъекту персональных данных, при обращении последнего, разъясняются законодательно установленные юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.
Получение и обработка персональных данных в случаях, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных», осуществляется Организацией с письменного согласия субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного простой электронной подписью.
Согласие на обработку персональных данных может быть дано субъектом персональных данных или его надлежаще уполномоченным представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом № 152-ФЗ «О персональных данных».
Организация вправе обрабатывать персональные данные без согласия субъекта персональных данных (или при отзыве субъектом персональных данных согласия на обработку персональных данных) при наличии оснований, предусмотренных положениями Федерального закона № 152-ФЗ «О персональных данных» и иными Федеральными законами.
Персональные данные субъекта могут быть получены Организацией от лица, не являющегося субъектом персональных данных, при условии предоставления Организации подтверждения наличия оснований, указанных в подпунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ «О персональных данных» или иных оснований, предусмотренных федеральным законодательством. При получении персональных данных у третьей стороны субъект уведомляется об этом.
Получение и обработка специальных категорий персональных данных физического лица, касающихся его расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни не допускается. В случаях, когда обработка таких сведений необходима в связи с исполнением договорных обязательств, они могут быть получены и обработаны только с письменного согласия самого физического лица. Обработка специальных категорий персональных данных, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась такая обработка.
Обработка сведений о состоянии здоровья осуществляется Организацией в соответствии с Трудовым Кодексом, Федеральным Законом «Об обязательном медицинском страховании в Российской Федерации», а также пунктом 2.3 части 2 статьи 10 Федерального закона № 152-ФЗ «О персональных данных».
Организация не обрабатывает сведения, которые характеризуют физиологические особенности субъектов персональных данных и на основе которых можно установить их личность. В соответствии с требованиями ГОСТ Р ИСО/МЭК 19794-5–2006 «Автоматическая идентификация. Идентификация биометрическая. Данные изображения лица» система охранного видеонаблюдения, используемая Организацией, не обрабатывает биометрические персональные данные, на основании которых возможно идентифицировать личность клиента Организации.
При сканировании или ксерокопировании фотографий в документах, идентифицирующих личность субъектов персональных данных (например, в паспортах), данные изображения не соответствуют требованиям, предъявляемым к форматам записи изображения, установленными ГОСТ Р ИСО\ МЭК 19794-5-2006.
В случае если обработка биометрических персональных данных субъекта персональных данных необходима Организации в соответствии с действующим законодательством Российской Федерации или для осуществления деятельности Организации, то такая обработка осуществляется с письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации в области персональных данных. Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных федеральным законом.
Обработка персональных данных осуществляется в случаях, когда получено согласие субъекта на обработку его персональных данных или в иных случаях, предусмотренных законодательством.
Субъект персональных данных принимает решение о предоставлении Организации его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Организацией.
Отдельные согласия на обработку отдельных видов персональных данных могут быть, в случае необходимости их обработки, запрошены к субъекта персональных данных (данные биометрии, данные, разрешенные субъектом персональных данных для распространения, данные, получаемые посредством обращения к единой системе идентификации и аутентификации, и др.).
Обработка персональных данных осуществляется исключительно в целях соблюдения законов и нормативных правовых актов Российской Федерации, заключения договоров и исполнения договорных обязательств.
Обработку персональных данных осуществляют только работники Организации, допущенные к данной работе в установленном порядке.
Персональные данные обрабатываются как на материальных (бумажных) носителях, так и в электронном виде (в информационных системах персональных данных, на машинных носителях).
Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством либо договором, стороной которого является субъект персональных данных.
Сроки обработки персональных данных определяются в соответствие со сроком действия договора с субъектом персональных данных, требованиями законодательства Российской Федерации и нормативными документами Банка России.
В Организации создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в Организации данных типовых форм документов установлены Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Хранение персональных данных осуществляется с учетом обеспечения режима их конфиденциальности.
