Политика конфиденциальности
Вернуться назад
Скачать документ "Политика защиты и обработки персональных данных"
ПОЛИТИКА ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОТРЕБИТЕЛЕЙ
(в редакции от 12.12.2023 года)
1. ОБЩИЕ ПОЛОЖЕНИЯ 1.1. Настоящая Политика является локальным нормативным актом ООО «Фианит – Ломбард» (сокращенное наименование – ООО «Фианит – Ломбард», ИНН 7452031712, ОГРН 1027403767368, адрес местонахождения: Россия, Челябинская область, г. Челябинск, ул. Братьев Кашириных, д. 60А, 2 этаж, помещение 18), (далее – Общество или Оператор), и регламентирует отношения в области обращения с персональными данными потребителей, определяя сведения о реализуемых требованиях к защите персональных данных потребителей. Его требования обязательны для исполнения всеми работниками Общества. 1.2. Настоящая Политика разработана в соответствии с требованиями ст.24 Конституции РФ, Федеральных законов № 152-ФЗ от 27.07.2006 «О персональных данных» (далее по тексту – Закон № 152-ФЗ), №149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации», Гражданского кодекса РФ и других нормативных актов. 1.3. Настоящая Политика применяется в отношении всех персональных данных, которые могут быть получены Обществом от потребителей – физических лиц в процессе заключения и исполнения договоров между Обществом и потребителями, при реализации невостребованного имущества, при подаче заявок на оказание услуг, как при обращении в обособленные подразделения Общества, так и дистанционным способом, в том числе посредством заполнения форм обратной связи на Сайтах в информационно-телекоммуникационной сети «Интернет»: http://fianitlombard.ru, https://zolotocatalog.ru, http://фианит.онлайн; в мобильном приложении «Фианит Ломбад», через колл-центр Общества по телефону: 8 800 333 12 20 (далее – колл-центр), и которые могут быть однозначно соотнесены с конкретным потребителем и его персональными данными, а также в отношении всех персональных данных, которые могут быть получены Обществом о посетителях сайта Общества: http://fianitlombard.ru, а также о посетителях сайтов: https://zolotocatalog.ru, http://фианит.онлайн, https://donskoylombard.ru (далее по тексту Политики – Сайт или Сайты), а также о пользователях мобильного приложения «Фианит Ломбад» (далее по тексту Политики – мобильное приложение). 1.4. Целью данной Политики является защита персональных данных потребителей Общества от несанкционированного, в том числе случайного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных. 1.5. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях, предусмотренных законодательством РФ. 1.6. Настоящая Политика утверждается и вводится в действие приказом генерального директора Общества. 1.7. Политика вступает в силу с момента его утверждения и действует бессрочно (до замены ее новой редакцией документа). 1.8. Все изменения в Политику вносятся приказом генерального директора Общества в порядке, аналогичном его утверждению. 1.9. Настоящая Политика подлежит размещению в обособленных подразделениях Общества, а также в открытом доступе в информационно-телекоммуникационной сети Интернет по адресу: http://fianitlombard.ru, а также на сайтах https://zolotocatalog.ru, http://фианит.онлайн, https://donskoylombard.ru/ При размещении настоящей Политики на Сайте оно размещается на каждой странице сайта, на которой осуществляется сбор персональных данных.
2. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ Для целей настоящей Политики используются следующие основные термины и определения: - персональные данные потребителя (ПД) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата рождения, адрес, семейное положение, другая информация, необходимая Обществу для исполнения договоров и касающаяся конкретного потребителя, а также для предоставления доступа к Сайту и иных целей, указанных в настоящей Политике; - оператор - организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих 2 обработке, действия (операции), совершаемые с персональными данными. Оператором является Общество с ограниченной ответственностью «Фианит – Ломбард», ИНН 7452031712, ОГРН 1027403767368, расположенное по адресу: Россия, Челябинская область, г.Челябинск, ул. Братьев Кашириных, д. 60А, 2 этаж, помещение 18; - обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных; - распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; - использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающие права и свободы субъекта персональных данных или других лиц; - блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); - уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или, в результате которых уничтожаются материальные носители персональных данных; - информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; - конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания; - общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые, в соответствии с федеральными законами, не распространяется требование соблюдения конфиденциальности. - автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ Для обеспечения безопасности персональных данных Общество руководствуется следующими принципами: - законность: защита персональных данных основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты персональных данных; - системность: обработка персональных данных в Обществе осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных; - комплексность: защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах и других имеющихся в Обществе систем и средств защиты; - непрерывность: защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных; - своевременность: меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки; - преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты персональных данных осуществляется на основании результатов анализа практики обработки персональных данных в Обществе с учетом выявления новых способов и средств реализации угроз безопасности персональных данных, отечественного и зарубежного опыта в сфере защиты информации; - персональная ответственность: ответственность за обеспечение безопасности персональных данных возлагается на работников Общества в пределах их обязанностей, связанных с обработкой и защитой персональных данных; - минимизация прав доступа: доступ к персональным данным предоставляется работникам Общества только в объеме, необходимом для выполнения их должностных обязанностей; - гибкость: обеспечение выполнения функций защиты персональных данных при изменении характеристик функционирования информационных систем персональных данных Общества, а также объема и состава обрабатываемых персональных данных; 3 - открытость алгоритмов и механизмов защиты: структура, технологии и алгоритмы функционирования системы защиты персональных данных Общества не дают возможности преодоления имеющихся в Обществе систем защиты возможными нарушителями безопасности персональных данных; - научная обоснованность и техническая реализуемость: уровень мер по защите персональных данных определяется современным уровнем развития информационных технологий и средств защиты информации; - специализация и профессионализм: реализация мер по обеспечению безопасности персональных данных и эксплуатация системы защиты персональных данных осуществляются работниками Общества, имеющими необходимые для этого квалификацию и опыт; - наблюдаемость и прозрачность: меры по обеспечению безопасности персональных данных должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль; - непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты персональных данных, а результаты контроля регулярно анализируются.
4. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 4.1. В целях обеспечения защиты персональных данных потребителей Общества при их обработке устанавливаются нижеизложенные требования. 4.2. При определении объёма и содержания обрабатываемых персональных потребителей, в отношение которых производится обработка персональных данных. Общество осуществляет обработку следующего перечня персональных данных потребителей (клиентов Общества и посетителей Сайтов Общества и/или мобильного приложения), не относящихся к специальной категории персональных данных или к биометрическим персональным данным: 4.2.1. фамилия, имя, отчество; 4.2.2. дата рождения; 4.2.3. гражданство; 4.2.4. тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ; 4.2.5. сведения о месте регистрации, проживания; 4.2.6. адрес доставки; 4.2.7. контактная информация (номер телефона, адрес электронной почты); 4.2.8. данные об оказанных и оказываемых потребителю услугах, история операций потребителя, данные о заключенных договорах; 4.2.9. пользовательские данные и файлы «cookie»: url и заголовок страницы; реферер страницы; сведения о местоположении и часовом поясе; сведения о браузере или почтовом клиенте, информационной системе, сведения о сети, тип устройства и разрешение его экрана; источник, откуда пользователь был перенаправлен на сайт - с какого сайта или по какой рекламе, сведения об отправке форм, скачивании файлов; какие страницы открывает и на какие кнопки нажимает пользователь, длительность сессии, сведения о переходах по ссылкам в электронных письмах, сведения об IP-адресах пользователя, Wi-Fi, Bluetooth и проч.; 4.2.10. история обращений потребителя, в том числе направляемые потребителем при обращениях в Общество документы; 4.2.11. номер банковской карты; 4.2.12. аккаунт (учетная запись) в мессенджере; 4.2.13. аудиозапись телефонных разговоров; 4.2.14. идентификационный номер налогоплательщика; 4.2.15. фотография. 4.3. При обращении потребителей в обособленные подразделения Общество обрабатывает также видеоизображение при оказании услуг потребителю исключительно в целях обеспечения безопасности, контроля за обстановкой в клиентской зоне, в силу чего установка систем видеонаблюдения не является источником определения личности потребителей по смыслу, заложенному в Федеральном законе от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и иных нормативно-правовых актах. Видеоизображение не используется в целях идентификации потребителя. 4.4. Обработка персональных данных потребителей осуществляется Обществом в следующих целях: 4.4.1. осуществление предварительной оценки имущества в целях последующей передачи в залог. а) перечень обрабатываемых данных: фамилия, имя, отчество, адрес, контактная информация (номер телефона, адрес электронной почты); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: посетители сайта; 4 г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ - Согласие на обработку ПД. 4.4.2. заключение и исполнение соглашений об электронном документообороте. а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, контактная информация (номер телефона, адрес электронной почты); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества; г) обработка персональных данных производится автоматизированным способом и без использования средств автоматизации (смешанный способ), д) правовое основание обработки ПД: п. 5 ч. 1 ст. 6 Закона № 152-ФЗ. 4.4.2.1. создания и проверка электронной подписи, ключа простой электронной подписи с использованием одноразовых кодов, направляемых по SMS, направление кодов в SMS (исполнение соглашения об электронном документообороте) а) перечень обрабатываемых данных: контактная информация (номер телефона); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 5 ч. 1 ст. 6 Закона № 152-ФЗ. 4.4.3. заключение договоров займа и их исполнение, изменение, заключение дополнительных соглашений, актов приема-передачи предмета залога между Обществом и потребителями. а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, адрес доставки (если клиент заказывает сервис доставки), способ обмена информацией (номер телефона, адрес электронной почты); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных: клиенты Общества; г) обработка персональных данных производится автоматизированным способом и без использования средств автоматизации (смешанный способ), д) правовое основание обработки ПД: п. 5 ч. 1 ст. 6 Закона № 152-ФЗ, п. 2 ч.5 ст. 7 Федерального закона «О ломбардах» от 19.07.2007 N 196-ФЗ , п. 16 ч. 9 ст. 5 Федерального закона от 21.12.2013 N 353-ФЗ, Указание Банка России от 11.05.2021 N 5790-У "Об установлении формы залогового билета" (Зарегистрировано в Минюсте России 30.06.2021 N 64051). 4.4.3.1 исполнение договора в части перечисление клиенту денежных средств в безналичном порядке (при необходимости). а) перечень обрабатываемых данных: номер банковской карты; б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 5 ч. 1 ст. 6 Закона № 152-ФЗ. 4.4.4. направление клиенту информации о задолженности. а) перечень обрабатываемых данных: фамилия, имя, отчество, контактная информация (номер телефона, адрес электронной почты); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, Федеральный закон от 21.12.2013 № 353-ФЗ "О потребительском кредите (займе)" (ст. 10). 4.4.5. урегулирование просроченной задолженности в случае неисполнения или ненадлежащего исполнения договорных обязательств (в случае выемки заложенного имущества), взыскание ущерба, урегулирование иных споров с потребителями. а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, контактная информация (номер телефона, адрес электронной почты), данные об оказанных и оказываемых потребителю услугах, история операций потребителя, данные о заключенных договорах, история обращений потребителя, в том числе направляемые потребителем при обращениях в Общество документы; б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества; 5 г) обработка персональных данных производится автоматизированным способом и без использования средств автоматизации, д) правовое основание обработки ПД: п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, Федеральный закон от 19.07.2007 № 196-ФЗ "О ломбардах" (ст. 4), Гражданский кодекс РФ (ст. 15, 196, 1064). 