620075, г. Екатеринбург, ул. Восточная, 7д. Тел./факс (343) 288-77-85, sof@sofp.ru, www.sofp.ru

Политика в отношении обработки персональных данных

Свердловским областным фондом поддержки предпринимательства

(микрокредитная компания)

1. Общие положения

1.1. Назначение документа

1.1.1. Важнейшим условием реализации целей деятельности СОФПП является обеспечение необходимого и достаточного уровня информационной безопасности персональных данных.
1.1.2. Политика в отношении обработки персональных данных (далее — политика) является основополагающим документом, регулирующим вопросы обработки персональных данных в Фонде.
1.1.3. Положения настоящей Политики служат основой для разработки локальных актов, регламентирующих вопросы обработки персональных данных.

1.2. Основные понятия

1.2.1. Для целей настоящей Политики используются следующие понятия:
- персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- оператор – Свердловский областной фонд поддержки предпринимательства (микрокредитная компания), далее - Фонд, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- официальный сайт Фонда -совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") по доменному имени www.sofp.ru;
- обработка персональных данных – любое действие (операция) или совокупность действий(операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных –действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных –действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных (далее – ИСПДн) –совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- конфиденциальность персональных данных – Фонд, получивший доступ к персональным данным, обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
- трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.3. Нормативные ссылки

1.3.1. Федеральный закон РФ от 27.07.2006 №152–ФЗ «О персональных данных».
1.3.2. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

1.4. Субъекты Персональных данных

1.4.1. Сотрудники – кандидаты (соискатели) на замещение вакантных должностей и их близкие родственники, супруги; работники Фонда (в том числе уволенные) и их близкие родственники, супруги.
1.4.2. Клиенты – физические лица состоящие или состоявшие в договорных и иных гражданско-правовых отношениях с Фондом или находящиеся в преддоговорных отношениях с Фондом и их представители, поручители, залогодатели, близкие родственники, супруги; бенефициарные владельцы, работники, руководители и главные бухгалтеры юридических лиц, имеющие договорные отношения с Фондом или находящихся в преддоговорных отношениях, посетители Фонда.

1.5. Утверждение и пересмотр

1.5.1. Настоящая Политика вступает в силу в день утверждения Директором Фонда и действует до вступления в силу новой Политики в отношении обработки персональных данных.
1.5.2. Фонд проводит пересмотр положений настоящей Политики и ее актуализацию по мере необходимости, но не реже одного раза в три года, а так же:
- при изменении положений законодательства РФ в области персональных данных (до момента внесения изменений настоящая Политика действует в части, не противоречащей действующему законодательству РФ);
- в случае выявления несоответствий, затрагивающих обработку и (или) защиту персональных данных;

- по результатам контроля выполнения требований по обработке и (или) защите персональных данных;

- при изменении бизнес-процессов Фонда, затрагивающих обработку персональных данных.

1.5.3. Обеспечение неограниченного доступа к Политике реализуется путем ее публикации на официальном сайте Фонда в сети Интернет.

2. Цели и принципы обработки персональных данных

2.1. Обработка персональных данных в Фонде осуществляется исключительно в целях:

- обеспечения соблюдения законов и иных нормативных правовых актов РФ;

- информирования граждан и субъектов малого и среднего предпринимательства об услугах Фонда;

- осуществления микрофинансовой деятельности, предусмотренной Уставом и нормативными актами Фонда, действующим законодательством;

- подготовки, заключения, исполнения и прекращения гражданско-правовых договоров с контрагентами Фонда;

- мониторинга исполнения субъектами малого и среднего предпринимательства условий договоров, заключенных с Фондом;

- веденияреестрасубъектовмалогоисреднегопредпринимательства-получателейподдержки;

- формирования отчетности о реализации мероприятий по поддержке субъектов малого и среднего предпринимательства;

- регистрации участников на мероприятия, проводимые Фондом;

- формирования реестров участников мероприятий, организуемых Фондом;
- обработки заявок субъектов малого и среднего предпринимательства и граждан на предоставление поддержки;
- контроля качества услуг, предоставляемых Фондом;
- организации кадрового учета Фонда, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лица также единого социального налога, пенсионного законодательства, заполнения первичной статистической документации;
- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.

