Политика оператора в отношении обработки персональных данных
1. Общие положения
1.1. Политика оператора в отношении обработки персональных данных (далее — Политика) разработана в целях обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Настоящая Политика разработана в соответствии с требованиями ст.24 Конституции РФ, Федеральных законов № 152-ФЗ от 27.07.2006 «О персональных данных» (далее по тексту – Закон № 152-ФЗ), №149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации», Гражданского кодекса РФ и других нормативных актов.
1.3. Настоящая Политика является локальным нормативным актом ООО «Ломбард № 1» ИНН 6659042229, ОГРН 1026605394364, адрес местонахождения: 620075, Россия, Свердловская область, г. Екатеринбург, ул. Белинского, д. 8/10, (далее – Общество или Оператор), и регламентирует отношения в области обращения с персональными данными потребителей, определяя сведения о реализуемых требованиях к защите персональных данных потребителей. Его требования обязательны для исполнения всеми работниками Общества.
1.4. Целью данной Политики является защита персональных данных потребителей Общества от несанкционированного, в том числе случайного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных.
1.5. Настоящая Политика утверждается и вводится в действие приказом генерального директора Общества.
1.6. Политика вступает в силу с момента его утверждения и действует бессрочно (до замены ее новой редакцией документа).
1.7. Все изменения в Политику вносятся приказом генерального директора Общества в порядке, аналогичном его утверждению.
1.8. Настоящая Политика подлежит размещению в обособленных подразделениях Общества, а также в открытом доступе в информационно-телекоммуникационной сети Интернет по адресу: https://lombardone.ru/. При размещении настоящей Политики на Сайте оно размещается на каждой странице сайта, на которой осуществляется сбор персональных данных.
2. Основные понятия, используемые в Политике
— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
— обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
— автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
— распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
— предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
— блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
— уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
— обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
— оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
3.Правовые основания обработки персональных данных
3.1. Правовым основанием обработки персональных данных являются:
— совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных:
— Конституция Российской Федерации;
— Гражданский кодекс Российской Федерации;
— Трудовой кодекс Российской Федерации;
— Налоговый кодекс Российской Федерации;
— Федеральный закон от 6 декабря 2011 г. N 402-ФЗ «О бухгалтерском учете»;
— Федеральный закон от 15 декабря 2001 г. N 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
— Федеральный закон от 27.07.06 № 152-ФЗ «О персональных данных».
— Федеральный закон «О ломбардах» от 19.07.2007 N 196-ФЗ;
— уставные документы оператора;
— договоры, заключаемые между оператором и субъектом персональных данных;
— согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).
— иные нормативные правовые акты
4.Основные права субъекта персональных данных и обязанности Оператора
4.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
— подтверждение факта обработки персональных данных оператором;
— правовые основания и цели обработки персональных данных;
— цели и применяемые оператором способы обработки персональных данных;
— наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
— обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
— сроки обработки персональных данных, в том числе сроки их хранения;
— порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных);
— информацию об осуществленной или о предполагаемой трансграничной передаче данных;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
— информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Закона о персональных данных;
— иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.
4.2. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.3. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
4.4. Оператор, получивший доступ к персональным данным, обязан:
4.4.1. Соблюдать конфиденциальность персональных данных — не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
4.4.2. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Закона о персональных данных;
4.4.3. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона о персональных данных.
4.5. Оператор персональных данных вправе:
— отстаивать свои интересы в суде;
— предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
— отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
— использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.
5.Цели сбора персональных данных
5.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
5.2. Цели обработки персональных данных происходят в том числе из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, а также деятельности, которая предусмотрена учредительными документами оператора, и конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).