4.4.6. взаимодействие с потребителем: - по вопросам, связанным с оказанием услуг; - в целях предоставления эффективной клиентской поддержки; - в целях предоставления посетителям Сайта или мобильного приложения технической поддержки при возникновении проблем, связанных с использованием Сайта или мобильного приложения, посредством направления уведомлений, запросов и информации путем: - направления потребителю sms (смс), PUSH уведомлений и иных сообщений по сети подвижной радиотелефонной связи, в мессенджерах на номер телефона потребителя или по электронной почте, - осуществления звонков на номер телефона потребителя по сети подвижной радиотелефонной связи. а) перечень обрабатываемых данных: фамилия, имя, отчество, способ обмена информацией (номер телефона, адрес электронной почты), данные об оказанных и оказываемых потребителю услугах, история операций потребителя, данные о заключенных договорах, история обращений потребителя, в том числе направляемые потребителем при обращениях в Общество документы, аудиозапись телефонных разговоров (при наличии); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: посетители Сайта и/или мобильного приложения, клиенты Общества; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ - Согласие на обработку ПД. 4.4.7. урегулирование претензий и жалоб потребителя. а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, способ обмена информацией (номер телефона, адрес электронной почты), данные об оказанных и оказываемых потребителю услугах, история операций потребителя, данные о заключенных договорах, история обращений потребителя, в том числе направляемые потребителем при обращениях в Общество документы, аудиозапись телефонных разговоров (при наличии), номер банковской карты (если претензия касается перечисления денежных средств на карту); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества, посетители Сайта и/или мобильного приложения; г) обработка персональных данных производится смешанным способом, д) правовое основание обработки ПД: п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, Закон РФ от 07.02.1992 № 2300-1 "О защите прав потребителей" (ст. 22, 31), Гражданский кодекс РФ (ст. 196), ст. 14, 15, 16, 17, 20, 21, 22.1 Закона № 152-ФЗ. 4.4.8. получение страхового возмещения по договору страхования заложенного имущества (при наступлении страхового случая). а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, данные о заключенных договорах; б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества; г) обработка персональных данных производится без использования средств автоматизации, д) правовое основание обработки ПД: п. 7 ч. 1 ст. 6 Закона № 152-ФЗ, Федеральный закон от 19.07.2007 №196-ФЗ "О ломбардах" (ст. 6), Гражданский Кодекс РФ (ст. 929). 4.4.9. бронирование товара на сайте. а) перечень обрабатываемых данных: фамилия, имя, отчество, контактная информация (номер телефона, адрес электронной почты); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: посетители Сайта и/или мобильного приложения; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ, Согласие на обработку ПД. 6 4.4.10. заключение и исполнение договора розничной купли-продажи невостребованного имущества (в том числе дистанционным способом). а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, контактная информация (номер телефона, адрес электронной почты); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных: клиенты Общества; г) обработка персональных данных производится использованием средств автоматизации, д) правовое основание обработки ПД: п. 5 ч. 1 ст. 6 Закона № 152-ФЗ, п. 1.4-2. статьи 7 Федерального закона от 07.08.2001 N 115-ФЗ (ред. от 14.07.2022) "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма". 4.4.10.1. исполнение договора в части доставки товара потребителю, заказанного онлайн способом или организация доставки, доставка предмета залога клиенту или организация доставки. а) перечень обрабатываемых данных: фамилия, имя, отчество, адрес доставки, контактная информация (номер телефона, адрес электронной почты); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества, посетители Сайта и/или мобильного приложения при дистанционном способе продажи; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 5 ч. 1 ст. 6 Закона № 152-ФЗ. 4.4.11. обеспечение требований безопасности и сохранности товарно-материальных ценностей. а) перечень обрабатываемых данных: аудиозапись разговоров (при наличии), видеозапись (при наличии). б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества, посетители Сайта и/или мобильного приложения; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ - Согласие на обработку ПД. 4.4.12. Ведение маркетинговых кампаний и продвижение Общества и его услуг на рынке: - направление потребителю информации и рекламы, касающейся деятельности и услуг Оператора, о проводимых акциях, мероприятиях, скидках, маркетинговых кампаниях; - выявление популярности мероприятий и определение эффективности маркетинговых кампаний, - осуществления контроля качества оказываемых Оператором услуг и улучшения качества оказываемых услуг, удобства их использования, проведения аналитических исследований посредством: - использования сервисов, - направления потребителю sms (смс), PUSH уведомлений и иных сообщений по сети подвижной радиотелефонной связи, в мессенджерах на номер телефона потребителя или по электронной почте, - осуществления звонков на номер телефона потребителя по сети подвижной радиотелефонной связи. а) перечень обрабатываемых данных: фамилия, имя, отчество, контактная информация (номер телефона, адрес электронной почты), аккаунт (учетная запись) в мессенджере; б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: посетители Сайта и/или мобильного приложения, клиенты Общества; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ - Согласие на обработку ПД. Субъекты ПД вправе в любой момент времени отказаться от получения рекламных рассылок путем направления Оператору соответствующего обращения. 4.4.13. Ведение маркетинговых кампаний в сети интернет: - проведение ретаргетинга, настройка рекламных кампаний; - осуществление аналитики сайта и мобильного приложения, отслеживание и понимания принципов использования сайта и мобильного приложения их пользователями, в том числе с помощью сервисов интернет-статистики (Яндекс Метрика, appmetrica.yandex, Roistat, MyTraker); - совершенствование функционирования сайта и мобильного приложения, решение технических проблем сайта и мобильного приложения, разработки новых продуктов, расширения услуг. 7 Для повышения удобства использования Сайта и мобильного приложения и улучшения их производительности мы используем Яндекс метрика, предоставленный компанией ООО «ЯНДЕКС», адрес: 119021, город Москва, ул. Льва Толстого, д.16. Данный аналитический сервис измеряет и анализирует, какие функции и контент нашего Сайта/мобильного приложения используются, каким образом и как часто. Исходя из этой информации, мы можем улучшить наш Сайт и мобильное приложение для пользователей. Данные пользователей хранятся на территории Российской Федерации. Более подробно о правилах хранения информации можно посмотреть в Политике конфиденциальности ООО «ЯНДЕКС» на сайте: https://yandex.ru/legal/confidential/. Также мы используем сервис Roistat для обеспечения коммуникаций и аналитики с посетителями сайта и мобильного приложения для сбора данных о действиях посетителей на Сайте, в мобильном приложении и предоставления Оператору инструментов для общения с пользователями. Сервис Roistat предоставляется ООО «Бизнес-Аналитика» (ОГРН: 1167746871984, ИНН: 7709973919, адрес: 109004, Город Москва, вн.тер.г. муниципальный округ Таганский, ул. Александра Солженицына, д. 23А, стр. 1, ПОМЕЩ. III, КОМ. 1). а) перечень обрабатываемых данных: пользовательские данные и файлы «cookie»: url и заголовок страницы; реферер страницы; сведения о местоположении и часовом поясе; сведения о браузере или почтовом клиенте, информационной системе, тип устройства и разрешение его экрана; источник, откуда пользователь был перенаправлен на сайт - с какого сайта или по какой рекламе; какие страницы открывает и на какие кнопки нажимает пользователь, длительность сессии, сведения о переходах по ссылкам в электронных письмах, сведения об IP-адресах пользователя и проч., б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: посетители Сайта и/или мобильного приложения; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ - Согласие на обработку ПД. Данные пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях посетителей сайта на сайте, в мобильном приложении, улучшения качества сайта и мобильного приложения и их содержания. 4.4.14. создание учетной записи на сайте или в мобильном приложении (регистрация), авторизация на сайте или в мобильном приложении, в чат-боте мессенджера; предоставление доступа к сервисам, информации и/или материалам, содержащимся на Сайте или в мобильном приложении, к персонализированным ресурсам Сайта или мобильного приложения. а) перечень обрабатываемых данных: фамилия, имя, отчество, контактная информация (номер телефона, адрес электронной почты), б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: посетители Сайта и/или мобильного приложения; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ - Согласие на обработку ПД. 4.4.15. управление взаимоотношениями с потребителями: - создание пользовательской базы создание сегментов данных клиентов; - анализ данных и операций клиентов; - анализ работы с клиентами и пр. а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, пол, сведения о месте регистрации, проживания, данные о резидентстве РФ, адрес доставки (если клиент заказывает сервис доставки), контактная информация (номер телефона, адрес электронной почты), данные об оказанных и оказываемых потребителю услугах, история операций потребителя, данные о заключенных договорах, история обращений потребителя, б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: посетители Сайта и/или мобильного приложения; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ - Согласие на обработку ПД. 4.4.16. предоставление, надлежащая эксплуатация, техническое и информационно-консультационное обслуживание средств автоматизации, программного обеспечения, информационных систем (в том числе сайта и мобильного приложения), используемых Оператором, услуги хостинга и системного администрирования сайта и мобильного приложения. а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право 8 пребывания на территории РФ, сведения о месте регистрации, проживания, адрес доставки (если клиент заказывает сервис доставки), контактная информация (номер телефона, адрес электронной почты), данные об оказанных и оказываемых потребителю услугах, история операций потребителя, данные о заключенных договорах, история обращений потребителя, б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: посетители Сайта и/или мобильного приложения, клиенты; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД:п. 7 ч. 1 ст. 6 Закона № 152-ФЗ, Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации" (ст. 6). 4.4.17. организация обработки персональных данных и обеспечения безопасности персональных данных. а) перечень обрабатываемых данных: персональные данные, фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, адрес доставки (если клиент заказывает сервис доставки), контактная информация (номер телефона, адрес электронной почты), данные об оказанных и оказываемых потребителю услугах, история операций потребителя, данные о заключенных договорах, история обращений потребителя. б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: посетители Сайта и/или мобильного приложения и клиенты Общества; г) обработка персональных данных производится смешанным способом обработки, д) правовое основание обработки ПД: п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (п. 1 ч. 1ст. 18.1, ст. 19, 22.1). 4.4.18. сбор статистики обращений и телефонных звонков (истории обращений) путем ведения баз данных, создания виртуальной АТС и пр.. а) перечень обрабатываемых данных: фамилия, имя, отчество, контактная информация (номер телефона, адрес электронной почты), аккаунт (учетная запись) в мессенджере, аудиозапись телефонных разговоров. б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества и посетители Сайта и/или мобильного приложения; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ - Согласие на обработку ПД. 4.4.19. исполнение законодательства о противодействии легализации доходов, полученных преступных путем: - идентификация клиентов (в том числе подтверждение достоверности и полноты предоставленных персональных данных для заключения договора с использованием программы для ЭВМ); - исполнение иных обязанностей законодательства о противодействии легализации доходов, полученных преступных путем. а) перечень обрабатываемых данных: персональные данные, фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, идентификационный номер налогоплательщика (при наличии); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, Федеральный закон от 07.08.2001 № 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (абз.2 п. 4 ч. 1 ст. 6, п. 1, 3, 4, 5, 7 ч. 1, ч. 4 ст. 7) Положение Банка России от 12.12.2014 № 444-П "Об идентификации некредитными финансовыми организациями клиентов, представителей клиента, выгодоприобретателей, бенефициарных владельцев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (п. 2.1 гл. 2). 4.4.20. исполнение законодательства по налоговому и бухгалтерскому учету (в том числе ведение автоматизированного учета операций), законодательства по хранению клиентских документов, хранению учетных документов, учет, архивация, архивирование договоров с клиентами, включающие систематизацию и каталогизацию. а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия 9 и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, способ обмена информацией (номер телефона). данные об оказанных и оказываемых потребителю услугах, история операций потребителя, данные о заключенных договорах; б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных: клиенты Общества; г) обработка персональных данных производится автоматизированным способом и без использования средств автоматизации (смешанный способ), д) правовое основание обработки ПД: п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, п. 2 ч.5 ст. 7 Федерального закона «О ломбардах» от 19.07.2007 N 196-ФЗ, п. 16 ч. 9 ст. 5 Федерального закона от 21.12.2013 N 353-ФЗ Налоговый кодекс РФ (пп.8 п.1. ст. 23), Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете» (п. 1 и 2 ст. 29), п. 7 ч. 1 ст. 6 Закона № 152-ФЗ, Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации" (ст. 6), Приказ Росархива от 20.12.2019 N 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения" (п. 187, 261), Указание Банка России от 11.05.2021 N 5790-У "Об установлении формы залогового билета" (Зарегистрировано в Минюсте России 30.06.2021 N 64051). 