Политика обработки персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика обработки персональных данных в Саморегулируемой организации Союз микрофинансовых организаций «Микрофинансирование и Развитие» (далее – Политика, СРО «МиР» соответственно) разработана с целью обеспечения защиты прав физических лиц – субъектов персональных данных при обработке относящихся к ним персональных данных, защиты персональных данных субъектов персональных данных от несанкционированного доступа и разглашения а также установления ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований законодательства и локальных актов СРО «МиР» в области персональных данных, и определяет порядок получения, обработки и защиты персональных данных субъектов персональных данных в СРО «МиР». Настоящая Политика определяет принципы и цели обработки персональных данных субъектов персональных данных в СРО «МиР».

1.2. Настоящая Политика также определяет, каким образом СРО «МиР» собирает, использует, хранит и раскрывает информацию, полученную от пользователей веб-сайта СРО «МиР» https://npmir.ru/. Настоящая Политика относится к указанному сайту, всем поддоменам сайта и всем функциям, предлагаемым сайтом, а также программному обеспечению, используемому СРО «МиР» для обмена информацией, аккаунтам и каналам, созданным СРО «МиР» в социальных сетях и мессенджерах. Дополнительные правила обработки персональных данных на портале doc.sromir.ru, являющимся поддоменом сайта https://npmir.ru/, а также ко всем сайтам третьего уровня, имеющим в своем доменном имени сочетание имени и доменной зоны doc.sromir.ru, изложены в Приложении 1 к настоящей Политике.

1.3. Персональные данные являются конфиденциальной информацией, и на них распространяются все требования, установленные внутренними документами СРО «МиР» к защите конфиденциальной информации.

1.4. Настоящая Политика разработана в соответствии со следующими актами:

Конституцией Российской Федерации;
Трудовым кодексом Российской Федерации;
Федеральным законом от 27.06.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ);
Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральным законом от 02.07.2010 № 151-ФЗ «О микрофинансовой деятельности и микрофинансовых организациях» (далее – Закон № 151-ФЗ);
Федеральным законом от 13.07.2015 № 223-ФЗ «О саморегулируемых организациях в сфере финансового рынка» (далее – Закон 223-ФЗ);
Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Уставом СРО «МиР»;
иными документами.

1.5. Требования, изложенные в настоящей Политике, являются обязательными для исполнения всеми работниками СРО «МиР», которые имеют или могут получить доступ к персональным данным в связи с исполнением ими своих должностных обязанностей.

1.6. СРО «МиР» в своей деятельности неукоснительно придерживается принципов обработки персональных данных, изложенных в статье 5 Закона 152-ФЗ, а именно:

законности и справедливости основы обработки персональных данных, законности целей и способов обработки персональных данных;
соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям СРО «МиР»;
соответствия содержания и объема обрабатываемых персональных данных, способов обработки персональных данных заявленным целям обработки персональных данных;
обеспечения точности, достаточности и актуальности персональных данных по отношению к целям их обработки, недопустимости избыточности обрабатываемых персональных данных по отношению к заявленным целям их обработки;
недопустимости объединения созданных для несовместимых между собой целей баз данных персональных данных.

2. КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЦЕЛИ И СРОКИ ИХ ОБРАБОТКИ

2.1. СРО «МиР» обрабатывает персональные данные следующих субъектов персональных данных:

2.1.1. Персональные данные работников СРО «МиР» и кандидатов на замещение вакантных должностей в СРО «МиР» – информация, необходимая СРО «МиР» для выполнения своих обязанностей работодателя в связи с трудовыми отношениями, обеспечения правил пропускного режима в офис СРО «МиР»;

2.1.2. Персональные данные контрагентов СРО «МиР» – физических лиц, а также персональные данные руководителей или сотрудников контрагентов СРО «МиР» - юридических лиц (в т. ч. потенциальных контрагентов) – информация, необходимая СРО «МиР» для выполнения своих обязательств в рамках договорных отношений с контрагентами;

2.1.3. Персональные данные руководителей или сотрудников членов СРО «МиР» - юридических лиц (в т. ч. кандидатов в члены СРО «МиР»), а также иных физических лиц – информация, необходимая СРО «МиР» для осуществления своих прав и выполнения своих обязанностей в рамках Законов № 151-ФЗ и 223-ФЗ;

2.1.4. Персональные данные членов органов управления СРО «МиР» - информация, необходимая в рамках корпоративных отношений, а также в целях выполнения своих обязанностей саморегулируемой организации в сфере финансового рынка;

2.1.5. Персональные данные физических лиц, которые обращаются в СРО «МиР» за защитой своих прав и законных интересов – информация, необходимая СРО «МиР» для рассмотрения соответствующих обращений в целях защиты прав и законных интересов физических лиц;

2.1.6. Данные пользователей: - посещающих сайт, поддомены сайта СРО «МиР» и/или использующих функции сайта, поддоменов сайта СРО «МиР», - зарегистрированных в программном обеспечении, используемом СРО «МиР» для обмена информацией (личные кабинеты), - посещающих аккаунты и каналы, созданные СРО «МиР» в социальных сетях и мессенджерах.

