Title

УТВЕРЖДАЮ
Жигарев А.В.
Генеральный директор
Общества с ограниченной ответственностью
«Микрофинансовая компания «ЮПИТЕР 6»
«24» ноября 2022 года

Политика обработки персональных данных в Обществе с ограниченной ответственностью «Микрофинансовая компания «ЮПИТЕР 6»

1. Используемая терминология, сокращения

1.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу, субъекту персональных данных.
1.2. Политика – Политика обработки персональных данных в Обществе с ограниченной ответственностью «Микрофинансовая компания «ЮПИТЕР 6», утвержденная «24» ноября 2022 года.
1.3. Организация – Общество с ограниченной ответственностью «Микрофинансовая компания «ЮПИТЕР 6» (ООО «МФК «ЮПИТЕР 6»).
1.4. Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.5. СНИЛС – номер страхового свидетельства государственного пенсионного страхования.
1.6. ИНН – индивидуальный номер налогоплательщика.
1.7. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:

сбор;
запись;
систематизацию;
накопление;
хранение;
уточнение (обновление, изменение);
извлечение;
использование;
передачу (распространение, предоставление, доступ);
блокирование;
удаление;
уничтожение.

1.8. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
1.9. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.10. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.11. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.12. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.13. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.14. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.15. Мобильное приложение – программное обеспечение под названием «Деньга» от разработчиков Dengabank, лицензиатом которого является Организация, устанавливаемое Пользователями на собственные мобильные устройства.
1.16. Портал – программа для ЭВМ в соответствии со ст. 1261 Гражданского кодекса Российской Федерации, доступная в сети Интернет по адресам https://www.denga.ru/, https://lk.denga.ru/, любые иные поддомены и/или Приложение, лицензиатом которых является Организация.
1.17. Пользователь – субъект персональных данных, прошедший процедуру регистрации на Портале и/или в Приложении с целью его использования.

2. Общие положения

2.1. Обеспечение конфиденциальности и безопасности обработки персональных данных в Организации является одной из приоритетных задач Организации. В Организации для этих целей введен в действие комплект организационно-распорядительной документации, обязательный к исполнению всеми работниками Организации, допущенными к обработке персональных данных.
2.2. Обработка, хранение и обеспечение конфиденциальности и безопасности персональных данных осуществляется в соответствии с действующим законодательством Российской Федерации в сфере защиты персональных данных, и в соответствии с локальными актами Организации.
2.3. Настоящее Положение определяет принципы, порядок и условия обработки персональных данных следующих лиц:

Заемщики (потенциальные заемщики);
Учредители Организации, выгодоприобретатели Организации, бенефициарные владельцы Организации;
Аффилированные лица, руководители, участники или сотрудника юридического лица, являющегося аффилированным лицом по отношению к Организации;
Контрагенты (в том числе физические лица, индивидуальные предприниматели, самозанятые), руководитель, участники или сотрудники, представители контрагента Организации;
Соискатели на вакантную должность, работники (в т.ч. уволенные), родственники работников, стажеры;
Лица, самостоятельно предоставившие свои персональные данные, обратившись в Организацию путем направления почтового отправления (письма), электронного почтового сообщения, посредством чат-бота, телефонного звонка или с использованием иного способа связи с Организацией;
Иные физические лица, выразившие согласие на обработку Организацией их персональных данных или физические лица, обработка персональных данных которых необходима Организации для достижения целей, осуществления обязанностей предусмотренных международными актами или законами Российской Федерации, чьи персональные данные обрабатываются в Организации, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц Организации, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

2.4. Поскольку к настоящему Положению в соответствии с ч. 2 ст. 18.1 Федерального закона № 152- ФЗ «О персональных данных» необходимо обеспечить неограниченный доступ, в ней не публикуется детальная информация о принятых мерах по защите персональных данных в Организации, а также иная информация, использование которой неограниченным кругом лиц может нанести ущерб Организации или субъектам персональных данных.

3. Понятие и состав персональных данных

3.1. Сведениями, составляющими персональные данные, в Организации является любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
3.2. Перечень персональных данных, подлежащих защите в Организации определяется целями их обработки, Федеральным законом № 152-ФЗ «О персональных данных», Трудовым кодексом Российской Федерации.
3.3. В Организации обрабатываются следующие персональные данные заемщиков, физических лиц, заключивших договоры потребительского займа (микрозайма) или потенциальных заемщиков:

фамилия, имя, отчество;
дата рождения;
место рождения;
паспортные данные;
адрес регистрации места жительства;
адрес фактического места жительства;
адрес электронной почты;
номер телефона;
СНИЛС;
ИНН;
сведения об образовании;
семейное положение;
образование;
банковские реквизиты;
сведения о доходах;
должность.

3.4. В Организации обрабатываются следующие персональные данные работников, стажеров:

фамилия, имя, отчество;
дата рождения;
место рождения;
гражданство;
сведения о знании иностранных языков;
сведения об образовании;
должность;
СНИЛС;
ИНН;
паспортные данные;
сведения о семейном положении и составе семьи;
сведения о трудовом и общем стаже работы;
сведения о предыдущих местах работы;
номер телефона;
пол;
адрес электронной почты;
сведения о социальных льготах, на которые работник имеет право;
сведения о полученных наградах и поощрениях;
сведения о воинском учете, при необходимости;
адрес регистрации и фактического проживания;
сведения о доходах;
банковские реквизиты.