4.4.21. исполнение обязанностей по направлению ответов на запросы органов государственной власти, Банка России, предоставление информации в рамках контрольно-надзорных мероприятий. а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, контактная информация (номер телефона), данные об оказанных и оказываемых потребителю услугах, история операций потребителя, данные о заключенных договорах. б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества; г) обработка персональных данных производится смешанным способом, д) правовое основание обработки ПД: п. 2 ч. 1 ст. 6 Закона № 152-ФЗ: ч. 8 ст. 2, п.3. ч. 3 ст.2.3, п. 4 ч.4 ст. 2.3 Федерального закона «О ломбардах» от 19.07.2007 N 196-ФЗ, ч. 4 ст. 20 Закона № 152-ФЗ, Федеральный закон от 31.07.2020 № 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации", ч. 4. ст. 13 Федерального закона от 07.02.2011 N 3-ФЗ "О полиции", ст. 6 Федерального закона от 12.08.1995 N 144-ФЗ "Об оперативно-розыскной деятельности", ст. 6 Федерального закона от 17.01.1992 № 2202-1 "О прокуратуре Российской Федерации". 4.4.22. исполнение требований по внесению информации в ГИИС ДМДК. а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, номер телефона. б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 2 ч. 1 ст. 6 Закона № 152-ФЗ: Федеральный закон от 26.03.1998 N 41-ФЗ "О драгоценных металлах и драгоценных камнях" (п. 1 ч. 1. ст. 12.2, п. 3 части 4 ст.12.2), Постановление Правительства РФ от 26.02.2021 N 270 "О некоторых вопросах контроля за оборотом драгоценных металлов, драгоценных камней и изделий из них на всех этапах этого оборота и внесении изменений в некоторые акты Правительства Российской Федерации" (п.1, п. 38), Приказ Минфина России от 09.11.2021 N 173н "Об утверждении формата представляемой в государственную интегрированную информационную систему в сфере контроля за оборотом драгоценных металлов, драгоценных камней и изделий из них на всех этапах этого оборота информации, структуры сведений". 4.4.23. участие потребителей в акциях и мероприятиях, проводимых Оператором, идентификации участников мероприятий, организуемых Оператором и третьими лицами. а) перечень обрабатываемых данных: фамилия, имя, отчество, контактная информация (номер телефона, адрес электронной почты), аккаунт (учетная запись) в мессенджере, фотографическое изображение (для победителей акции). б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества; г) обработка персональных данных производится смешанным способом, д) правовое основание обработки ПД: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ - Согласие на обработку ПД. 10 4.5. При обращении в обособленные подразделения и через колл-центр данные, указанные в п. 4.3 настоящей Политики соответственно, обрабатываются в целях осуществления контроля качества оказываемых Обществом услуг, а также обеспечения требований безопасности и сохранности товарно-материальных ценностей. 4.6. Обработка персональных данных осуществляется: 4.6.1. с согласия субъекта персональных данных на обработку его персональных данных (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ); 4.6.2. необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ); 4.6.3. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ); 4.6.4. обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, за исключением случаев, когда такие интересы противоречат интересам или основным правам и свободам субъекта данных, которые требуют защиты персональных данных (п. 7 ч. 1 ст. 6 Закона № 152-ФЗ); 4.7. В случае, если правовым основанием для обработки персональных данных является п. 4.6.1 настоящей Политики, Общество получает и начинает обработку персональных данных потребителя с момента получения его согласия. Согласие на обработку персональных данных может быть дано потребителем в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством РФ, в том числе посредством совершения потребителем конклюдентных действий. В случае отсутствия согласия потребителя на обработку его персональных данных, такая обработка не осуществляется. Согласие на обработку персональных данных считается предоставленным посредством совершения потребителем любого действия: - заполнения документа на бумажном носителе в обособленных подразделениях Общества; - проставления на Сайте в соответствующей форме отметки о согласии на обработку персональных данных в объеме, для целей и в порядке, предусмотренных в предлагаемом перед получением согласия для ознакомления тексте; - путем отправки данных через формы регистрации и/или формы обратной связи на Сайте в Личном кабинете или в мобильном приложении. Отправляя свои персональные данные Обществу через формы обратной связи, пользователь выражает свое согласие с данной Политикой и предоставляет согласие на обработку его персональных данных; - сообщения персональных данных в устной форме при обращении в колл-центр по телефону. Согласие считается полученным в установленном порядке и действует в течение срока, указанного в согласии на обработку персональных данных или до момента направления потребителем соответствующего заявления о прекращении обработки персональных данных по адресу местонахождения Общества. 4.8. Получение персональных данных может осуществляться путём их предоставления самим потребителем, в том числе: - путем личной передачи потребителем при внесении сведений посредством программного обеспечения в договор, дополнительные соглашения, акты, анкеты, заявления, договор купли-продажи (при реализации невостребованного имущества), которые оформляются в печатном виде на бумажных носителях в обособленных подразделениях Общества, либо оформляются в виде электронных документов, подписываемых электронной подписью. При оформлении документов может осуществляться копирование (сканирование, фотокопирование) документов потребителя, содержащего персональные данные; - путем заполнения и/или отправки потребителем/пользователем самостоятельно через специальные формы, расположенные на Сайте, в том числе в Личном кабинете, или в мобильном приложении или направленные Обществу посредством электронной почты. Заполняя соответствующие формы и/или отправляя свои персональные данные Обществу, пользователь выражает свое согласие с данной Политикой и предоставляет согласие на обработку его персональных данных; - путем проставления на сайте в соответствующей форме отметки о согласии на обработку персональных данных в объеме, для целей и в порядке, предусмотренных в предлагаемом перед получением согласия для ознакомления тексте - путем личной передачи потребителем при обращении в колл-центр и сообщения их в устной форме по телефону; 11 - а также иными способами, не противоречащими законодательству РФ. Оператор обрабатывает данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript). Все ПД следует получать от самого субъекта. Если ПД субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПД, характере подлежащих получению ПД, перечне действий с ПД, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать согласие на их получение. При сборе ПД Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, прямо предусмотренных действующим законодательством РФ о ПД. 4.9. Условия прекращения обработки ПД: 4.9.1. достижение целей обработки ПД и максимальных сроков хранения ПД и документов, содержащих ПД; 4.9.2. утрата необходимости в достижении целей обработки ПД; 4.9.3. предоставление субъектом ПД или его законным представителем сведений, подтверждающих, что ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки; 4.9.4. невозможность обеспечения правомерности обработки ПД; 4.9.5. отзыв субъектом ПД согласия на обработку ПД, на основании которого производилась обработка, если сохранение ПД более не требуется для целей обработки ПД, и если отсутствует иное юридическое основание для обработки; 4.9.6. требование субъекта ПД к Оператору о прекращении обработки ПД, за исключением случаев, предусмотренных законодательством; 4.9.7. истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка ПД; 4.9.8. ликвидация или реорганизация Оператора. 4.10. Использование персональных данных возможно только в соответствии с целями, заявленными при их получении. 4.11. Персональные данные не могут быть использованы в целях затруднения реализации прав и свобод граждан РФ, а также в целях причинения имущественного и морального вреда гражданам. 4.12. Передача персональных данных потребителя возможна только с его согласия или в случаях, прямо предусмотренных законодательством РФ. 4.13. При передаче персональных данных потребителей Общество должно соблюдать следующие требования: - не сообщать персональные данные потребителей третьей стороне без согласия потребителя, за исключением случаев, установленных федеральным законом; - не сообщать персональные данные потребителя в коммерческих целях без его согласия; - предупредить лиц, получающих персональные данные потребителя, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Лица, получающие персональные данные потребителя, обязаны соблюдать режим конфиденциальности. 4.14. Передача персональных данных от Общества или его представителей третей стороне допускается только в целях выполнения задач, соответствующих объективной причине получения этих данных, и в объемах необходимых для достижения этих целей. 4.15. Обработка персональных данных третьей стороной, если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора, может осуществляться только на основании договора с Обществом, в котором содержится поручение на обработку персональных данных. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом № 152-ФЗ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом № 152-ФЗ. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона № 152-ФЗ, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность 12 обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Законом № 152-ФЗ, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 Законом № 152-ФЗ. РЕЕСТР ТРЕТЬИХ ЛИЦ, КОТОРЫЕ ОБРАБЫТЫВАЮТ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ПОТРЕБИТЕЛЕЙ ПО ПОРУЧЕНИЮ ОПЕРАТОРА, И ТРЕТЬИХ ЛИЦ, КОТОРЫМ ОПЕРАТОРОМ ПЕРЕДАЮТСЯ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ПОТРЕБИТЕЛЕЙ в целях, указанных в соответствующем Согласии на обработку персональных данных, а также указанных в настоящей Политике, размещен на сайте https://fianitlombard.ru, - адрес размещения: https://fianitlombard.ru/upload/reestr.pdf, а также дополнительно - в мобильном приложении «Фианит Ломбард» в разделе «Правовая информация». Субъект ПД обязуется самостоятельно отслеживать изменения в указанном выше РЕЕСТРЕ. Субъект ПД выражает согласие на то, что Оператор также вправе по своему усмотрению направить Субъекту ПД дополнительно уведомление об изменении списка третьих лиц, указанных в РЕЕСТРЕ, путем: Push-уведомления, сообщения в мессенджере, смс-сообщения на номер мобильного телефона или сообщения на адрес электронной почты. 4.16. Все меры конфиденциальности при сборе, обработке и хранении персональных данных потребителей распространяются как на бумажные, так и на электронные (автоматизированные) носители информации. Обработка его персональных данных может осуществляться путем автоматизированной обработки, неавтоматизированной обработки (без использования средств автоматизации) или смешанного способа обработки персональных данных (с использованием средств автоматизации и без использования средств автоматизации). При обработке могут быть использованы информационные системы, отчуждаемые машинные носители информации, бумажные носители информации, а также информационно-телекоммуникационные сети (включая сеть «Интернет») 4.17. Хранение персональных данных должно происходить в порядке, исключающем их утрату, искажение или их неправомерное использование. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении и в иных случаях, установленных законодательством. Оператор осуществляет обработку и хранение персональных данных субъектов данных не дольше, чем того требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или соглашением с субъектом персональных данных не установлен соответствующий срок хранения. Срок хранения персональных данных может быть установлен законом или предусмотрен согласием, предоставляемым Оператору субъектом персональных данных. После истечения сроков хранения персональные данные подлежат уничтожению. 4.17.1. Хранение персональных данных без использования средств автоматизации производится в порядке, установленном Положением об особенностях обработки персональных данных, осуществляемой без средств автоматизации. Общество определяет места хранения персональных данных, содержащихся на материальных носителях. 4.17.2. Хранение персональных данных с использованием средств автоматизации производится в следующем порядке. Персональные данные субъектов персональных данных, обрабатываемых Обществом, могут заноситься и храниться в Информационных системах. Обработка персональных данных автоматизированным способом осуществляется Обществом техническими средствами, под которыми понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства изготовления, тиражирования документов и другие технические средства обработки графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в Информационных системах. Местом физического хранения персональных данных в Информационных системах (материальные носители) являются сервера и иные устройства, осуществляющие резервное копирование баз данных, расположенные в серверных помещениях, исключающий несанкционированный доступ к информации. 13
5. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ 5.1. Внутренний доступ (доступ внутри Общества). 5.1.1. Право доступа к персональным данным потребителей имеют: - генеральный директор Общества; - руководители структурных подразделений Общества по направлению деятельности; - работники Общества при выполнении ими своих должностных обязанностей. 5.1.2. Список лиц, занимающихся обработкой персональных данных потребителей, определяется приказом генерального директора Общества. 5.2. Внешний доступ. 5.2.1. Сведения о персональных данных потребителей могут быть предоставлены государственным и негосударственным органам, Центральному Банку РФ, загружены в государственные информационные системы, в случаях, предусмотренных законом, без согласия субъекта персональных данных. 5.2.2. В иных случаях сведения о персональных данных потребителей негосударственным органам, коммерческим организациям могут быть предоставлены только с согласия субъекта. 5.2.3. Органы, осуществляющие надзорно-контрольные функции, могут иметь доступ к информации, содержащей персональные данные только в пределах своей компетенции.