2.2. СРО «МиР» осуществляет обработку персональных данных в целях:

2.2.1. Кадрового учета работников СРО «МиР», заключения и исполнения обязательств по трудовым договорам, исполнения положений законов и иных нормативно-правовых актов в сфере труда, рассмотрение возможности заключения трудового договора с субъектом персональных данных;

2.2.2. Исполнения договорных обязательств СРО «МиР»;

2.2.3. Рассмотрения обращений граждан в соответствии с правами, предоставленными СРО «МиР» Законами № 223-ФЗ и 151-ФЗ, Уставом СРО «МиР», а также проведения мероприятий по урегулированию обращений (заявлений, жалоб, сообщений) субъектов персональных данных;

2.2.4. Сбора статистической информации относительно посещаемости сайта, поддоменов сайта СРО «МиР», программного обеспечения, используемого СРО «МИР» для обмена информацией (личные кабинеты), аккаунтов и каналов, созданных СРО «МиР» в социальных сетях и мессенджерах;

2.2.5. Проведения проверок членов СРО «МиР»;

2.2.6. Приема кандидатов в члены СРО «МиР», формирование и ведение реестра членов СРО «МиР»;

2.2.7. Предоставления отчетности государственным надзорным органам в соответствии с требованиями действующего законодательства Российской Федерации;

2.2.8. Обеспечения пропускного режима в СРО «МиР»;

2.2.9. Исполнения налогового, пенсионного законодательства, законодательства о бухгалтерском учете;

2.2.10. Осуществления иных функций, полномочий и обязанностей, возложенных на СРО «МиР» действующим законодательством Российской Федерации.

2.3. Обработка персональных данных включает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

2.4. Персональные данные физических лиц могут включать фамилию, имя, отчество, дату рождения, адрес (почтовый, фактический), адрес электронной почты, номера телефонов, сведения, содержащиеся в обращении (информация о договорах и иных обязательствах, информация об осуществлённых действиях, направленной информации и документах, иные сведения), иные персональные данные, предоставленные / полученные в связи с выполнением требований законодательства Российской Федерации.

2.5. Обработка персональных данных осуществляется до момента достижения цели обработки персональных данных или в течение срока хранения персональных в соответствии с законодательством Российской Федерации. Сроки обработки персональных данных определяются Законами № 152-ФЗ, № 151-ФЗ, № 223-ФЗ, Трудовым кодексом РФ, Приказом Федерального архивного агентства от 20 декабря 2019 года № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», заключенными СРО «МиР» трудовыми и гражданскими правовыми договорами, а также внутренними нормативными правовыми актами СРО «МиР».

3. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. При обработке персональных данных СРО «МиР» принимает необходимые правовые, организационные и технические меры защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

3.2. Обеспечение безопасности персональных данных достигается, в частности:

3.2.1. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3.2.2. Обнаружением фактов несанкционированного доступа к персональным данным и принятием необходимых мер;

3.2.3. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

3.2.4. Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационной системы персональных данных.

3.3. При сборе персональных данных, в том числе посредством сети Интернет, СРО «МиР» обеспечивает обработку персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

4. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных СРО «МиР». Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных СРО «МиР»;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые СРО «МиР» способы обработки персональных данных;

4) наименование и место нахождения СРО «МиР», сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с СРО «МиР» или на основании законодательства Российской Федерации;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством Российской Федерации;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению СРО «МиР», если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

4.2. Субъект персональных данных имеет право требовать от СРО «МиР» уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных в СРО «МиР» осуществляется на законной основе.

5.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных.

5.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям обработки.

5.4. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.

5.5. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен законодательством Российской Федерации и/или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются или обезличиваются при достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

5.6. Персональные данные при их обработке, осуществляемой без использования средств автоматизации сотрудниками СРО «МиР», обособляется от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация сотрудниками СРО «МиР» на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель. Сотрудники СРО «МиР», осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется СРО «МиР» без использования средств автоматизации, категориях обрабатываемых персональных данных. Обработка персональных данных осуществляется по адресу 107078, г. Москва, Орликов переулок, дом 5 строение 2 офис 538, согласно перечню персональных данных СРО «МиР». Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ, при этом обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ, а именно персональные пароли, использование закрывающихся шкафов.

6. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

6.1. Подтверждение факта обработки персональных данных со стороны СРО «МиР», правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона № 152-ФЗ, предоставляются СРО «МиР» субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

Запрос должен содержать:

номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
сведения, подтверждающие участие субъекта персональных данных в отношениях с СРО «МиР» (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных СРО «МиР»;
подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Если в обращении (запросе) субъекта персональных данных отсутствуют какие-либо сведения, требуемые в соответствии с Законом № 152-ФЗ, или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ в предоставлении сведений. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона № 152-ФЗ, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц. Ответ на обращение или запрос субъекта персональных данных направляется в сроки, установленные Законом № 152-ФЗ.

6.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора СРО «МиР» осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. В случае подтверждения факта неточности персональных данных СРО «МиР» на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

6.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора СРО «МиР» осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

6.4. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если: • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; • СРО «МиР» не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом № 152-ФЗ или иными федеральными законами; • иное не предусмотрено другим соглашением между СРО «МиР» и субъектом персональных данных.