5.3. К целям обработки персональных данных оператора относятся:
— осуществления деятельности, предусмотренной учредительными документами Оператора;
— заключение, исполнение и прекращение гражданско-правовых договоров;
— организация кадрового учета организации, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам;
— ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами;
— исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц, взносов во внебюджетные фонды и страховых взносов во внебюджетные фонды, пенсионного законодательства при формировании и передаче в СФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование;
— заполнение первичной статистической документации в соответствии с трудовым, налоговым законодательством и иными федеральными законами;
— продвижение товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с потенциальными контрагентами и клиентами с помощью средств связи;
— взаимодействие с пользователями сайтов Оператора и обработка запросов и заявок от пользователей сайтов;
6.Порядок и условия обработки персональных данных
6.1. Оператор осуществляет обработку персональных данных — операции, совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
6.2. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Законом о персональных данных.
6.3. Обработка персональных данных оператором ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.
6.4. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6.5. При осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Закона о персональных данных. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее — материальные носители), в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
6.6. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
6.7. Оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных. Кроме того, оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации
6.8. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено
6.9. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами. Состав и перечень мер оператор определяет самостоятельно.
6.10. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7.Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
7.1. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
7.2. Обработка персональных данных допускается в следующих случаях:
— обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
— обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
— обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
— обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
— обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
— обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Закона о персональных данных, при условии обязательного обезличивания персональных данных;
— осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
7.3. Общество осуществляет обработку следующего перечня персональных данных потребителей (клиентов Общества и посетителей Сайтов Общества ), не относящихся к специальной категории персональных данных или к биометрическим персональным данным:
7.3.1. фамилия, имя, отчество;
7.3.2. дата рождения;
7.3.3. гражданство;
7.3.4. тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ;
7.3.5. сведения о месте регистрации, проживания;
7.3.6. контактная информация (номер телефона, адрес электронной почты);
7.3.7. данные об оказанных и оказываемых потребителю услугах;
7.3.8. пользовательские данные и файлы «cookie» (url и заголовок страницы; реферер страницы; сведения о местоположении и часовом поясе; тип и версия операционной системы; тип и версия браузера; тип устройства и разрешение его экрана; источник, откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык операционной системы и браузера; какие страницы открывает и на какие кнопки нажимает пользователь, сведения об IP-адресах пользователя); сведения о почтовом клиенте; сведения об используемом браузере; сведения о переходах по ссылкам в электронных письмах; сведения о месторасположении; сведения об IP-адресах пользователя, с которых пользователь открывает электронное письмо.
7.3.9 история обращений потребителя, в том числе направляемые потребителем при обращениях в Общество документы;
7.3.10. номер банковской карты;
7.3.11. аккаунт (учетная запись) в мессенджере;
7.3.12. идентификационный номер налогоплательщика;
7.4. При обращении потребителей в обособленные подразделения Общество обрабатывает также видеоизображение при оказании услуг потребителю исключительно в целях обеспечения безопасности, контроля за обстановкой в клиентской зоне, в силу чего установка систем видеонаблюдения не является источником определения личности потребителей по смыслу, заложенному в Федеральном законе от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и иных нормативно-правовых актах. Видеоизображение не используется в целях идентификации потребителя
7.5. К категориям субъектов персональных данных относятся:
7.5.1. Работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников, а также в целях ведения кадрового и бухгалтерского учета. В данной категории субъектов оператором обрабатываются персональные данные: фамилия, имя, отчество; год, месяц, дата, место рождения; адрес (адрес регистрации, фактического проживания); паспортные данные или документ, его заменяющий; сведения о наличии заграничного паспорта; адрес электронной почты; номер контактного телефона; информация о гражданстве; реквизиты свидетельств о регистрации актов гражданского состояния (брак, развод, свидетельство о рождении, свидетельство о смерти), номера расчетных счетов и банковских карт; семейное, социальное, имущественное положение; состав семьи; сведения об образовании (специальность по диплому, послевузовское профессиональное образование); сведения о профессиональной переподготовке и (или) повышении квалификации; ученая степень, ученое звание, профессия; информация о владении иностранными языками, степень владения; сведения о воинском учете; данные страхового полиса обязательного медицинского страхования, реквизиты страхового свидетельства государственного пенсионного страхования; сведения об идентификационном номере налогоплательщика; сведения о наличии льгот; сведения о временной нетрудоспособности; сведения о трудовой деятельности (сведения о предыдущих местах работы, стаж работы);
Способы обработки: смешанная; с передачей по внутренней сети юридического лица;
с передачей по сети Интернет.