6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ 6.1. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение сведениями, содержащими персональные данные, и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др. 6.2. Защита персональных данных представляет собой регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности Общества. 6.3. Защита персональных данных при их обработке обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и техническую защиту (средства защиты информации, средства предотвращения несанкционированного доступа). 6.4. Техническая защита включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД. Защита информационной системы («техническая защита») регламентируется отдельным положением. 6.5. Основными мерами защиты ПД, используемыми Оператором, являются: 6.5.1. Определение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением Оператором и его работниками требований к защите ПД. При этом, решение вопросов по организации обработки персональных данных и обеспечения безопасности персональных данных, полученных Оператором, может быть передано третьему лицу на основании договора при получении соответствующего согласия у субъекта персональных данных. 6.5.2. Определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мер и мероприятий по защите ПД. 6.5.3. Совершенствование политики в отношении обработки персональных данных. 6.5.4. Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД. 6.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями. 6.5.6. Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации. 6.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами. 6.5.8. Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ. 6.5.9. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер. 6.5.10. Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. 6.5.11. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных. 6.5.12. Осуществление внутреннего контроля. 14 6.6. Особенности обработки и защиты персональных данных, осуществляемой без использования средств автоматизации, регламентируется отдельным положением. 6.7. Организационные меры. Внутренняя защита. Для обеспечения внутренней защиты персональных данных потребителей необходимо: - ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний; - строгое избирательное и обоснованное распределение документов и информации между работниками; - рациональное размещение рабочих мест работников, позволяющее исключить бесконтрольное использование защищаемой информации; - знание работниками требований нормативно - методических документов по защите информации, содержащей персональные данные; - наличие необходимых условий в помещении для работы с базами данных, документами и другой информацией, содержащей персональные данные; - организация порядка уничтожения информации, содержащей персональные данные; - своевременное выявление нарушений требований разрешительной системы доступа работниками Общества к информации, содержащей персональные данные; - воспитательная и разъяснительная работа с работниками подразделений по предупреждению утраты сведений при работе с информацией, содержащей персональные данные. 6.8. Организационные меры. Внешняя защита. 6.8.1. Для защиты информации, содержащей персональные данные, создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лиц, пытающихся совершить несанкционированный доступ и овладение информацией. 6.8.2. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, в которых содержатся персональные данные потребителей. 6.8.3. Размещение информационной системы, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц. 6.8.4. Для обеспечения внешней защиты персональных данных потребителей необходимо соблюдение следующих мер: - порядок приема, учета и контроля посетителей; - пропускной режим организации; - учет и порядок выдачи пропусков; - технические средства охраны, сигнализации; - порядок охраны территории, зданий, помещений, транспортных средств. 6.9. Защита персональных данных потребителей обеспечивается за счет Общества в порядке, установленном федеральным законом.
7. СОГЛАСИЕ НА ПОЛУЧЕНИЕ РЕКЛАМНОЙ ИНФОРМАЦИИ ПО СЕТЯМ ЭЛЕКТРОСВЯЗИ 7.1. Потребитель, осуществляя подписку на получение рекламной информации: - в обособленных подразделениях Общества путем подписания документа на бумажном носителе; - путем подписания электронных документов; - на сайте путем проставления отметки потребителем на соответствующей веб-странице или отправки форм обратной связи; - по телефону в устной форме при обращении в колл-центр Общества предоставляет тем самым свое согласие на получение от Общества и привлеченных Обществом третьих лиц, по сетям электросвязи (по предоставленным номеру телефона и адресу электронной почты) информационных сообщений, а в том числе информации коммерческого рекламного характера (рекламы), указанных в пункте 4.4.12 настоящей Политики. 7.2. Давая согласие, указанное в пункте 7.1. настоящей Политики, потребитель подтверждает, что действует по своей воле и в своем интересе, а также то, что указанные персональные данные являются достоверными.
8. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ КОФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ 8.1. Руководитель, разрешающий доступ работника к информации, содержащей персональные данные потребителя, лично несёт ответственность за данное разрешение. 15 8.2. Работники Общества, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут ответственность в соответствии с действующим законодательством РФ. 8.3. Третьи лица, получившие правомерный доступ к персональным данным потребителей Общества, в случае искажения, незаконного копирования, распространения или утраты несут ответственность, предусмотренную действующим законодательством РФ. 8.4. Убытки, причиненные потребителю вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных подлежат возмещению в соответствии с законодательством РФ.
9. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ МАТЕРИАЛЬНЫХ НОСИТЕЛЕЙ 9.1. Оператор осуществляет систематический мониторинг персональных данных, в отношении которых наступили условия прекращения их обработки (п. 4.9 настоящей Политики), с последующим уничтожением документов, иных материальных носителей, содержащих персональные данные, а также удалением персональных данных, содержащихся в информационных системах Оператора, файлах, хранящихся на сервере ПЭВМ в соответствии с законодательством Российской Федерации или при наступлении иных законных оснований. 9.2. Персональные данные подлежат уничтожению в следующих случаях и в указанные сроки: 1) Субъект персональных данных представил Оператору сведения, подтверждающие, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки. Оператор обязан уничтожить персональные данные в течение 7 (семи) рабочих дней с момента поступления указанных выше сведений от Субъекта персональных данных (ч. 3 ст. 20 Закона № 152-ФЗ); Оператор обязан уведомить субъекта персональных данных или его представителя о предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы. 2) Оператор самостоятельно выявил случай неправомерной обработки персональных данных. Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган (ч. 3 ст. 21 закона № 152-ФЗ); 3) При достижении Оператором цели обработки персональных данных или максимальных сроков хранения. В этом случае Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами (ч. 4 ст. 21 закона № 152-ФЗ); 4) Субъект персональных данных отозвал согласие на обработку персональных данных. В этом случае Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами (ч. 5 ст. 21 закона № 152-ФЗ). 16 5) Субъект персональных данных обратился к Оператору с требованием о прекращении обработки персональных данных. Оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 настоящего Федерального закона. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. 6) Ликвидация Оператора. 9.3. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п. 2, п. 3, п. 4, 5 настоящей Политики, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами. 9.4. Отбор к уничтожению дел (документов), содержащих персональные данные, и их уничтожение проводятся на основании требований законодательства. В процессе уничтожения дел и документов необходимо исключить возможность ознакомления посторонних лиц с содержащимися в них персональными данными. 9.5. Уничтожение не вошедших в дела документов (копий документов), содержащих персональные данные, должно производиться Оператором путем сжигания или с помощью бумагорезательной машины. При этом должна быть исключена возможность прочтения текста уничтоженного документа. 9.6. Уничтожение персональных данных, хранящихся в информационных системах, на сервере ПЭВМ производится с использованием штатных средств информационных и операционных систем. 9.7. Уничтожение части персональных данных, если это допускает законодательство РФ и материальный носитель, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). 9.8. Бумажные носители, содержащие персональные данные, включая черновики и промежуточные версии рабочих документов, подлежат уничтожению по достижении целей обработки или по истечении сроков обработки или в случае утраты необходимости достижения этих целей, а также по окончании срока их хранения. Уничтожение производится путем сжигания или с помощью устройств для измельчения бумаги (шредеров), не допускающих возможность восстановления исходного документа. 9.9. В случае если обработка персональных данных осуществляется без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных. 9.10. В случае если обработка персональных данных осуществляется с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных, соответствующий требованиям, содержащимся в пунктах 9.11 – 9.12 настоящей Политики, и выгрузка из журнала регистрации событий в информационной системе персональных данных/отчет по изменениям версий объекта (далее - Отчет). 9.11. Акт об уничтожении персональных данных должен содержать: а) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес оператора; б) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку персональных данных субъекта (субъектов) персональных данных по поручению оператора (если обработка была поручена такому (таким) лицу (лицам); в) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены; г) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись; д) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных; е) наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации); 17 ж) наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных (в случае обработки персональных данных с использованием средств автоматизации); з) способ уничтожения персональных данных; и) причину уничтожения персональных данных; к) дату уничтожения персональных данных субъекта (субъектов) персональных данных. 9.12. Акт об уничтожении персональных данных в электронной форме, подписанный в соответствии с законодательством Российской Федерации, признается электронным документом, равнозначным акту об уничтожении персональных данных на бумажном носителе, подписанному собственноручной подписью лиц, указанных в подпункте "г" пункта 9.11 настоящей Политики. 9.13. Отчет по изменениям версий объекта должен содержать: а) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены; б) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных; в) наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных; г) причину уничтожения персональных данных; д) дату уничтожения персональных данных субъекта (субъектов) персональных данных. 9.14. В случае если Отчет по изменениям версий объекта не позволяет указать отдельные сведения, предусмотренные пунктом 9.13 настоящей Политики, недостающие сведения вносятся в акт об уничтожении персональных данных. 9.15. В случае если обработка персональных данных осуществляется оператором одновременно с использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных, соответствующий требованиям, установленным пунктах 9.11 – 9.12 настоящей Политики и Отчет по изменениям версий объекта, соответствующий требованиям, установленным пунктом 9.13 настоящей Политики. 9.16. Акт об уничтожении персональных данных и Отчет по изменениям версий объекта подлежат хранению в течение 3 лет с момента уничтожения персональных данных.
10.ОСНОВНЫЕ ПРАВА СУБЪЕКТА ПД И ОБЯЗАННОСТИ ОПЕРАТОРА. 10.1. Основные права субъекта ПД. Субъект имеет право на доступ к его персональным данным и следующим сведениям: – подтверждение факта обработки ПД Оператором; – правовые основания и цели обработки ПД; – цели и применяемые Оператором способы обработки ПД; – наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона; – сроки обработки персональных данных, в том числе сроки их хранения; – порядок осуществления субъектом ПД прав, предусмотренных настоящим Федеральным законом; – наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Оператора, если обработка поручена или будет поручена такому лицу; – обращение к Оператору и направление ему запросов; – обжалование действий или бездействия Оператора. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные применимым законодательством меры по защите своих прав. Если субъект ПД считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Закона № 152-ФЗ или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. Согласие на обработку персональных данных предоставляется на срок, указанный в таком согласии. Согласие на обработку персональных может быть отозвано субъектом персональных данных или его представителем путем направления письменного заявления Оператору по адресу местонахождения, указанному в разделе 2 настоящей Политики. В случае отзыва субъектом персональных данных или его представителем согласия на обработку 18 персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона № 152-ФЗ. О продолжении обработки Оператор вправе написать уведомление субъекту персональных данных. 10.2. Обязанности Оператора. Оператор обязан: – при сборе ПД предоставить информацию об обработке ПД; – в случаях если ПД были получены не от субъекта ПД, уведомить субъекта; – при отказе в предоставлении ПД субъекту разъясняются последствия такого отказа; – опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД; – принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД; – давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.
