2. Цели, задачи и принципы осуществления политики защиты персональных данных

2.1. Цели политики

2.1.1.  Политика разрабатывается, вводится и применяется в Кооперативе в целях:

  1. Защиты прав и свобод пайщиков, их контрагентов, сотрудников, привлеченных консультантов и третьих лиц, чьи персональные данные обрабатываются в информационной системе Кооператива.
  2. Осуществления прав и законных интересов Кооператива.
  3. Предупреждения возможного ущерба, вызванного несоблюдением политики, Положения иных принятых в Кооперативе правил и процедур обеспечивающих защиту обрабатываемых персональных данных.

2.2. Задачи политики

2.2.1. Политика осуществляется посредством решения следующих задач:

  1. Предотвращение неправомерного, случайного и иного несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения, копирования, блокирования, распространения персональных данных, их порчи, уничожения или разрушения в процессе обработки.
  2. Предупреждение возможного ущерба, вызванного неправомерными умышленными или неосторожными действиями юридических и (или) физических лиц путем безвозмездного присвоения информации или ее разглашения, нарушением установленных норм, регулирующих обработку и защиту персональных данных.

2.3. Принципы осуществления политики

2.3.1. Политики осуществляется на основе следующих принципов:

  1. Законность: Защита персональных данных осуществляется на законной и справедливой основе и обусловлена требованиями законодательства, нормативно-правовых актов, нормативных актов Банка России  и методических документов государственных органов в области обработки и защиты персональных данных.
  2. Обособленность:  Персональные данные, обрабатываемые в соответствии с  требованиями специального законодательства, обособляются от иных персональных данных. Доступ к специальным базам персональных данных ограничен в соответствии с законодательно установленными требованиями.
  3. Целенаправленность и обусловленность:  Кооперативом обрабатываются только те персональные данные, которые отвечают целям их обработки и  необходимы для соблюдения установленных законодательством требований и обеспечения деятельности кооператива. Содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Обрабатываемые персональные данные сотрудников, пайщиков Кооператива и связанных с ними лиц не являются избыточными по отношению к заявленным целям их обработки.

Обрабатываемые кооперативом персональные данные пайщиков, сотрудников и иных лиц используются в частности, для поддержания взаимодействия в период членства в кооперативе и осуществления договорных отношений, направления уведомлений, информации и запросов, а также обработки поступающих от пайщиков заявлений на участие в финансовой взаимопомощи.

Персональные данные пайщиков, сотрудников и иных лиц используются при разрешении спорных ситуаций, в том числе в судебном процессе ив целях исполнения вступивших в законную силу судебных решений.

Обезличенные персональные данные используются кооперативом для обобщения и анализа статистической информации в целях текущего управления и планирования деятельности кооператива.

  1. Достоверность: При обработке персональных данных обеспечивается их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Кооператив принимает необходимые меры и (или) обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
  2. Системность:  Обработка персональных данных в Кооперативе осуществляется с учетом всех взаимосвязанных и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
  3. Срочность: Хранение персональных данных осуществляется форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен законодательством, принятыми в Кооперативе внутренними нормативными и иными внутренними документами, договором, стороной которого является субъект персональных данных. По достижении целей обработки, истечении сроков или утраты необходимости последующей обработки, персональные данные уничтожаются или обезличиваются.  
  4. Комплексность:  Защита персональных данных строится с использованием применяемых в кооперативе информационных технологий, внутренних нормативных и распорядительных актов, устанавливающих защищенные режимы обработки персональных данных, организационные и технические ограничения доступа
  5. Непрерывность обработки, контроля и оценки степени защищенности персональных данных: Защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах действий, связанных с получением, хранением и использованием персональных данных. Соблюдение политики и процедур защиты персональных данных контролируется, результаты контроля регулярно анализируются, вследствие чего выявляются возможные риски и направления совершенствования применяемых политики и процедур защиты персональных данных.
  6.  Своевременность: Меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки в составе общего комплекса принятых кооперативом мер охраны конфиденциальной служебной информации и поддерживаются в течение всего периода их обработки Кооперативом.
  7. Преемственность и непрерывность совершенствования: Модернизация и расширение мер и средств защиты персональных данных осуществляется на основе постоянного мониторинга процессов их обработки, выявления и анализа угроз, разработки мер их предупреждения, внедрения новых способов защиты информации.
  8. Персональная ответственность:  Ответственность за обеспечение безопасности персональных данных несут сотрудники и привлеченные индивидуальные предприниматели - консультанты, обеспечивающие деятельность кооператива в процессе исполнения ими обязанностей, связанных с обработкой и защитой персональных данных.

При поступлении на работу или заключении договора на предоставление кооперативу услуг, обеспечивающих его деятельность, все указанные лица дают подписку об ознакомлении с установленным в кооперативе режимом охраны конфиденциальной служебной информации и обязательство не разглашать и не использовать иным неправомерным способом такую информацию, ставшую им известной при осуществлении трудовых функций и договорных обязательств.

  • Минимизация прав доступа: Доступ сотрудников к обрабатываемым Кооперативом персональным данным сотрудников, пайщиков и связанных с ними лиц разграничен в соответствии с пределами их должностной компетенции и кругом осуществляемых ими служебных обязанностей.
  • Гибкость: Защита обрабатываемых Кооперативом персональных данных обеспечивается и при изменении характеристик информационной системы, обеспечивающей автоматизированную обработку персональных данных, а также при расширении состава и структуры обрабатываемых персональных данных сотрудников, пайщиков и связанных с ними лиц. 
  • Специализация и профессионализм: Меры защиты персональных данных, разработка и эксплуатация систем защиты осуществляются работниками, располагающими необходимыми для этого квалификацией и опытом.
  • Сотрудники кооператива, участвующие в обработке персональных данных,  регулярно знакомятся с положениями законодательства и нормативных актов Банка России, касающихся персональных данных, в т.ч. с настоящим Положением и иными принятыми в кооперативе организационно-распорядительными документами, регламентирующими порядок обработки и защиты персональных данных. При поступлении на работу и работу или заключении договора на предоставление кооперативу услуг, лица, чьи обязанности связаны с доступом к обрабатываемым кооперативом персональным данным, проходят первичный инструктаж, а в последующем, по мере возникновения необходимости, Кооператив проводит обучение сотрудников и привлеченных консультантов по вопросам обработки и защиты персональных данных.
  • Наблюдаемость и прозрачность: Меры по обеспечению безопасности персональных данных планируются так, чтобы руководство Кооператива или уполномоченные им лица могли наблюдать за их исполнением, оценивать их результаты.