Персональные данные уничтожаются либо обезличиваются по достижении целей обработки или по истечении срока хранения, установленного договором между субъектом персональных данных и Организации или иным документом, устанавливающим срок обработки персональных данных.
Право доступа к персональным данным, обрабатываемым в Организации, имеют:
 Председатель Правления;
 Ответственный за обработку персональных данных в Организации;
 Ответственный за обеспечение безопасности персональных данных в Организации;
 работники Организации, для которых обработка персональных данных прямо необходима в связи с исполнением их должностных обязанностей. Допуск работников к персональным данным осуществляется руководством в установленном порядке.

7. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Организация обрабатывает персональные данные в следующих целях:
1. Рассмотрение возможности вступления в кооператив, в период членства и по завершению членства в соответствии с правами, предоставленными Органи-зации, Федеральным законом № 190-ФЗ от 18.09.2009 «О кредитной коопера-ции»;
Категории персональных данных(Персональные данные):
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; фото-видео изображение лица; данные голоса человека;
Категории субъектов, персональные данные которых обрабатываются:
Контрагенты; Представители контрагентов; Клиенты; Посетители сайта; Выгодоприобретатели по договорам; Законные представители;
Правовое основание обработки персональных данных:
обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
Перечень действий:
сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; удаление; уничтожение; распространение;
Способы обработки:
смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет;
2. Рассмотрение возможности совершения финансовых операций и/или сделок (получение займа, размещения личных сбережений и т.д.) и совершение таких операций и/или сделок в соответствии с правами, предоставленными Организации Федеральным законом № 353-ФЗ от 21.12.2013 «О потребительском кредите (займе)», Федеральным законом № 190-ФЗ от 18.09.2009 «О кредитной кооперации», информации в государственный реестр кредитных потребительских кооперативов Банка России
Категории персональных данных(Персональные данные):
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; фото-видео изображение лица; данные голоса человека;
Категории субъектов, персональные данные которых обрабатываются:
Контрагенты; Представители контрагентов; Клиенты; Посетители сайта; Выгодоприобретатели по договорам; Законные представители;
Правовое основание обработки персональных данных:
обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект
персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных;
Перечень действий:
сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; удаление; уничтожение; распространение;
Способы обработки:
смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет;
3. Рассмотрение возможности установления договорных отношений и заключение таковых с субъектом персональных данных по его инициативе с целью дальнейшего предоставления финансовых и иных услуг путем заключения договора, одной из сторон которого, либо выгодоприобретателем по которому является субъект персональных данных
Категории персональных данных(Персональные данные):
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; фото-видео изображение лица; данные голоса человека;
Категории субъектов, персональные данные которых обрабатываются:
Контрагенты; Представители контрагентов; Клиенты; Посетители сайта; Выгодоприобретатели по договорам; Законные представители;
Правовое основание обработки персональных данных:
обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект
персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных;
Перечень действий:
сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение; распространение;
Способы обработки:
смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет;
4. Проведение мероприятий по урегулированию заявлений, претензий, со-общений субъектов персональных данных по вопросам качества обслуживания, предоставления продуктов, деятельности каналов продаж, и Базовых стандартов регулирующих деятельность кредитных потребительских кооперативов;
Категории персональных данных (Персональные данные):
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное поло-жение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные до-кумента, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; реквизиты бан-ковской карты; номер расчетного счета; номер лицевого счета; сведения о тру-довой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); фото-видео изображение лица; данные голоса человека;
Категории субъектов, персональные данные которых обрабатываются:
Контрагенты; Представители контрагентов; Клиенты; Выгодоприобретатели по договорам; Законные представители;
Правовое основание обработки персональных данных:
обработка персональных данных осуществляется с согласия субъекта персо-нальных данных на обработку его персональных данных; обработка персо-нальных данных необходима для достижения целей, предусмотренных между-народным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на опе-ратора функций, полномочий и обязанностей; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных; обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