7.5.2. Заключение договоров займа и их исполнение, изменение, заключение дополнительных соглашений, актов приема-передачи предмета залога между Обществом и потребителями.
а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, адрес доставки (если клиент заказывает сервис доставки), способ обмена информацией (номер телефона, адрес электронной почты);
б) категория обрабатываемых данных – общая/иная;
в) категория субъектов обрабатываемых персональных: клиенты Общества;
г) обработка персональных данных производится автоматизированным способом и без использования средств автоматизации (смешанный способ),
д) правовое основание обработки ПД: п. 5 ч. 1 ст. 6 Закона № 152-ФЗ, п. 2 ч.5 ст. 7 Федерального закона «О ломбардах» от 19.07.2007 N 196-ФЗ , п. 16 ч. 9 ст. 5 Федерального закона от 21.12.2013 N 353-ФЗ, Указание Банка России от 11.05.2021 N 5790-У «Об установлении формы залогового билета» (Зарегистрировано в Минюсте России 30.06.2021 N 64051).
7.5.3. Исполнение договора в части перечисление клиенту денежных средств в безналичном порядке (при необходимости).
а) перечень обрабатываемых данных: номер банковской карты;
б) категория обрабатываемых данных – общая/иная;
в) категория субъектов обрабатываемых персональных данных: клиенты Общества;
г) обработка персональных данных производится автоматизированным способом,
д) правовое основание обработки ПД: п. 5 ч. 1 ст. 6 Закона № 152-ФЗ.
7.5.4. Направление клиенту информации о задолженности:
а) перечень обрабатываемых данных: фамилия, имя, отчество, контактная информация (номер телефона, адрес электронной почты);
б) категория обрабатываемых данных – общая/иная;
в) категория субъектов обрабатываемых персональных данных: клиенты Общества;
г) обработка персональных данных производится автоматизированным способом,
д) правовое основание обработки ПД: п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, Федеральный закон от 21.12.2013 № 353-ФЗ «О потребительском кредите (займе)» (ст. 10).
7.5.5. урегулирование просроченной задолженности в случае неисполнения или ненадлежащего исполнения договорных обязательств (в случае выемки заложенного имущества), взыскание ущерба, урегулирование иных споров с потребителями.
а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, контактная информация (номер телефона, адрес электронной почты), данные об оказанных и оказываемых потребителю услугах, заключенных договорах, история обращений потребителя, в том числе направляемые потребителем при обращениях в Общество документы;
б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества;
г) обработка персональных данных производится автоматизированным способом и без использования средств автоматизации, д) правовое основание обработки ПД: п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, Федеральный закон от 19.07.2007 № 196-ФЗ «О ломбардах» (ст. 4), Гражданский кодекс РФ (ст. 15, 196, 1064).
7.5.6. урегулирование претензий и жалоб потребителя.
а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, способ обмена информацией (номер телефона, адрес электронной почты), данные об оказанных и оказываемых потребителю услугах, заключенных договорах, история обращений потребителя, в том числе направляемые потребителем при обращениях в Общество документы, аудиозапись телефонных разговоров (при наличии), номер банковской карты (если претензия касается перечисления денежных средств на карту);
б) категория обрабатываемых данных – общая/иная;
в) категория субъектов обрабатываемых персональных данных: клиенты Общества, посетители Сайта и/или мобильного приложения;
г) обработка персональных данных производится смешанным способом, д) правовое основание обработки ПД: п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей» (ст. 22, 31), Гражданский кодекс РФ (ст. 196), ст. 14, 15, 16, 17, 20, 21, 22.1 Закона № 152-ФЗ.