ПОЛИТИКА ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОТРЕБИТЕЛЕЙ
(в редакции от 12.12.2023 года)
1. ОБЩИЕ ПОЛОЖЕНИЯ 1.1. Настоящая Политика является локальным нормативным актом ООО «Фианит – Ломбард» (сокращенное наименование – ООО «Фианит – Ломбард», ИНН 7452031712, ОГРН 1027403767368, адрес местонахождения: Россия, Челябинская область, г. Челябинск, ул. Братьев Кашириных, д. 60А, 2 этаж, помещение 18), (далее – Общество или Оператор), и регламентирует отношения в области обращения с персональными данными потребителей, определяя сведения о реализуемых требованиях к защите персональных данных потребителей. Его требования обязательны для исполнения всеми работниками Общества. 1.2. Настоящая Политика разработана в соответствии с требованиями ст.24 Конституции РФ, Федеральных законов № 152-ФЗ от 27.07.2006 «О персональных данных» (далее по тексту – Закон № 152-ФЗ), №149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации», Гражданского кодекса РФ и других нормативных актов. 1.3. Настоящая Политика применяется в отношении всех персональных данных, которые могут быть получены Обществом от потребителей – физических лиц в процессе заключения и исполнения договоров между Обществом и потребителями, при реализации невостребованного имущества, при подаче заявок на оказание услуг, как при обращении в обособленные подразделения Общества, так и дистанционным способом, в том числе посредством заполнения форм обратной связи на Сайтах в информационно-телекоммуникационной сети «Интернет»: http://fianitlombard.ru, https://zolotocatalog.ru, http://фианит.онлайн; в мобильном приложении «Фианит Ломбад», через колл-центр Общества по телефону: 8 800 333 12 20 (далее – колл-центр), и которые могут быть однозначно соотнесены с конкретным потребителем и его персональными данными, а также в отношении всех персональных данных, которые могут быть получены Обществом о посетителях сайта Общества: http://fianitlombard.ru, а также о посетителях сайтов: https://zolotocatalog.ru, http://фианит.онлайн, https://donskoylombard.ru (далее по тексту Политики – Сайт или Сайты), а также о пользователях мобильного приложения «Фианит Ломбад» (далее по тексту Политики – мобильное приложение). 1.4. Целью данной Политики является защита персональных данных потребителей Общества от несанкционированного, в том числе случайного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных. 1.5. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях, предусмотренных законодательством РФ. 1.6. Настоящая Политика утверждается и вводится в действие приказом генерального директора Общества. 1.7. Политика вступает в силу с момента его утверждения и действует бессрочно (до замены ее новой редакцией документа). 1.8. Все изменения в Политику вносятся приказом генерального директора Общества в порядке, аналогичном его утверждению. 1.9. Настоящая Политика подлежит размещению в обособленных подразделениях Общества, а также в открытом доступе в информационно-телекоммуникационной сети Интернет по адресу: http://fianitlombard.ru, а также на сайтах https://zolotocatalog.ru, http://фианит.онлайн, https://donskoylombard.ru/ При размещении настоящей Политики на Сайте оно размещается на каждой странице сайта, на которой осуществляется сбор персональных данных.
2. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ Для целей настоящей Политики используются следующие основные термины и определения: - персональные данные потребителя (ПД) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата рождения, адрес, семейное положение, другая информация, необходимая Обществу для исполнения договоров и касающаяся конкретного потребителя, а также для предоставления доступа к Сайту и иных целей, указанных в настоящей Политике; - оператор - организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих 2 обработке, действия (операции), совершаемые с персональными данными. Оператором является Общество с ограниченной ответственностью «Фианит – Ломбард», ИНН 7452031712, ОГРН 1027403767368, расположенное по адресу: Россия, Челябинская область, г.Челябинск, ул. Братьев Кашириных, д. 60А, 2 этаж, помещение 18; - обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных; - распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; - использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающие права и свободы субъекта персональных данных или других лиц; - блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); - уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или, в результате которых уничтожаются материальные носители персональных данных; - информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; - конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания; - общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые, в соответствии с федеральными законами, не распространяется требование соблюдения конфиденциальности. - автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ Для обеспечения безопасности персональных данных Общество руководствуется следующими принципами: - законность: защита персональных данных основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты персональных данных; - системность: обработка персональных данных в Обществе осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных; - комплексность: защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах и других имеющихся в Обществе систем и средств защиты; - непрерывность: защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных; - своевременность: меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки; - преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты персональных данных осуществляется на основании результатов анализа практики обработки персональных данных в Обществе с учетом выявления новых способов и средств реализации угроз безопасности персональных данных, отечественного и зарубежного опыта в сфере защиты информации; - персональная ответственность: ответственность за обеспечение безопасности персональных данных возлагается на работников Общества в пределах их обязанностей, связанных с обработкой и защитой персональных данных; - минимизация прав доступа: доступ к персональным данным предоставляется работникам Общества только в объеме, необходимом для выполнения их должностных обязанностей; - гибкость: обеспечение выполнения функций защиты персональных данных при изменении характеристик функционирования информационных систем персональных данных Общества, а также объема и состава обрабатываемых персональных данных; 3 - открытость алгоритмов и механизмов защиты: структура, технологии и алгоритмы функционирования системы защиты персональных данных Общества не дают возможности преодоления имеющихся в Обществе систем защиты возможными нарушителями безопасности персональных данных; - научная обоснованность и техническая реализуемость: уровень мер по защите персональных данных определяется современным уровнем развития информационных технологий и средств защиты информации; - специализация и профессионализм: реализация мер по обеспечению безопасности персональных данных и эксплуатация системы защиты персональных данных осуществляются работниками Общества, имеющими необходимые для этого квалификацию и опыт; - наблюдаемость и прозрачность: меры по обеспечению безопасности персональных данных должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль; - непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты персональных данных, а результаты контроля регулярно анализируются.
4. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 4.1. В целях обеспечения защиты персональных данных потребителей Общества при их обработке устанавливаются нижеизложенные требования. 4.2. При определении объёма и содержания обрабатываемых персональных потребителей, в отношение которых производится обработка персональных данных. Общество осуществляет обработку следующего перечня персональных данных потребителей (клиентов Общества и посетителей Сайтов Общества и/или мобильного приложения), не относящихся к специальной категории персональных данных или к биометрическим персональным данным: 4.2.1. фамилия, имя, отчество; 4.2.2. дата рождения; 4.2.3. гражданство; 4.2.4. тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ; 4.2.5. сведения о месте регистрации, проживания; 4.2.6. адрес доставки; 4.2.7. контактная информация (номер телефона, адрес электронной почты); 4.2.8. данные об оказанных и оказываемых потребителю услугах, история операций потребителя, данные о заключенных договорах; 4.2.9. пользовательские данные и файлы «cookie»: url и заголовок страницы; реферер страницы; сведения о местоположении и часовом поясе; сведения о браузере или почтовом клиенте, информационной системе, сведения о сети, тип устройства и разрешение его экрана; источник, откуда пользователь был перенаправлен на сайт - с какого сайта или по какой рекламе, сведения об отправке форм, скачивании файлов; какие страницы открывает и на какие кнопки нажимает пользователь, длительность сессии, сведения о переходах по ссылкам в электронных письмах, сведения об IP-адресах пользователя, Wi-Fi, Bluetooth и проч.; 4.2.10. история обращений потребителя, в том числе направляемые потребителем при обращениях в Общество документы; 4.2.11. номер банковской карты; 4.2.12. аккаунт (учетная запись) в мессенджере; 4.2.13. аудиозапись телефонных разговоров; 4.2.14. идентификационный номер налогоплательщика; 4.2.15. фотография. 4.3. При обращении потребителей в обособленные подразделения Общество обрабатывает также видеоизображение при оказании услуг потребителю исключительно в целях обеспечения безопасности, контроля за обстановкой в клиентской зоне, в силу чего установка систем видеонаблюдения не является источником определения личности потребителей по смыслу, заложенному в Федеральном законе от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и иных нормативно-правовых актах. Видеоизображение не используется в целях идентификации потребителя. 4.4. Обработка персональных данных потребителей осуществляется Обществом в следующих целях: 4.4.1. осуществление предварительной оценки имущества в целях последующей передачи в залог. а) перечень обрабатываемых данных: фамилия, имя, отчество, адрес, контактная информация (номер телефона, адрес электронной почты); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: посетители сайта; 4 г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ - Согласие на обработку ПД. 4.4.2. заключение и исполнение соглашений об электронном документообороте. а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, контактная информация (номер телефона, адрес электронной почты); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества; г) обработка персональных данных производится автоматизированным способом и без использования средств автоматизации (смешанный способ), д) правовое основание обработки ПД: п. 5 ч. 1 ст. 6 Закона № 152-ФЗ. 4.4.2.1. создания и проверка электронной подписи, ключа простой электронной подписи с использованием одноразовых кодов, направляемых по SMS, направление кодов в SMS (исполнение соглашения об электронном документообороте) а) перечень обрабатываемых данных: контактная информация (номер телефона); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 5 ч. 1 ст. 6 Закона № 152-ФЗ. 4.4.3. заключение договоров займа и их исполнение, изменение, заключение дополнительных соглашений, актов приема-передачи предмета залога между Обществом и потребителями. а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, адрес доставки (если клиент заказывает сервис доставки), способ обмена информацией (номер телефона, адрес электронной почты); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных: клиенты Общества; г) обработка персональных данных производится автоматизированным способом и без использования средств автоматизации (смешанный способ), д) правовое основание обработки ПД: п. 5 ч. 1 ст. 6 Закона № 152-ФЗ, п. 2 ч.5 ст. 7 Федерального закона «О ломбардах» от 19.07.2007 N 196-ФЗ , п. 16 ч. 9 ст. 5 Федерального закона от 21.12.2013 N 353-ФЗ, Указание Банка России от 11.05.2021 N 5790-У "Об установлении формы залогового билета" (Зарегистрировано в Минюсте России 30.06.2021 N 64051). 4.4.3.1 исполнение договора в части перечисление клиенту денежных средств в безналичном порядке (при необходимости). а) перечень обрабатываемых данных: номер банковской карты; б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 5 ч. 1 ст. 6 Закона № 152-ФЗ. 4.4.4. направление клиенту информации о задолженности. а) перечень обрабатываемых данных: фамилия, имя, отчество, контактная информация (номер телефона, адрес электронной почты); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, Федеральный закон от 21.12.2013 № 353-ФЗ "О потребительском кредите (займе)" (ст. 10). 4.4.5. урегулирование просроченной задолженности в случае неисполнения или ненадлежащего исполнения договорных обязательств (в случае выемки заложенного имущества), взыскание ущерба, урегулирование иных споров с потребителями. а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, контактная информация (номер телефона, адрес электронной почты), данные об оказанных и оказываемых потребителю услугах, история операций потребителя, данные о заключенных договорах, история обращений потребителя, в том числе направляемые потребителем при обращениях в Общество документы; б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества; 5 г) обработка персональных данных производится автоматизированным способом и без использования средств автоматизации, д) правовое основание обработки ПД: п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, Федеральный закон от 19.07.2007 № 196-ФЗ "О ломбардах" (ст. 4), Гражданский кодекс РФ (ст. 15, 196, 1064). 