3.5. В Организации обрабатываются следующие персональные данные соискателей:

фамилия, имя, отчество;
дата рождения;
место рождения;
паспортные данные;
адрес регистрации места жительства;
адрес фактического места жительства;
адрес электронной почты;
номер телефона;
СНИЛС;
ИНН;
сведения об образовании;
сведения о доходах;
должность.

3.6. В Организации обрабатываются следующие персональные данные родственников работников:

фамилия, имя, отчество;
степень родства;
дата рождения.
место рождения;
адрес регистрации места жительства;
адрес фактического места жительства;
адрес электронной почты;
номер телефона.

3.7. В Организации обрабатываются следующие персональные данные контрагентов (физические лица, индивидуальные предприниматели, самозанятые), руководителей, участников или сотрудников, и представителей контрагента, планирующих состоять в договорных отношениях с Организацией:

фамилия, имя, отчество;
дата рождения;
место рождения;
паспортные данные;
адрес регистрации места жительства;
адрес фактического места жительства;
адрес электронной почты;
номер телефона;
СНИЛС;
ИНН;
сведения об образовании;
семейное положение;
образование;
банковские реквизиты;
сведения о доходах;
номера телефонов;
должность.

3.8. В Организации обрабатываются следующие персональные данные учредителей Организации, выгодоприобретателей Организации, бенефициарных владельцев Организации; аффилированных лиц, а также руководителей, участников или сотрудников юридического лица, являющегося аффилированным лицом по отношению к Организации:

фамилия, имя, отчество;
дата рождения;
место рождения;
гражданство;
сведения об образовании;
СНИЛС;
ИНН;
паспортные данные;
сведения о семейном положении и составе семьи;
сведения о трудовом и общем стаже работы;
сведения о предыдущих местах работы;
номер телефона;
пол;
адрес электронной почты;
сведения о воинском учете, при необходимости;
адрес регистрации и фактического проживания;
сведения о доходах;
банковские реквизиты.

3.9. В Организации обрабатываются следующие персональные данные лиц, самостоятельно предоставившие свои персональные данные, обратившись в Организацию путем направления почтового отправления (письма), электронного почтового сообщения, посредством чат-бота, телефонного звонка или с использованием иного способа связи с Организацией и иных физических лиц, выразивших согласие на обработку Организацией их персональных данных или физических лиц, обработка персональных данных которых необходима Организации для достижения целей, осуществления обязанностей предусмотренных международными актами или законами Российской Федерации:

фамилия, имя, отчество;
дата рождения;
место рождения;
паспортные данные;
адрес регистрации места жительства;
адрес фактического места жительства;
адрес электронной почты;
номер телефона;
СНИЛС;
ИНН.

4. Цели обработки персональных данных

4.1. Организация осуществляет обработку персональных данных с целью:

обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, в том числе с целью осуществления и выполнения возложенных законодательством Российской Федерации на оператора персональных данных функций, полномочий и обязанностей;
осуществления микрофинансовой деятельности в виде микрофинансовой компании по предоставлению микрозаймов (микрофинансированию) в порядке, установленном действующим законодательством Российской Федерации;
предоставления потребительского займа;
оказания агентских услуг, содействия заключению договоров страхования;
выполнения договорных обязательств;
проведения расчетов с клиентами, сотрудниками и контрагентами;
анализа и исследований в целях улучшения Портала, мобильного приложения, в том числе его качества и удобства;
ведения личных дел сотрудников;
обеспечения работы с поступающими в Организацию обращениями;
обеспечения кадрового резерва.

5. Правовые основания обработки персональных данных

5.1. Основаниями для обработки Организацией персональных данных являются:

Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ;
Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях» от 02.07.2010 № 151-ФЗ;
Федеральный закон «О потребительском кредите (займе)» от 21.12.2013 № 353-ФЗ;
Федеральный закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» от 07.08.2001 № 245-ФЗ;
Федеральный закон «О кредитных историях» от 30.12.2004 № 218-ФЗ;
Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ;
Устав ООО «МФК «ЮПИТЕР 6»;
согласия субъектов персональных данных на обработку их персональных данных.

6. Сроки обработки персональных данных

6.1. Условия прекращения обработки Организацией персональных данных:

прекращение деятельности Организации;
достижение целей обработки персональных данных;
истечение срока действия согласия субъекта персональных данных на обработку персональных данных;
отзыв согласия субъекта персональных данных на обработку его персональных данных;
выявление неправомерной обработки персональных данных.