7. ОТВЕТСТВЕННОСТЬ ЗА ИСПОЛНЕНИЕ ТРЕБОВАНИЙ В ОБЛАСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. За нарушение требований, установленных законодательством Российской Федерации, настоящей Политикой и другими локальными актами СРО «МиР», работники и иные лица, получившие доступ к персональным данным, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с федеральными законами Российской Федерации.

8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

8.1. Настоящая Политика вступает в силу с момента ее утверждения приказом директора СРО «МиР» и действует бессрочно. Изменения в настоящую Политику допускаются при их утверждении приказом директора СРО «МиР».

8.2. В случае если законодательством Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящей Политикой, то применяются правила, предусмотренные законодательством Российской Федерации.

8.3. Настоящая Политика является общедоступным документом и подлежит размещению на официальном сайте СРО «МиР».

Приложение 1

к Политике обработки персональных данных в СРО «МиР»

Дополнительные правила

обработки персональных данных на портале doc.sromir.ru

В дополнение к правилам обработки персональных данных, установленных Политикой обработки персональных данных в СРО «МиР» настоящие правила устанавливают порядок обработки персональных данных и иной информации, которую портал doc.sromir.ru, расположенный по адресу https://doc.sromir.ru и являющийся поддоменом сайта https://npmir.ru/, может получить о Пользователе во время использования портала.

Настоящие правила применяются также ко всем сайтам третьего уровня, имеющим в своем доменном имени сочетание имени и доменной зоны doc.sromir.ru

1. Определение терминов

1.1. В настоящих правилах используются следующие термины:

1) Оператор портала (далее - Оператор) – СРО «МиР» в лице действующих от ее имени уполномоченных сотрудников на управление сайтом и программным приложением, которые организуют и (или) осуществляют обработку персональных данных, а также определяют цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными Пользователей.

2) Пользователь портала doc.sromir.ru (далее - Пользователь) – лицо, имеющее доступ к порталу посредством сети Интернет.

3) IP-адрес — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.

4) Портал - портал doc.sromir.ru, расположенный по адресу https://doc.sromir.ru и являющийся поддоменом сайта https://npmir.ru/.

5) Согласие на обработку персональных данных для заполнения форм на Портале (далее – Согласие) – форма согласия пользователя на обработку относящихся к нему персональных данных, без акцепта которой отправка форм на Портале является невозможной. Текст Согласия размещен на Портале в виде гиперссылки на документ, утвержденный Приказом Директора СРО «МиР».

2. Дополнительные правила обработки информации на Портале

2.1. Заполнение форм на Портале пользователем возможно только при акцепте (путем проставления отметки о согласии) Согласия по форме, утвержденной Приказом Директора СРО «МиР». Использование Пользователем Портала означает его согласие с Политикой обработки персональных данных в СРО «МиР», а также настоящими правилами.

2.2. В случае несогласия с условиями Политики обработки персональных данных в СРО «МиР» и (или) настоящими правилами и (или) текстом Согласия Пользователь должен прекратить использование Портала.

2.3. Оператор не проверяет достоверность персональных данных и иной информации, предоставляемых Пользователем через Портал.

2.4. Пользователь предоставляет персональные данные и иную информацию при регистрации на Портале путём заполнения форм регистрации и (или) обновления и (или) дополнения предоставленных ранее данных.

2.5. Состав предоставляемых Пользователем Оператору сведений может отличаться в зависимости от целей регистрации на Портале и может включать в себя следующую информацию:

Фамилия Имя Отчество
Дата рождения
Город места нахождения
Адрес места нахождения
Контактный телефон
Электронная почта
Серия и номер паспорта
Данные о геолокации
Фотографии документов, предоставляемые пользователем
иные сведения, связанные с пользованием Порталом

2.6. Портал осуществляет сбор статистики об IP-адресах Пользователей с целью выявления угроз, решения технических проблем, для обеспечения контроля при внесении информации Пользователем.

2.7. Цели сбора персональных данных и иной информации Пользователя на Портале:

1) Идентификация Пользователя, зарегистрированного в системе.

2) Установление с Пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования Портала, предоставления сервисов, обработки запросов, обращений и заявок от Пользователя, проведения проверки по обращению, направления ответа на обращение Пользователя.

3) Определение места нахождения Пользователя для обеспечения безопасности программного обеспечения и оборудования СРО «МиР», предотвращения несанкционированного доступа к данным.

4) Подтверждение достоверности и полноты персональных данных, предоставленных Пользователем.

5) Предоставление Пользователю клиентской и технической поддержки при возникновении проблем, связанных с использованием Портала.

6) Проведение статистических и иных исследований на основе обезличенных данных.

2.8. Пользователь соглашается с тем, что персональные данные могут быть переданы третьим лицам в следующих случаях:

1) Пользователь выразил свое согласие на такие действия;

2) Передача необходима в рамках использования Пользователем определенного персонализированного сервиса либо для оказания услуги Пользователю;

3) Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Российской Федерации по основаниям и в порядке, установленным законодательством Российской Федерации.