4.4.6. взаимодействие с потребителем: - по вопросам, связанным с оказанием услуг; - в целях предоставления эффективной клиентской поддержки; - в целях предоставления посетителям Сайта или мобильного приложения технической поддержки при возникновении проблем, связанных с использованием Сайта или мобильного приложения, посредством направления уведомлений, запросов и информации путем: - направления потребителю sms (смс), PUSH уведомлений и иных сообщений по сети подвижной радиотелефонной связи, в мессенджерах на номер телефона потребителя или по электронной почте, - осуществления звонков на номер телефона потребителя по сети подвижной радиотелефонной связи. а) перечень обрабатываемых данных: фамилия, имя, отчество, способ обмена информацией (номер телефона, адрес электронной почты), данные об оказанных и оказываемых потребителю услугах, история операций потребителя, данные о заключенных договорах, история обращений потребителя, в том числе направляемые потребителем при обращениях в Общество документы, аудиозапись телефонных разговоров (при наличии); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: посетители Сайта и/или мобильного приложения, клиенты Общества; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ - Согласие на обработку ПД. 4.4.7. урегулирование претензий и жалоб потребителя. а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, способ обмена информацией (номер телефона, адрес электронной почты), данные об оказанных и оказываемых потребителю услугах, история операций потребителя, данные о заключенных договорах, история обращений потребителя, в том числе направляемые потребителем при обращениях в Общество документы, аудиозапись телефонных разговоров (при наличии), номер банковской карты (если претензия касается перечисления денежных средств на карту); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества, посетители Сайта и/или мобильного приложения; г) обработка персональных данных производится смешанным способом, д) правовое основание обработки ПД: п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, Закон РФ от 07.02.1992 № 2300-1 "О защите прав потребителей" (ст. 22, 31), Гражданский кодекс РФ (ст. 196), ст. 14, 15, 16, 17, 20, 21, 22.1 Закона № 152-ФЗ. 4.4.8. получение страхового возмещения по договору страхования заложенного имущества (при наступлении страхового случая). а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, данные о заключенных договорах; б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества; г) обработка персональных данных производится без использования средств автоматизации, д) правовое основание обработки ПД: п. 7 ч. 1 ст. 6 Закона № 152-ФЗ, Федеральный закон от 19.07.2007 №196-ФЗ "О ломбардах" (ст. 6), Гражданский Кодекс РФ (ст. 929). 4.4.9. бронирование товара на сайте. а) перечень обрабатываемых данных: фамилия, имя, отчество, контактная информация (номер телефона, адрес электронной почты); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: посетители Сайта и/или мобильного приложения; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ, Согласие на обработку ПД. 6 4.4.10. заключение и исполнение договора розничной купли-продажи невостребованного имущества (в том числе дистанционным способом). а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, контактная информация (номер телефона, адрес электронной почты); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных: клиенты Общества; г) обработка персональных данных производится использованием средств автоматизации, д) правовое основание обработки ПД: п. 5 ч. 1 ст. 6 Закона № 152-ФЗ, п. 1.4-2. статьи 7 Федерального закона от 07.08.2001 N 115-ФЗ (ред. от 14.07.2022) "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма". 4.4.10.1. исполнение договора в части доставки товара потребителю, заказанного онлайн способом или организация доставки, доставка предмета залога клиенту или организация доставки. а) перечень обрабатываемых данных: фамилия, имя, отчество, адрес доставки, контактная информация (номер телефона, адрес электронной почты); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества, посетители Сайта и/или мобильного приложения при дистанционном способе продажи; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 5 ч. 1 ст. 6 Закона № 152-ФЗ. 4.4.11. обеспечение требований безопасности и сохранности товарно-материальных ценностей. а) перечень обрабатываемых данных: аудиозапись разговоров (при наличии), видеозапись (при наличии). б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества, посетители Сайта и/или мобильного приложения; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ - Согласие на обработку ПД. 4.4.12. Ведение маркетинговых кампаний и продвижение Общества и его услуг на рынке: - направление потребителю информации и рекламы, касающейся деятельности и услуг Оператора, о проводимых акциях, мероприятиях, скидках, маркетинговых кампаниях; - выявление популярности мероприятий и определение эффективности маркетинговых кампаний, - осуществления контроля качества оказываемых Оператором услуг и улучшения качества оказываемых услуг, удобства их использования, проведения аналитических исследований посредством: - использования сервисов, - направления потребителю sms (смс), PUSH уведомлений и иных сообщений по сети подвижной радиотелефонной связи, в мессенджерах на номер телефона потребителя или по электронной почте, - осуществления звонков на номер телефона потребителя по сети подвижной радиотелефонной связи. а) перечень обрабатываемых данных: фамилия, имя, отчество, контактная информация (номер телефона, адрес электронной почты), аккаунт (учетная запись) в мессенджере; б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: посетители Сайта и/или мобильного приложения, клиенты Общества; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ - Согласие на обработку ПД. Субъекты ПД вправе в любой момент времени отказаться от получения рекламных рассылок путем направления Оператору соответствующего обращения. 4.4.13. Ведение маркетинговых кампаний в сети интернет: - проведение ретаргетинга, настройка рекламных кампаний; - осуществление аналитики сайта и мобильного приложения, отслеживание и понимания принципов использования сайта и мобильного приложения их пользователями, в том числе с помощью сервисов интернет-статистики (Яндекс Метрика, appmetrica.yandex, Roistat, MyTraker); - совершенствование функционирования сайта и мобильного приложения, решение технических проблем сайта и мобильного приложения, разработки новых продуктов, расширения услуг. 7 Для повышения удобства использования Сайта и мобильного приложения и улучшения их производительности мы используем Яндекс метрика, предоставленный компанией ООО «ЯНДЕКС», адрес: 119021, город Москва, ул. Льва Толстого, д.16. Данный аналитический сервис измеряет и анализирует, какие функции и контент нашего Сайта/мобильного приложения используются, каким образом и как часто. Исходя из этой информации, мы можем улучшить наш Сайт и мобильное приложение для пользователей. Данные пользователей хранятся на территории Российской Федерации. Более подробно о правилах хранения информации можно посмотреть в Политике конфиденциальности ООО «ЯНДЕКС» на сайте: https://yandex.ru/legal/confidential/. Также мы используем сервис Roistat для обеспечения коммуникаций и аналитики с посетителями сайта и мобильного приложения для сбора данных о действиях посетителей на Сайте, в мобильном приложении и предоставления Оператору инструментов для общения с пользователями. Сервис Roistat предоставляется ООО «Бизнес-Аналитика» (ОГРН: 1167746871984, ИНН: 7709973919, адрес: 109004, Город Москва, вн.тер.г. муниципальный округ Таганский, ул. Александра Солженицына, д. 23А, стр. 1, ПОМЕЩ. III, КОМ. 1). а) перечень обрабатываемых данных: пользовательские данные и файлы «cookie»: url и заголовок страницы; реферер страницы; сведения о местоположении и часовом поясе; сведения о браузере или почтовом клиенте, информационной системе, тип устройства и разрешение его экрана; источник, откуда пользователь был перенаправлен на сайт - с какого сайта или по какой рекламе; какие страницы открывает и на какие кнопки нажимает пользователь, длительность сессии, сведения о переходах по ссылкам в электронных письмах, сведения об IP-адресах пользователя и проч., б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: посетители Сайта и/или мобильного приложения; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ - Согласие на обработку ПД. Данные пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях посетителей сайта на сайте, в мобильном приложении, улучшения качества сайта и мобильного приложения и их содержания. 4.4.14. создание учетной записи на сайте или в мобильном приложении (регистрация), авторизация на сайте или в мобильном приложении, в чат-боте мессенджера; предоставление доступа к сервисам, информации и/или материалам, содержащимся на Сайте или в мобильном приложении, к персонализированным ресурсам Сайта или мобильного приложения. а) перечень обрабатываемых данных: фамилия, имя, отчество, контактная информация (номер телефона, адрес электронной почты), б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: посетители Сайта и/или мобильного приложения; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ - Согласие на обработку ПД. 4.4.15. управление взаимоотношениями с потребителями: - создание пользовательской базы создание сегментов данных клиентов; - анализ данных и операций клиентов; - анализ работы с клиентами и пр. а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, пол, сведения о месте регистрации, проживания, данные о резидентстве РФ, адрес доставки (если клиент заказывает сервис доставки), контактная информация (номер телефона, адрес электронной почты), данные об оказанных и оказываемых потребителю услугах, история операций потребителя, данные о заключенных договорах, история обращений потребителя, б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: посетители Сайта и/или мобильного приложения; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ - Согласие на обработку ПД. 4.4.16. предоставление, надлежащая эксплуатация, техническое и информационно-консультационное обслуживание средств автоматизации, программного обеспечения, информационных систем (в том числе сайта и мобильного приложения), используемых Оператором, услуги хостинга и системного администрирования сайта и мобильного приложения. а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право 8 пребывания на территории РФ, сведения о месте регистрации, проживания, адрес доставки (если клиент заказывает сервис доставки), контактная информация (номер телефона, адрес электронной почты), данные об оказанных и оказываемых потребителю услугах, история операций потребителя, данные о заключенных договорах, история обращений потребителя, б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: посетители Сайта и/или мобильного приложения, клиенты; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД:п. 7 ч. 1 ст. 6 Закона № 152-ФЗ, Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации" (ст. 6). 4.4.17. организация обработки персональных данных и обеспечения безопасности персональных данных. а) перечень обрабатываемых данных: персональные данные, фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, адрес доставки (если клиент заказывает сервис доставки), контактная информация (номер телефона, адрес электронной почты), данные об оказанных и оказываемых потребителю услугах, история операций потребителя, данные о заключенных договорах, история обращений потребителя. б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: посетители Сайта и/или мобильного приложения и клиенты Общества; г) обработка персональных данных производится смешанным способом обработки, д) правовое основание обработки ПД: п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (п. 1 ч. 1ст. 18.1, ст. 19, 22.1). 4.4.18. сбор статистики обращений и телефонных звонков (истории обращений) путем ведения баз данных, создания виртуальной АТС и пр.. а) перечень обрабатываемых данных: фамилия, имя, отчество, контактная информация (номер телефона, адрес электронной почты), аккаунт (учетная запись) в мессенджере, аудиозапись телефонных разговоров. б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества и посетители Сайта и/или мобильного приложения; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ - Согласие на обработку ПД. 4.4.19. исполнение законодательства о противодействии легализации доходов, полученных преступных путем: - идентификация клиентов (в том числе подтверждение достоверности и полноты предоставленных персональных данных для заключения договора с использованием программы для ЭВМ); - исполнение иных обязанностей законодательства о противодействии легализации доходов, полученных преступных путем. а) перечень обрабатываемых данных: персональные данные, фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, идентификационный номер налогоплательщика (при наличии); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, Федеральный закон от 07.08.2001 № 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (абз.2 п. 4 ч. 1 ст. 6, п. 1, 3, 4, 5, 7 ч. 1, ч. 4 ст. 7) Положение Банка России от 12.12.2014 № 444-П "Об идентификации некредитными финансовыми организациями клиентов, представителей клиента, выгодоприобретателей, бенефициарных владельцев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (п. 2.1 гл. 2). 4.4.20. исполнение законодательства по налоговому и бухгалтерскому учету (в том числе ведение автоматизированного учета операций), законодательства по хранению клиентских документов, хранению учетных документов, учет, архивация, архивирование договоров с клиентами, включающие систематизацию и каталогизацию. а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия 9 и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, способ обмена информацией (номер телефона). данные об оказанных и оказываемых потребителю услугах, история операций потребителя, данные о заключенных договорах; б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных: клиенты Общества; г) обработка персональных данных производится автоматизированным способом и без использования средств автоматизации (смешанный способ), д) правовое основание обработки ПД: п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, п. 2 ч.5 ст. 7 Федерального закона «О ломбардах» от 19.07.2007 N 196-ФЗ, п. 16 ч. 9 ст. 5 Федерального закона от 21.12.2013 N 353-ФЗ Налоговый кодекс РФ (пп.8 п.1. ст. 23), Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете» (п. 1 и 2 ст. 29), п. 7 ч. 1 ст. 6 Закона № 152-ФЗ, Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации" (ст. 6), Приказ Росархива от 20.12.2019 N 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения" (п. 187, 261), Указание Банка России от 11.05.2021 N 5790-У "Об установлении формы залогового билета" (Зарегистрировано в Минюсте России 30.06.2021 N 64051). 