6.2. Документы по заключенным договорам займа хранятся, в том числе в соответствии с требованиями законодательства о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.
6.3. Сроки хранения персональных данных бенефициарных владельцев и учредителей устанавливаются в согласиях на обработку персональных данных и не могут быть менее 5 лет с даты получения согласия. Хранение персональных данных выгодоприобретателей Организации осуществляется по договорам в рамках правоотношений с контрагентом/клиентом/партнером и не может быть менее 5 лет с даты прекращения отношений.
6.4. Срок хранения персональных данных лиц, самостоятельно предоставивших свои персональные данные, обратившись в Организацию путем направления почтового отправления (письма), электронного почтового сообщения, посредством чат-бота, телефонного звонка или с использованием иного способа связи с Организацией осуществляется в течение 1 года с момента получения обращения;
6.5. Личное дело уволенного работника на бумажном носителе информации хранится до достижения предельного срока архивного хранения – 75 лет со дня увольнения работника.
6.6. Остальные документы кадрового учета на бумажных носителях, содержащие персональные данные работников, хранятся в соответствии с требованиями приказа Министерства культуры РФ № 558 от 25.08.2010 (далее – приказ Минкультуры № 558).
6.7. Хранение персональных данных уволенного работника в информационных системах персональных данных и на машинных носителях информации, в соответствии со статьей 196 Федерального закона от 30.24.1994 № 51-ФЗ «Гражданский кодекс Российской Федерации», осуществляется до истечения срока взаимной исковой давности.
6.8. Хранение персональных данных контрагентов и представителей партнеров/клиентов осуществляется до истечения срока взаимной исковой давности по договорам в рамках правоотношений с контрагентом/клиентом/партнером.
6.9. Хранение персональных данных должников осуществляется до истечения срока исковой давности по договорам в рамках правоотношений с контрагентом/клиентом/партнером, предоставившим персональные данные должника.
6.10. Поскольку персональные данные родственников работников обрабатываются в составе персональных данных работника, сроки их обработки соответствуют срокам обработки персональных данных работников.
6.11. В случае отказа в трудоустройстве сведения, предоставленные соискателем, хранятся не более 30 дней.
6.12. В Организации создаются и хранятся документы, содержащие сведения о субъектах персональных данных.

7. Права и обязанности Организации и Субъекта персональных данных

7.1. Организация как оператор персональных данных вправе:

отстаивать свои интересы в суде;
предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
использовать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством.

7.2. Организация как оператор персональных данных обязана:

обеспечить каждому субъекту персональных данных возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом;
внести необходимые изменения, уничтожить или блокировать персональные данные в случае предоставления субъектом неполных, устаревших, недостоверных или незаконно полученных персональных данных, а также уведомить о своих действиях субъекта персональных данных;
выполнять требования законодательства Российской Федерации.

7.3. Субъект персональных данных имеет право:

требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
требовать перечень своих персональных данных, обрабатываемых Организацией и источник их получения;
получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.

7.4. Субъект персональных данных обязан:

передавать достоверные, необходимые для достижения целей обработки, персональные данные, а также подтверждать достоверность персональных данных предъявлением оригиналов документов;
в случае изменения персональных данных, необходимых для достижения целей обработки, сообщить Организации уточненные персональные данные и подтвердить изменения оригиналами документов;
выполнять требования законодательства Российской Федерации.

8. Порядок и условия обработки персональных данных

8.1. Организация осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
8.2. Под обработкой персональных данных в Организации понимается сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
8.3. Персональные данные субъекта получаются, как правило, от него самого, за исключением случаев, когда их получение возможно только у третьей стороны.
8.4. Персональные данные передаются третьим лицам исключительно на основании поручения субъекта на передачу его персональных данных, либо согласно требованиям законодательства Российской Федерации.
8.5. Организация вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
8.6. Обработка персональных данных в Организации производится на основе соблюдения принципов:

законности целей и способов обработки персональных данных;
соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

8.7. Отказ контрагента или работника Организации от предоставления согласия на обработку его персональных данных влечет за собой невозможность достижения целей обработки.
8.8. Организация осуществляет смешанную обработку персональных данных с передачей по внутренней сети юридического лица и по сети Интернет.
8.9. Осуществление Трансграничной передачи персональных данных Организацией не осуществляется.

9. Обеспечение безопасности персональных данных

9.1. Организация предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
9.2. Допуск работников Организации к обработке персональных данных осуществляется после ознакомления под подпись с руководящими документами Организации по обработке и защите персональных данных.
9.3. Работники Организации, допущенные к обработке персональных данных, получают доступ только к тем персональным данным, которые необходимы им для выполнения служебных (трудовых) обязанностей.
9.4. В Организации для обеспечения безопасности персональных данных приняты следующие меры:

назначено лицо, осуществляющее внутренний контроль за соблюдением законодательства российской федерации о персональных данных;
утверждено положение об обработке персональных данных;
осуществляется внутренний контроль и аудит обработки персональных данных;
сотрудники, допущенные к обработке персональных данных, проходят инструктажи по информационной безопасности, подписывают соглашение о неразглашении персональных данных, знакомятся с документами по защите персональных данных под роспись.

10. Заключительные положения

10.1. К настоящей Политике обеспечивается неограниченный доступ.
10.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
10.3. Контроль исполнения требований настоящего Положения осуществляется лицом, ответственным за организацию обработки персональных данных Организации.
10.4. Ответственность должностных лиц Организации, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Организации.