Перечень действий:
сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение; распространение;
Способы обработки:
смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет;
5. Формирование аналитических данных посетителей сайта Организации по средствам метрической программы «Яндекс.Метрика» (в соответствии с Условиями использования сервиса https://yandex.ru/legal/metrica_termsofuse) и посетителей сообщества Организации по внутренним средствам сервиса «ВКонтакте» в целях маркетинговых исследований;
Категории персональных данных (Персональные данные):
сведения, собираемые посредством метрических программ;
Категории субъектов, персональные данные которых обрабатываются:
Клиенты; Контрагенты; Посетители сайта;
Правовое основание обработки персональных данных:
обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
Перечень действий:
сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение; распространение;
Способы обработки:
автоматизированная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет;
6. Предоставление сведений уведомительного или маркетингового характе-ра, в том числе, о новых финансовых продуктах, услугах, проводимых акциях, мероприятиях (по которым имеется предварительное согласие субъекта персо-нальных данных на их получение);
Категории персональных данных (Персональные данные):
фамилия, имя, отчество; адрес электронной почты; номер телефона; сведения, собираемые посредством метрических программ;
Категории субъектов, персональные данные которых обрабатываются:
Контрагенты; Представители контрагентов; Клиенты; Посетители сайта; Выго-доприобретатели по договорам;
Правовое основание обработки персональных данных:
обработка персональных данных осуществляется с согласия субъекта персо-нальных данных на обработку его персональных данных;
Перечень действий:
сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение; распространение;
Способы обработки:
смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет;
7. Формирование и получение данных о кредитной истории в соответствии с Федеральным законом № 218-ФЗ от 30.12.2004 «О кредитных историях»;
Категории персональных данных (Персональные данные):
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; доходы; пол; адрес электронной почты; адрес места жительства; ад-рес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные доку-мента, удостоверяющего личность; данные водительского удостоверения; дан-ные документа, удостоверяющего личность за пределами Российской Федера-ции; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, дан-ные о трудовой занятости на текущее время с указанием наименования и рас-четного счета организации);
Категории субъектов, персональные данные которых обрабатываются:
Соискатели; Контрагенты; Представители контрагентов; Клиенты; Посетители сайта; Выгодоприобретатели по договорам;
Правовое основание обработки персональных данных:
обработка персональных данных осуществляется с согласия субъекта персо-нальных данных на обработку его персональных данных; обработка персо-нальных данных необходима для достижения целей, предусмотренных между-народным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на опе-ратора функций, полномочий и обязанностей;
Перечень действий:
сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение; распространение;
Способы обработки:
автоматизированная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет;
8. Проведение мероприятий по противодействию легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма, экстре-мистской деятельности и распространению оружия массового уничтожения в со-ответствии с Федеральным законом № 115-ФЗ от 07.08.2001 «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
Категории персональных данных (Персональные данные):
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное поло-жение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные до-кумента, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; реквизиты бан-ковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, дан-ные о трудовой занятости на текущее время с указан нем наименования и рас-четного счета организации); фото-видео изображение лица; данные голоса че-ловека;
Категории субъектов, персональные данные которых обрабатываются:
Контрагенты; Представители контрагентов; Клиенты; Выгодоприобретатели по договорам;
Правовое основание обработки персональных данных:
обработка персональных данных необходима для достижения целей, преду-смотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
Перечень действий:
сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение; распространение;
Способы обработки:
смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет;
9. Передача Организацией персональных данных или поручение их обработки третьим лицам в соответствии с действующим законодательством;
Категории персональных данных(Персональные данные):
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; фото-видео изображение лица; данные голоса человека;
Категории субъектов, персональные данные которых обрабатываются:
Контрагенты; Представители контрагентов; Клиенты; Посетители сайта; Выгодоприобретатели по договорам; Законные представители;
Правовое основание обработки персональных данных:
обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект
персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных;