4.4.21. исполнение обязанностей по направлению ответов на запросы органов государственной власти, Банка России, предоставление информации в рамках контрольно-надзорных мероприятий. а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, контактная информация (номер телефона), данные об оказанных и оказываемых потребителю услугах, история операций потребителя, данные о заключенных договорах. б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества; г) обработка персональных данных производится смешанным способом, д) правовое основание обработки ПД: п. 2 ч. 1 ст. 6 Закона № 152-ФЗ: ч. 8 ст. 2, п.3. ч. 3 ст.2.3, п. 4 ч.4 ст. 2.3 Федерального закона «О ломбардах» от 19.07.2007 N 196-ФЗ, ч. 4 ст. 20 Закона № 152-ФЗ, Федеральный закон от 31.07.2020 № 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации", ч. 4. ст. 13 Федерального закона от 07.02.2011 N 3-ФЗ "О полиции", ст. 6 Федерального закона от 12.08.1995 N 144-ФЗ "Об оперативно-розыскной деятельности", ст. 6 Федерального закона от 17.01.1992 № 2202-1 "О прокуратуре Российской Федерации". 4.4.22. исполнение требований по внесению информации в ГИИС ДМДК. а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, номер телефона. б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 2 ч. 1 ст. 6 Закона № 152-ФЗ: Федеральный закон от 26.03.1998 N 41-ФЗ "О драгоценных металлах и драгоценных камнях" (п. 1 ч. 1. ст. 12.2, п. 3 части 4 ст.12.2), Постановление Правительства РФ от 26.02.2021 N 270 "О некоторых вопросах контроля за оборотом драгоценных металлов, драгоценных камней и изделий из них на всех этапах этого оборота и внесении изменений в некоторые акты Правительства Российской Федерации" (п.1, п. 38), Приказ Минфина России от 09.11.2021 N 173н "Об утверждении формата представляемой в государственную интегрированную информационную систему в сфере контроля за оборотом драгоценных металлов, драгоценных камней и изделий из них на всех этапах этого оборота информации, структуры сведений". 4.4.23. участие потребителей в акциях и мероприятиях, проводимых Оператором, идентификации участников мероприятий, организуемых Оператором и третьими лицами. а) перечень обрабатываемых данных: фамилия, имя, отчество, контактная информация (номер телефона, адрес электронной почты), аккаунт (учетная запись) в мессенджере, фотографическое изображение (для победителей акции). б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества; г) обработка персональных данных производится смешанным способом, д) правовое основание обработки ПД: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ - Согласие на обработку ПД. 10 4.5. При обращении в обособленные подразделения и через колл-центр данные, указанные в п. 4.3 настоящей Политики соответственно, обрабатываются в целях осуществления контроля качества оказываемых Обществом услуг, а также обеспечения требований безопасности и сохранности товарно-материальных ценностей. 4.6. Обработка персональных данных осуществляется: 4.6.1. с согласия субъекта персональных данных на обработку его персональных данных (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ); 4.6.2. необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ); 4.6.3. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ); 4.6.4. обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, за исключением случаев, когда такие интересы противоречат интересам или основным правам и свободам субъекта данных, которые требуют защиты персональных данных (п. 7 ч. 1 ст. 6 Закона № 152-ФЗ); 4.7. В случае, если правовым основанием для обработки персональных данных является п. 4.6.1 настоящей Политики, Общество получает и начинает обработку персональных данных потребителя с момента получения его согласия. Согласие на обработку персональных данных может быть дано потребителем в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством РФ, в том числе посредством совершения потребителем конклюдентных действий. В случае отсутствия согласия потребителя на обработку его персональных данных, такая обработка не осуществляется. Согласие на обработку персональных данных считается предоставленным посредством совершения потребителем любого действия: - заполнения документа на бумажном носителе в обособленных подразделениях Общества; - проставления на Сайте в соответствующей форме отметки о согласии на обработку персональных данных в объеме, для целей и в порядке, предусмотренных в предлагаемом перед получением согласия для ознакомления тексте; - путем отправки данных через формы регистрации и/или формы обратной связи на Сайте в Личном кабинете или в мобильном приложении. Отправляя свои персональные данные Обществу через формы обратной связи, пользователь выражает свое согласие с данной Политикой и предоставляет согласие на обработку его персональных данных; - сообщения персональных данных в устной форме при обращении в колл-центр по телефону. Согласие считается полученным в установленном порядке и действует в течение срока, указанного в согласии на обработку персональных данных или до момента направления потребителем соответствующего заявления о прекращении обработки персональных данных по адресу местонахождения Общества. 4.8. Получение персональных данных может осуществляться путём их предоставления самим потребителем, в том числе: - путем личной передачи потребителем при внесении сведений посредством программного обеспечения в договор, дополнительные соглашения, акты, анкеты, заявления, договор купли-продажи (при реализации невостребованного имущества), которые оформляются в печатном виде на бумажных носителях в обособленных подразделениях Общества, либо оформляются в виде электронных документов, подписываемых электронной подписью. При оформлении документов может осуществляться копирование (сканирование, фотокопирование) документов потребителя, содержащего персональные данные; - путем заполнения и/или отправки потребителем/пользователем самостоятельно через специальные формы, расположенные на Сайте, в том числе в Личном кабинете, или в мобильном приложении или направленные Обществу посредством электронной почты. Заполняя соответствующие формы и/или отправляя свои персональные данные Обществу, пользователь выражает свое согласие с данной Политикой и предоставляет согласие на обработку его персональных данных; - путем проставления на сайте в соответствующей форме отметки о согласии на обработку персональных данных в объеме, для целей и в порядке, предусмотренных в предлагаемом перед получением согласия для ознакомления тексте - путем личной передачи потребителем при обращении в колл-центр и сообщения их в устной форме по телефону; 11 - а также иными способами, не противоречащими законодательству РФ. Оператор обрабатывает данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript). Все ПД следует получать от самого субъекта. Если ПД субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПД, характере подлежащих получению ПД, перечне действий с ПД, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать согласие на их получение. При сборе ПД Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, прямо предусмотренных действующим законодательством РФ о ПД. 4.9. Условия прекращения обработки ПД: 4.9.1. достижение целей обработки ПД и максимальных сроков хранения ПД и документов, содержащих ПД; 4.9.2. утрата необходимости в достижении целей обработки ПД; 4.9.3. предоставление субъектом ПД или его законным представителем сведений, подтверждающих, что ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки; 4.9.4. невозможность обеспечения правомерности обработки ПД; 4.9.5. отзыв субъектом ПД согласия на обработку ПД, на основании которого производилась обработка, если сохранение ПД более не требуется для целей обработки ПД, и если отсутствует иное юридическое основание для обработки; 4.9.6. требование субъекта ПД к Оператору о прекращении обработки ПД, за исключением случаев, предусмотренных законодательством; 4.9.7. истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка ПД; 4.9.8. ликвидация или реорганизация Оператора. 4.10. Использование персональных данных возможно только в соответствии с целями, заявленными при их получении. 4.11. Персональные данные не могут быть использованы в целях затруднения реализации прав и свобод граждан РФ, а также в целях причинения имущественного и морального вреда гражданам. 4.12. Передача персональных данных потребителя возможна только с его согласия или в случаях, прямо предусмотренных законодательством РФ. 4.13. При передаче персональных данных потребителей Общество должно соблюдать следующие требования: - не сообщать персональные данные потребителей третьей стороне без согласия потребителя, за исключением случаев, установленных федеральным законом; - не сообщать персональные данные потребителя в коммерческих целях без его согласия; - предупредить лиц, получающих персональные данные потребителя, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Лица, получающие персональные данные потребителя, обязаны соблюдать режим конфиденциальности. 4.14. Передача персональных данных от Общества или его представителей третей стороне допускается только в целях выполнения задач, соответствующих объективной причине получения этих данных, и в объемах необходимых для достижения этих целей. 4.15. Обработка персональных данных третьей стороной, если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора, может осуществляться только на основании договора с Обществом, в котором содержится поручение на обработку персональных данных. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом № 152-ФЗ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом № 152-ФЗ. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона № 152-ФЗ, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность 12 обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Законом № 152-ФЗ, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 Законом № 152-ФЗ. РЕЕСТР ТРЕТЬИХ ЛИЦ, КОТОРЫЕ ОБРАБЫТЫВАЮТ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ПОТРЕБИТЕЛЕЙ ПО ПОРУЧЕНИЮ ОПЕРАТОРА, И ТРЕТЬИХ ЛИЦ, КОТОРЫМ ОПЕРАТОРОМ ПЕРЕДАЮТСЯ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ПОТРЕБИТЕЛЕЙ в целях, указанных в соответствующем Согласии на обработку персональных данных, а также указанных в настоящей Политике, размещен на сайте https://fianitlombard.ru, - адрес размещения: https://fianitlombard.ru/upload/reestr.pdf, а также дополнительно - в мобильном приложении «Фианит Ломбард» в разделе «Правовая информация». Субъект ПД обязуется самостоятельно отслеживать изменения в указанном выше РЕЕСТРЕ. Субъект ПД выражает согласие на то, что Оператор также вправе по своему усмотрению направить Субъекту ПД дополнительно уведомление об изменении списка третьих лиц, указанных в РЕЕСТРЕ, путем: Push-уведомления, сообщения в мессенджере, смс-сообщения на номер мобильного телефона или сообщения на адрес электронной почты. 4.16. Все меры конфиденциальности при сборе, обработке и хранении персональных данных потребителей распространяются как на бумажные, так и на электронные (автоматизированные) носители информации. Обработка его персональных данных может осуществляться путем автоматизированной обработки, неавтоматизированной обработки (без использования средств автоматизации) или смешанного способа обработки персональных данных (с использованием средств автоматизации и без использования средств автоматизации). При обработке могут быть использованы информационные системы, отчуждаемые машинные носители информации, бумажные носители информации, а также информационно-телекоммуникационные сети (включая сеть «Интернет») 4.17. Хранение персональных данных должно происходить в порядке, исключающем их утрату, искажение или их неправомерное использование. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении и в иных случаях, установленных законодательством. Оператор осуществляет обработку и хранение персональных данных субъектов данных не дольше, чем того требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или соглашением с субъектом персональных данных не установлен соответствующий срок хранения. Срок хранения персональных данных может быть установлен законом или предусмотрен согласием, предоставляемым Оператору субъектом персональных данных. После истечения сроков хранения персональные данные подлежат уничтожению. 4.17.1. Хранение персональных данных без использования средств автоматизации производится в порядке, установленном Положением об особенностях обработки персональных данных, осуществляемой без средств автоматизации. Общество определяет места хранения персональных данных, содержащихся на материальных носителях. 4.17.2. Хранение персональных данных с использованием средств автоматизации производится в следующем порядке. Персональные данные субъектов персональных данных, обрабатываемых Обществом, могут заноситься и храниться в Информационных системах. Обработка персональных данных автоматизированным способом осуществляется Обществом техническими средствами, под которыми понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства изготовления, тиражирования документов и другие технические средства обработки графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в Информационных системах. Местом физического хранения персональных данных в Информационных системах (материальные носители) являются сервера и иные устройства, осуществляющие резервное копирование баз данных, расположенные в серверных помещениях, исключающий несанкционированный доступ к информации. 13
5. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ 5.1. Внутренний доступ (доступ внутри Общества). 5.1.1. Право доступа к персональным данным потребителей имеют: - генеральный директор Общества; - руководители структурных подразделений Общества по направлению деятельности; - работники Общества при выполнении ими своих должностных обязанностей. 5.1.2. Список лиц, занимающихся обработкой персональных данных потребителей, определяется приказом генерального директора Общества. 5.2. Внешний доступ. 5.2.1. Сведения о персональных данных потребителей могут быть предоставлены государственным и негосударственным органам, Центральному Банку РФ, загружены в государственные информационные системы, в случаях, предусмотренных законом, без согласия субъекта персональных данных. 5.2.2. В иных случаях сведения о персональных данных потребителей негосударственным органам, коммерческим организациям могут быть предоставлены только с согласия субъекта. 5.2.3. Органы, осуществляющие надзорно-контрольные функции, могут иметь доступ к информации, содержащей персональные данные только в пределах своей компетенции.