7.5.7. получение страхового возмещения по договору страхования заложенного имущества (при наступлении страхового случая).
а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, данные о заключенных договорах;
б) категория обрабатываемых данных – общая/иная;
в) категория субъектов обрабатываемых персональных данных: клиенты Общества; г) обработка персональных данных производится без использования средств автоматизации, д) правовое основание обработки ПД: п. 7 ч. 1 ст. 6 Закона № 152-ФЗ, Федеральный закон от 19.07.2007 №196-ФЗ «О ломбардах» (ст. 6), Гражданский Кодекс РФ (ст. 929).
7.5.8. заключение и исполнение договора розничной купли-продажи невостребованного имущества (в том числе дистанционным способом).
а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, контактная информация 6 (номер телефона, адрес электронной почты);
б) категория обрабатываемых данных – общая/иная;
в) категория субъектов обрабатываемых персональных: клиенты Общества;
г) обработка персональных данных производится использованием средств автоматизации,
д) правовое основание обработки ПД: п. 5 ч. 1 ст. 6 Закона № 152-ФЗ, п. 1.4-2. статьи 7 Федерального закона от 07.08.2001 N 115-ФЗ (ред. от 14.07.2022) «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
7.5.9. исполнение договора в части доставки товара потребителю, заказанного онлайн способом или организация доставки, доставка предмета залога клиенту или организация доставки.
а) перечень обрабатываемых данных: фамилия, имя, отчество, адрес доставки, контактная информация (номер телефона, адрес электронной почты);
б) категория обрабатываемых данных – общая/иная;
в) категория субъектов обрабатываемых персональных данных: клиенты Общества, посетители Сайта и/или мобильного приложения при дистанционном способе продажи;
г) обработка персональных данных производится автоматизированным способом,
д) правовое основание обработки ПД: п. 5 ч. 1 ст. 6 Закона № 152-ФЗ.
7.5.10. обеспечение требований безопасности и сохранности товарно-материальных ценностей.
а) перечень обрабатываемых данных: аудиозапись телефонных разговоров (при наличии), видеозапись (при наличии).
б) категория обрабатываемых данных – общая/иная;
в) категория субъектов обрабатываемых персональных данных: клиенты Общества, посетители Сайта и/или мобильного приложения;
г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ — Согласие на обработку ПД
7.5.11. Ведение маркетинговых кампаний и продвижение Общества и его услуг на рынке:
— направление потребителю информации и рекламы, касающейся деятельности и услуг Оператора, о проводимых акциях, мероприятиях, скидках, маркетинговых кампаниях;
— выявление популярности мероприятий и определение эффективности маркетинговых кампаний,
— осуществления контроля качества оказываемых Оператором услуг и улучшения качества оказываемых услуг, удобства их использования, проведения аналитических исследований посредством использования сервисов, а также направления потребителю sms, иных сообщений, по сети подвижной радиотелефонной связи или осуществления звонков на номер телефона, а также в мессенджерах, по электронной почте, путем направления PUSH уведомлений.
а) перечень обрабатываемых данных: фамилия, имя, отчество, контактная информация (номер телефона, адрес электронной почты), аккаунт (учетная запись) в мессенджере; б) категория обрабатываемых данных – общая/иная;
в) категория субъектов обрабатываемых персональных данных: посетители Сайта и/или мобильного приложения, клиенты Общества;
г) обработка персональных данных производится автоматизированным способом, д
) правовое основание обработки ПД: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ — Согласие на обработку ПД. Субъекты ПД вправе в любой момент времени отказаться от получения рекламных рассылок путем направления Оператору соответствующего обращения.
7.5.12. Ведение маркетинговых кампаний в сети интернет:
— проведение ретаргетинга, настройка рекламных кампаний;
— осуществление аналитики сайта, отслеживание и понимания принципов использования сайта их пользователями;
— совершенствование функционирования сайта, решение технических проблем сайта, разработки новых продуктов, расширения услуг.