Перечень действий:
сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение; распространение;
Способы обработки:
смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет;
10. Предоставление отчетности государственным надзорным органам, саморегулируемую организацию в сфере финансового рынка осуществляющей контроль за соблюдением кредитными потребительскими кооперативами, членом которой является Организация в соответствии с требованиями действующего законодательства Российской Федерации;
Категории персональных данных(Персональные данные):
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения об образовании; фото-видео изображение лица; данные голоса человека;
Категории субъектов, персональные данные которых обрабатываются:
Работники; Контрагенты; Представители контрагентов; Клиенты; Посетители сайта; Выгодоприобретатели по договорам; Законные представители;
Правовое основание обработки персональных данных:
обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
Перечень действий:
сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; удаление; уничтожение; распространение;
Способы обработки:
смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет;
11. Рассмотрение возможности заключения трудового соглашения/договора с субъектом персональных данных;
Категории персональных данных (Персональные данные):
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; фото-видео изображение лица;
Категории субъектов, персональные данные которых обрабатываются:
Соискатели;
Правовое основание обработки персональных данных:
обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
Перечень действий:
сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; уничтожение; распространение;
Способы обработки:
смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет;
12. Регулирование трудовых (гражданско-правовых) отношений субъекта персональных данных с Организацией (обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества работника и Организации как работодателя);
Категории персональных данных (Персональные данные):
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; фото-видео изображение лица;
Категории субъектов, персональные данные которых обрабатываются:
Работники; Соискатели; Родственники работников; Уволенные работники; Контрагенты; Представители контрагентов;
Правовое основание обработки персональных данных:
обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
Перечень действий:
сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение; распространение;
Способы обработки:
смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет;
13. Заключение и исполнение договоров с субъектами персональных данных и/или реализация совместных проектов;
Категории персональных данных(Персональные данные):
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; фото-видео изображение лица; данные голоса человека;
Категории субъектов, персональные данные которых обрабатываются:
Контрагенты; Представители контрагентов; Клиенты; Посетители сайта; Выгодоприобретатели по договорам; Законные представители;
Правовое основание обработки персональных данных:
обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект
персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных;
Перечень действий:
сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение; распространение;
Способы обработки:
смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет;
14. осуществление иных функций, полномочий и обязанностей, возложенных на Организацию действующим законодательством Российской Федерации.
Осуществляется по категориям, правовым основаниям, способом обработки и перечнем действий в соответствии требованиями законодательства Российской Федерации, но в объёмах не более указанных п. 1-13.

8. КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
В информационных системах персональных данных Организации обрабатываются следующие категории персональных данных:
 персональные данные работников Организации;
 персональные данные физических лиц, предоставивших свои персональные данные в связи с заключением договора потребительского кредита (займа), договора обеспечения, иных договоров (соглашений), в соответствии с условиями которых, Организация предоставляет физическому лицу финансовые услуги, иные услуги, а также все иные договоры (соглашения), которые заключаются или могут быть заключены в будущем между Организацией и физическим лицом, и т.д., а также физических лиц, предоставивших свои персональные данные в связи с заключением юридическим лицом, представителем, работником, исполнительным органом, участником которого они являются договоров, которые заключаются или могут быть заключены в будущем между Организацией и юридическим лицом;
 персональные данные физических лиц, обратившихся к Организации в целях трудоустройства и предоставивших свои персональные данные;
 персональные данные физических лиц, являющихся аффилированными лицами Организации или руководителями, участниками (акционерами), аудиторами/ревизорами или работниками юридического лица, являющегося аффилированным лицом по отношению к Организации;
 персональные данные физических лиц, являющихся посетителями Организации или обратившихся к Организации с запросом любого характера, и предоставивших в связи с этим свои персональные данные. Источники получения: субъекты персональных данных Организации.