2.2. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен сроками действия приказа Министерства культуры Российской Федерации от 25.08.2010 №558 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», постановлением Федеральной комиссии по рынку ценных бумаг от 16.07.2003 №03-33/п «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ», или иными требованиями законодательства Российской Федерации, или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

2.3. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

2.4. Обработка персональных данных в Фонде осуществляется на основе принципов:
- законности целей и способов обработки персональных данных и добросовестности;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
- достоверности персональных данных, их достаточности для целей обработки;
- недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

3. Правовые основания обработки персональных данных

3.1. Основанием обработки персональных данных субъектов персональных данных в Фонде являются:

- «Конституция Российской Федерации» (принята всенародным голосованием 12.12.1993);

- «Налоговый кодекс Российской Федерации»;

- «Гражданский кодекс Российской Федерации»;

- «Трудовой кодекс Российской Федерации» от30.12.2001 №197-ФЗ;

- Федеральный закон от 02.07.2010 N151-ФЗ "О микрофинансовой деятельности и микрофинансовых организациях";

- Федеральный закон от 07.08.2001 №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;

- Федеральный закон от 30.12.2004 №218-ФЗ «О кредитных историях»;

- Федеральный закон от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

- Федеральный закон от 15.12.2001 №167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

- Федеральный закон от 29.11.2010 №326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;

- Постановление Правительства РФ от 27.11.2006 №719 «Об утверждении Положения о воинском учете»;

- Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

- Федеральный закон от 06.04.2011 №63-ФЗ «Об электронной подписи»;

- Устав СОФПП;

- Договоры, заключаемые между Фондом и субъектом персональных данных;
- заявления граждан и субъектов малого и среднего предпринимательства и согласия на обработку персональных данных (в случаях, прямо непредусмотренных законодательством Российской Федерации, но соответствующих полномочиям Фонда).

4. Объём и категории обрабатываемых персональных данных

4.1. Фондом обрабатываются следующие персональные данные: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, пол, данные паспорта (общегражданского, служебного, дипломатического, заграничного) или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ) и гражданство, адрес места жительства (по паспорту и фактический) и дата регистрации по месту жительства или по месту пребывания. Номер телефона (мобильного и домашнего), в случае регистрации его на субъект персональных данных или по адресу его места жительства (по паспорту). Сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки (серия, номер, дата выдачи диплома, свидетельства, аттестата). Документ об окончании образовательного учреждения, в том числе наименование и место положение образовательного учреждения, дата начала и завершения обучения, факультет или отделение, квалификация и специальность по окончании образовательного учреждения, ученая степень, ученое звание, владение иностранными языками и другие сведения. Сведения о предыдущей трудовой деятельности. Сведения о продолжительности общего трудового стажа, трудового стажа. Сведения о повышении квалификации и переподготовке (серия, номер, дата выдачи документа о повышении квалификации или о переподготовке, наименование и местоположение образовательного учреждения, дата начала и завершения обучения, квалификация и специальность по окончании образовательного учреждения и другие сведения). Сведения о заработной плате (номера счетов для расчета с работниками, данные зарплатных договоров с клиентами, в том числе номера их карт счетов, данные по окладу, надбавкам, налогами другие сведения).Сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу (серия, номер, дата выдачи, наименование органа, выдавшего военный билет, военно-учетная специальность, воинское звание, данные о принятии/снятии на(с) учет(а) и другие сведения). Сведения о семейном положении (состояние в браке, данные свидетельства о заключении брака, фамилия, имя, отчество супруга(и), степень родства, фамилии, имена, отчества и даты рождения других членов семьи, иждивенцев и другие сведения). Сведения об имуществе (имущественном положении): автотранспорт (государственные номера и другие данные из свидетельство регистрации транспортных средств и из паспортов транспортных средств); недвижимое имущество (вид, тип, способ получения, общие характеристики, стоимость, полные адреса размещения объектов недвижимости и другие сведения); кредиты(займы), коды кредитных историй, адреса приобретаемых объектов недвижимости, сумма и валюта кредита или займа, цель кредитования, условия кредитования, сведения о залоге, сведения о приобретаемом объекте, данные по ценным бумагам, остатки и суммы движения по счетам, тип банковских карт, лимиты и другие сведения). Сведения о номере и серии страхового свидетельства государственного пенсионного страхования. Сведения об идентификационном номере налогоплательщика. Сведения из страховых полисов обязательного(добровольного) медицинского страхования (в том числе данные соответствующих карточек медицинского страхования). Сведения, указанные в оригиналах и копиях приказов по личному составу Фонда и материалах к ним. Сведения о временной нетрудоспособности работников Фонда. Сведения о состоянии здоровья и его соответствия выполняемой работе. Табельный номер работника Фонда. Факт наличия/отсутствия судимости (обрабатывается только на бумажном носителе). Сведения о социальных льготах и о социальном статусе (серия, номер, дата выдачи, наименование органа выдавшего документ, являющийся основанием для предоставления льгот и статуса). Изображение лица, полученное с помощью фото- и видео-устройств, голос, полученный с помощью звукозаписывающих устройств.