6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ 6.1. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение сведениями, содержащими персональные данные, и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др. 6.2. Защита персональных данных представляет собой регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности Общества. 6.3. Защита персональных данных при их обработке обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и техническую защиту (средства защиты информации, средства предотвращения несанкционированного доступа). 6.4. Техническая защита включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД. Защита информационной системы («техническая защита») регламентируется отдельным положением. 6.5. Основными мерами защиты ПД, используемыми Оператором, являются: 6.5.1. Определение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением Оператором и его работниками требований к защите ПД. При этом, решение вопросов по организации обработки персональных данных и обеспечения безопасности персональных данных, полученных Оператором, может быть передано третьему лицу на основании договора при получении соответствующего согласия у субъекта персональных данных. 6.5.2. Определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мер и мероприятий по защите ПД. 6.5.3. Совершенствование политики в отношении обработки персональных данных. 6.5.4. Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД. 6.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями. 6.5.6. Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации. 6.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами. 6.5.8. Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ. 6.5.9. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер. 6.5.10. Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. 6.5.11. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных. 6.5.12. Осуществление внутреннего контроля. 14 6.6. Особенности обработки и защиты персональных данных, осуществляемой без использования средств автоматизации, регламентируется отдельным положением. 6.7. Организационные меры. Внутренняя защита. Для обеспечения внутренней защиты персональных данных потребителей необходимо: - ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний; - строгое избирательное и обоснованное распределение документов и информации между работниками; - рациональное размещение рабочих мест работников, позволяющее исключить бесконтрольное использование защищаемой информации; - знание работниками требований нормативно - методических документов по защите информации, содержащей персональные данные; - наличие необходимых условий в помещении для работы с базами данных, документами и другой информацией, содержащей персональные данные; - организация порядка уничтожения информации, содержащей персональные данные; - своевременное выявление нарушений требований разрешительной системы доступа работниками Общества к информации, содержащей персональные данные; - воспитательная и разъяснительная работа с работниками подразделений по предупреждению утраты сведений при работе с информацией, содержащей персональные данные. 6.8. Организационные меры. Внешняя защита. 6.8.1. Для защиты информации, содержащей персональные данные, создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лиц, пытающихся совершить несанкционированный доступ и овладение информацией. 6.8.2. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, в которых содержатся персональные данные потребителей. 6.8.3. Размещение информационной системы, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц. 6.8.4. Для обеспечения внешней защиты персональных данных потребителей необходимо соблюдение следующих мер: - порядок приема, учета и контроля посетителей; - пропускной режим организации; - учет и порядок выдачи пропусков; - технические средства охраны, сигнализации; - порядок охраны территории, зданий, помещений, транспортных средств. 6.9. Защита персональных данных потребителей обеспечивается за счет Общества в порядке, установленном федеральным законом.
7. СОГЛАСИЕ НА ПОЛУЧЕНИЕ РЕКЛАМНОЙ ИНФОРМАЦИИ ПО СЕТЯМ ЭЛЕКТРОСВЯЗИ 7.1. Потребитель, осуществляя подписку на получение рекламной информации: - в обособленных подразделениях Общества путем подписания документа на бумажном носителе; - путем подписания электронных документов; - на сайте путем проставления отметки потребителем на соответствующей веб-странице или отправки форм обратной связи; - по телефону в устной форме при обращении в колл-центр Общества предоставляет тем самым свое согласие на получение от Общества и привлеченных Обществом третьих лиц, по сетям электросвязи (по предоставленным номеру телефона и адресу электронной почты) информационных сообщений, а в том числе информации коммерческого рекламного характера (рекламы), указанных в пункте 4.4.12 настоящей Политики. 7.2. Давая согласие, указанное в пункте 7.1. настоящей Политики, потребитель подтверждает, что действует по своей воле и в своем интересе, а также то, что указанные персональные данные являются достоверными.
8. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ КОФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ 8.1. Руководитель, разрешающий доступ работника к информации, содержащей персональные данные потребителя, лично несёт ответственность за данное разрешение. 15 8.2. Работники Общества, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут ответственность в соответствии с действующим законодательством РФ. 8.3. Третьи лица, получившие правомерный доступ к персональным данным потребителей Общества, в случае искажения, незаконного копирования, распространения или утраты несут ответственность, предусмотренную действующим законодательством РФ. 8.4. Убытки, причиненные потребителю вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных подлежат возмещению в соответствии с законодательством РФ.
9. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ МАТЕРИАЛЬНЫХ НОСИТЕЛЕЙ 9.1. Оператор осуществляет систематический мониторинг персональных данных, в отношении которых наступили условия прекращения их обработки (п. 4.9 настоящей Политики), с последующим уничтожением документов, иных материальных носителей, содержащих персональные данные, а также удалением персональных данных, содержащихся в информационных системах Оператора, файлах, хранящихся на сервере ПЭВМ в соответствии с законодательством Российской Федерации или при наступлении иных законных оснований. 9.2. Персональные данные подлежат уничтожению в следующих случаях и в указанные сроки: 1) Субъект персональных данных представил Оператору сведения, подтверждающие, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки. Оператор обязан уничтожить персональные данные в течение 7 (семи) рабочих дней с момента поступления указанных выше сведений от Субъекта персональных данных (ч. 3 ст. 20 Закона № 152-ФЗ); Оператор обязан уведомить субъекта персональных данных или его представителя о предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы. 2) Оператор самостоятельно выявил случай неправомерной обработки персональных данных. Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган (ч. 3 ст. 21 закона № 152-ФЗ); 3) При достижении Оператором цели обработки персональных данных или максимальных сроков хранения. В этом случае Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами (ч. 4 ст. 21 закона № 152-ФЗ); 4) Субъект персональных данных отозвал согласие на обработку персональных данных. В этом случае Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами (ч. 5 ст. 21 закона № 152-ФЗ). 16 5) Субъект персональных данных обратился к Оператору с требованием о прекращении обработки персональных данных. Оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 настоящего Федерального закона. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. 6) Ликвидация Оператора. 9.3. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п. 2, п. 3, п. 4, 5 настоящей Политики, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами. 9.4. Отбор к уничтожению дел (документов), содержащих персональные данные, и их уничтожение проводятся на основании требований законодательства. В процессе уничтожения дел и документов необходимо исключить возможность ознакомления посторонних лиц с содержащимися в них персональными данными. 9.5. Уничтожение не вошедших в дела документов (копий документов), содержащих персональные данные, должно производиться Оператором путем сжигания или с помощью бумагорезательной машины. При этом должна быть исключена возможность прочтения текста уничтоженного документа. 9.6. Уничтожение персональных данных, хранящихся в информационных системах, на сервере ПЭВМ производится с использованием штатных средств информационных и операционных систем. 9.7. Уничтожение части персональных данных, если это допускает законодательство РФ и материальный носитель, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). 9.8. Бумажные носители, содержащие персональные данные, включая черновики и промежуточные версии рабочих документов, подлежат уничтожению по достижении целей обработки или по истечении сроков обработки или в случае утраты необходимости достижения этих целей, а также по окончании срока их хранения. Уничтожение производится путем сжигания или с помощью устройств для измельчения бумаги (шредеров), не допускающих возможность восстановления исходного документа. 9.9. В случае если обработка персональных данных осуществляется без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных. 9.10. В случае если обработка персональных данных осуществляется с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных, соответствующий требованиям, содержащимся в пунктах 9.11 – 9.12 настоящей Политики, и выгрузка из журнала регистрации событий в информационной системе персональных данных/отчет по изменениям версий объекта (далее - Отчет). 9.11. Акт об уничтожении персональных данных должен содержать: а) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес оператора; б) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку персональных данных субъекта (субъектов) персональных данных по поручению оператора (если обработка была поручена такому (таким) лицу (лицам); в) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены; г) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись; д) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных; е) наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации); 17 ж) наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных (в случае обработки персональных данных с использованием средств автоматизации); з) способ уничтожения персональных данных; и) причину уничтожения персональных данных; к) дату уничтожения персональных данных субъекта (субъектов) персональных данных. 9.12. Акт об уничтожении персональных данных в электронной форме, подписанный в соответствии с законодательством Российской Федерации, признается электронным документом, равнозначным акту об уничтожении персональных данных на бумажном носителе, подписанному собственноручной подписью лиц, указанных в подпункте "г" пункта 9.11 настоящей Политики. 9.13. Отчет по изменениям версий объекта должен содержать: а) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены; б) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных; в) наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных; г) причину уничтожения персональных данных; д) дату уничтожения персональных данных субъекта (субъектов) персональных данных. 9.14. В случае если Отчет по изменениям версий объекта не позволяет указать отдельные сведения, предусмотренные пунктом 9.13 настоящей Политики, недостающие сведения вносятся в акт об уничтожении персональных данных. 9.15. В случае если обработка персональных данных осуществляется оператором одновременно с использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных, соответствующий требованиям, установленным пунктах 9.11 – 9.12 настоящей Политики и Отчет по изменениям версий объекта, соответствующий требованиям, установленным пунктом 9.13 настоящей Политики. 9.16. Акт об уничтожении персональных данных и Отчет по изменениям версий объекта подлежат хранению в течение 3 лет с момента уничтожения персональных данных.
10.ОСНОВНЫЕ ПРАВА СУБЪЕКТА ПД И ОБЯЗАННОСТИ ОПЕРАТОРА. 10.1. Основные права субъекта ПД. Субъект имеет право на доступ к его персональным данным и следующим сведениям: – подтверждение факта обработки ПД Оператором; – правовые основания и цели обработки ПД; – цели и применяемые Оператором способы обработки ПД; – наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона; – сроки обработки персональных данных, в том числе сроки их хранения; – порядок осуществления субъектом ПД прав, предусмотренных настоящим Федеральным законом; – наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Оператора, если обработка поручена или будет поручена такому лицу; – обращение к Оператору и направление ему запросов; – обжалование действий или бездействия Оператора. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные применимым законодательством меры по защите своих прав. Если субъект ПД считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Закона № 152-ФЗ или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. Согласие на обработку персональных данных предоставляется на срок, указанный в таком согласии. Согласие на обработку персональных может быть отозвано субъектом персональных данных или его представителем путем направления письменного заявления Оператору по адресу местонахождения, указанному в разделе 2 настоящей Политики. В случае отзыва субъектом персональных данных или его представителем согласия на обработку 18 персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона № 152-ФЗ. О продолжении обработки Оператор вправе написать уведомление субъекту персональных данных. 10.2. Обязанности Оператора. Оператор обязан: – при сборе ПД предоставить информацию об обработке ПД; – в случаях если ПД были получены не от субъекта ПД, уведомить субъекта; – при отказе в предоставлении ПД субъекту разъясняются последствия такого отказа; – опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД; – принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД; – давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.