9. ТРЕТЬИ ЛИЦА, УЧАСТВУЮЩИЕ В ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Организация в ходе своей деятельности предоставляет персональные данные следующим организациям:
 Федеральной налоговой службе;
 Социальному фонду России;
 Негосударственным пенсионным фондам;
 Страховым компаниям;
 Кредитным организациям;
 Регулирующим, надзорным органам и/или контролирующим органам государственной власти и местного самоуправления;
 Бюро кредитных историй;
 Саморегулируемым организациям;
 Организации(лицу) осуществляющей сопровождение деятельности.
Передача персональных данных третьему лицу осуществляется только с согласия субъекта персональных данных или в случаях, прямо предусмотренных законодательством Российской Федерации, а также условиями договора, заключенного субъектом персональных данных с Организацией.
Организация вправе поручить обработку персональных данных третьей стороне с согласия субъекта персональных данных и в иных случаях, предусмотренных действующим законодательством Российской Федерации, на основании заключаемого с этой стороной договора, (далее по тексту – поручение). Третья сторона, осуществляющая обработку персональных данных по поручению Организации, обязана соблюдать принципы и правила обработки персональных данных, предусмотренные Федерального закона № 152-ФЗ «О персональных данных», обеспечивая конфиденциальность и безопасность персональных данных при их обработке.
Передача персональных данных на территории иностранных государств, являющихся сторонами Страсбургской Конвенции от 28.01.1981, или находящихся в перечне, утвержденном Приказом Роскомнадзора от 15.03.2013 N 274, а также в соответствии с пунктом 4 статьи 12 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» осуществляется Организацией в случаях, необходимых для исполнения договора, стороной которого является субъект персональных данных.
Раскрытие персональных данных третьему лицу в коммерческих целях без согласия соответствующего субъекта персональных данных запрещено. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации осуществляется только при условии предварительного согласия на это субъекта персональных данных.

10. ЗАЩИТА И ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. При обработке персональных данных Организацией принимаются все необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в соответствии с требованиями статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
 назначением ответственных за организацию обработки персональных данных;
 осуществлением внутреннего контроля на соответствие обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам;
 ознакомлением работников Организации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучением указанных работников;
 оценкой вреда в соответствии с требованиями, установленными уполномочен-ным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных, соотношение указанного вреда и принимаемых Организацией мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством о защите персональных данных;
 определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
 применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
 применением прошедших в установленном порядке процедуру оценки соот-ветствия средств защиты информации;
 применением для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
 оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
 учетом бумажных и машинных носителей персональных данных;
 обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
 восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
 установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
 контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
10.2. Для выявления и предотвращения нарушений, предусмотренных законода-тельством Российской Федерации в сфере персональных данных, в Организации ис-пользуются следующие процедуры:
 Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
 Оценка вреда, который может быть причинен субъектам персональных дан-ных;
 Ознакомление работников, непосредственно осуществляющих обработку пер-сональных данных, с законодательством Российской Федерации о персональ-ных данных, в том числе с требованиями к защите персональных данных, настоящей Политики и (или) обучение по соответствующим дополнительным профессиональным программам;
 Осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленными законодательством Российской Федерации в сфере персональных данных;
 Обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отно-шению к целям обработки персональных данных.
 Ограничение обработки персональных данных достижением конкретных, за-ранее определенных и законных целей.
 Ограничение сроков хранения в форме, позволяющей определить субъекта персональных данных, требованиями цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным зако-ном, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
 Уничтожение либо обезличивание по достижении целей обработки или в слу-чае утраты необходимости в достижении этих целей, если иное не предусмот-рено федеральным законом.
10.3. Обязанности должностных лиц, осуществляющих обработку и обеспечение безопасности персональных данных, а также их ответственность, определяются законодательством Российской Федерации и локальными нормативными актами Организации.
11. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Субъект персональных данных имеет право
 на получение сведений об обработке его персональных данных Организацией;
 требовать от Организации, которая их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
 обратиться к Организации с обращением, в том числе с жалобой. Организация тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке;
 обжаловать действия или бездействие Организации путем обращения в уполномоченный орган по защите прав субъектов персональных данных;
 на защиту своих прав и законных интересов, в том числе на обеспечение конфиденциальности информации о его персональных данных и на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
Любой субъект, персональные данные которого обрабатываются в Организации, имеет право доступа к своим персональным данным, в том числе к следующей информации:
 подтверждение факта обработки его персональных данных;
 правовые основания и цели обработки его персональных данных;
 цели и применяемые оператором персональных данных способы обработки персональных данных;
 наименование и место нахождения оператора, сведения о лицах, которые имеют доступ к персональным данным (за исключением работников оператора) или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании законодательства;
 перечень обрабатываемых персональных данных, относящиеся к соответствующему субъекту, и источник их получения;
 сроки обработки персональных данных и сроки их хранения;
 порядок осуществления субъектом прав, предусмотренных законодательством;
 наименование лица, осуществляющего обработку персональных данных по поручению оператора, в случае если обработка поручена третьему лицу;
 информацию о способах исполнения оператором обязанностей, предусмотрен-ных законодательством о защите персональных данных;
 иные сведения, предусмотренные законодательством.
Указанные сведения предоставляются субъекту персональных данных или его пред-ставителю Организацией в течение десяти рабочих дней с момента обращения либо получе-ния Организацией запроса субъекта персональных данных или его представителя. Указан-ный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Организацией в адрес субъекта персональных данных мотивированного уведомления с ука-занием причин продления срока предоставления запрашиваемой информации. Запрос может быть направлен в форме электронного документа.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в случаях если:
 обработка персональных данных, включая те, что получены в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, выполняется в целях укрепления обороны страны, обеспечения безопасности государства и охраны правопорядка;
 обработка персональных данных производится органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, когда допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
 обработка персональных данных выполняется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и распространению оружия массового уничтожения;
 доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
 обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Организация обязана осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки.
В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Организация обязана осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных оператор обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий десяти дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.
В случае обращения субъекта персональных данных к Организации с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных законодательством. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, Организация осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
Организация при эксплуатации системы обязана:
1. Провести классификацию ИСПДн с оформлением соответствующего акта.
2. Реализовать комплекс мер по защите персональных данных в соответствии с перечисленными правовыми актами и методическими документами.
3. Провести оценку соответствия ИСПДн требованиям безопасности в форме сертификации (аттестации) или декларирования соответствия.
Решение поставленных задач достигается совместной работой подразделений Организации.
Организация самостоятельно в своей Политике информационной безопасности определяет актуальные уровни угроз безопасности персональных данных. В случае необходимости, по требованию заинтересованных работников Организации, участвующих в обработке персональных данных, по распоряжению руководства Организации производится разработка собственной частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных Организации.

12. ОТВЕТСТВЕННОСТЬ
За нарушение требований, установленных законодательством Российской Федерации, Политикой и другими локальными актами Организации, работники и иные лица, получившие доступ к персональным данным, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с федеральными законами Российской Федерации.

13. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Настоящая Политика вступает в силу с момента его утверждения и действует бессрочно. Изменения в Политику вносятся отдельными локальными нормативными актами Организации.
Настоящая Политика утверждается руководящим органом Организации.
В соответствии с положениями пункта 2 статьи 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Организация обязана обеспечить неограниченный доступ к настоящей Политики, а также обеспечить возможность неограниченного доступа к указанному документу с использованием средств информационно-телекоммуникационной сети «Интернет» всех заинтересованных лиц, в том числе субъектов персональных данных и органов власти, осуществляющих контрольно-надзорную функцию в области персональных данных.
Настоящая Политика подлежит изменению, дополнению в случае внесения изменений в действующие законодательные акты и появления новых законодательных актов, и специальных нормативных документов по обработке и защите персональных данных.
Контроль исполнения требований настоящей Политики осуществляется ответственным за обработкой и обеспечение безопасности персональных данных Организации.
Ответственность должностных лиц Организации, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации, и внутренними документами Организации.