4.2. В Фонде не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

5. Порядок и условия обработки персональных данных

5.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством РФ.

5.2. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, по собственной воле и в своих интересах. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных, полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Фондом.

5.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Фонд вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных законодательством РФ.

5.4. Полученные Фондом персональные данные хранятся в бумажном и электронном виде. В электронном виде персональные данные хранятся в ИСПДн Фонда.

5.5. Сотрудники, имеющие доступ к персональным данным, получают только персональные данные, которые необходимы им для выполнения конкретных трудовых функций.

5.6. Фонд за свой счет обеспечивает необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения,
изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

5.7. Фонд обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта, за исключением случаев, предусмотренных законодательством РФ или при поступлении запроса от уполномоченных государственных органов.

5.8. Автоматизированная обработка персональных данных осуществляется в ИСПДн. Защита персональных данных в ИСПДн производится согласно действующему законодательству. Все базы данных ИСПДн находятся на территории Российской Федерации.

6. Права субъектов персональных данных и обработка запросов субъекта персональных данных

6.1. Права субъекта персональных данных на доступ к его персональным данным

6.1.1. Субъект персональных данных имеет право на получение информации, касающейся обработки персональных данных соответствующего субъекта персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- цели и применяемые способы обработки персональных данных;
- наименование и местонахождения Фонда, сведения о лицах (за исключением работников Фонда), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Фондом или на основании Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Фонда, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» или другими федеральными законами.

6.1.2. Субъект персональных данных имеет право на уточнение, блокирование или уничтожениесвоихперсональныхданных,еслиперсональныеданныеявляютсянеполными,устаревшими,неточными,незаконнополученнымиилинеявляютсянеобходимымидлязаявленнойцелиобработки, а также принимать предусмотренные законодательством РФ в области персональных данных меры по защите своих прав.

6.1.3. Фонд вправе отказать в предоставлении выше указанной информации субъекту персональных данных в случаях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или иными Федеральными законами.

6.2. Права субъектов персональных данных при обработке их персональных данных в целях продвижения услуг на рынке

6.2.1. Обработка персональных данных в целях продвижения услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

6.2.2. Фонд обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в пункте 6.2.1.

6.3. Право на обжалование действий или бездействия оператора

6.3.1. Если субъект персональных данных считает, что Фонд осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Фонда в уполномоченный орган по защите прав субъектов персональных данных – Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке.

6.3.2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7. Обработка запросов субъекта персональных данных

7.1. Для обеспечения соблюдения установленных законодательством прав субъектов персональных данных в Фонде разработаны внутренние нормативные документы, определяющие порядок работы с обращениями и запросами субъектов персональных данных.

7.2. Запрос оформляется в произвольной форме, но должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Фондом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Фондом, подпись субъекта персональных данных или его представителя. Запрос передается по адресам нахождения Фонда. Запрос может быть направлен в форме электронного документа и подписанэлектроннойподписьювсоответствиисзаконодательствомРоссийскойФедерации.

8. Обеспечение безопасности персональных данных

8.1. Фонд предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

8.2. Меры по обеспечению безопасности персональных данных включают в себя, но не ограничиваются:
- назначение ответственных за организацию обработки и защиты персональных данных;
- разработка Политики в отношении обработки персональных данных и иных нормативных документов по вопросам обработки персональных данных, а также нормативных документов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- определение угроз безопасности персональным данным при их обработке в информационных системах персональных данных;
- обнаружение фактов не санкционированного доступа к персональным данным и принятие мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения действующего законодательства, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" от 27.07.2006 N152-ФЗ;
- ознакомление работников Фонда, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Фонда в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и(или) обучение указанных работников;
- реализация парольной защиты при осуществлении доступа к ресурсам, обрабатываемым в ИСПДн;
- применение средств межсетевого экранирования;
- организация защиты ресурсов персональных данных от воздействия вредоносного кода.

9. Ответственность за реализацию положений Политики

9.1. Работники Фонда, осуществляющие обработку персональных данных, а также лица, ответственные за организацию и обеспечение безопасности персональных данных в Фонде, несут дисциплинарную и административную ответственность в соответствии с действующим законодательством РФ за нарушение положений настоящей Политики, нормативных документов Фонда, иных требований, предусмотренных законодательством РФ в области персональных данных.