1) а) перечень обрабатываемых данных: пользовательские данные и файлы «cookie» (url и заголовок страницы; реферер страницы; сведения о местоположении и часовом поясе; тип и версия операционной системы; тип и версия браузера; тип устройства и разрешение его экрана; источник, откуда пользователь был перенаправлен на сайт или мобильное приложение — с какого сайта или по какой рекламе; язык операционной системы и браузера; какие страницы открывает и на какие кнопки нажимает пользователь, сведения об IP-адресах пользователя); сведения о почтовом клиенте; сведения об используемом браузере; сведения о переходах по ссылкам в электронных письмах; сведения о месторасположении; сведения об IP-адресах пользователя, с которых пользователь открывает электронное письмо,
б) категория обрабатываемых данных – общая/иная;
в) категория субъектов обрабатываемых персональных данных: посетители Сайта и/или мобильного приложения;
г) обработка персональных данных производится автоматизированным способом,
д) правовое основание обработки ПД: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ — Согласие на обработку ПД. Данные пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях посетителей сайта на сайте, в мобильном приложении, улучшения качества сайта и мобильного приложения и их содержания.
7.5.13. создание учетной записи на сайте или в мобильном приложении (регистрация), авторизация на сайте или в чат-боте мессенджера; предоставление доступа к сервисам, информации и/или материалам, содержащимся на Сайте, к персонализированным ресурсам Сайта.
а) перечень обрабатываемых данных: фамилия, имя, отчество, контактная информация (номер телефона, адрес электронной почты),
б) категория обрабатываемых данных – общая/иная; в
) категория субъектов обрабатываемых персональных данных: посетители Сайта и/или мобильного приложения;
г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ — Согласие на обработку ПД.
7.5.14. исполнение законодательства о противодействии легализации доходов, полученных преступных путем:
— идентификация клиентов (в том числе подтверждение достоверности и полноты предоставленных персональных данных для заключения договора с использованием программы для ЭВМ);
— исполнение иных обязанностей законодательства о противодействии легализации доходов, полученных преступных путем.
а) перечень обрабатываемых данных: персональные данные, фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, идентификационный номер налогоплательщика (при наличии);
б) категория обрабатываемых данных – общая/иная;
в) категория субъектов обрабатываемых персональных данных: клиенты Общества;
г) обработка персональных данных производится автоматизированным способом,
д) правовое основание обработки ПД: п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (абз.2 п. 4 ч. 1 ст. 6, п. 1, 3, 4, 5, 7 ч. 1, ч. 4 ст. 7) Положение Банка России от 12.12.2014 № 444-П «Об идентификации некредитными финансовыми организациями клиентов, представителей клиента, выгодоприобретателей, бенефициарных владельцев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (п. 2.1 гл. 2).
7.5.15. исполнение законодательства по налоговому и бухгалтерскому учету (в том числе ведение автоматизированного учета операций), законодательства по хранению клиентских документов, хранению учетных документов. А
) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, способ обмена информацией (номер телефона). данные об оказанных и оказываемых потребителю услугах, заключенных договорах;
б) категория обрабатываемых данных – общая/иная;
в) категория субъектов обрабатываемых персональных: клиенты Общества;
г) обработка персональных данных производится автоматизированным способом и без использования 9 средств автоматизации (смешанный способ),
д) правовое основание обработки ПД: п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, п. 2 ч.5 ст. 7 Федерального закона «О ломбардах» от 19.07.2007 N 196-ФЗ, п. 16 ч. 9 ст. 5 Федерального закона от 21.12.2013 N 353-ФЗ Налоговый кодекс РФ (пп.8 п.1. ст. 23), Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете» (п. 1 и 2 ст. 29), п. 7 ч. 1 ст. 6 Закона № 152-ФЗ, Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (ст. 6), Приказ Росархива от 20.12.2019 N 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения» (п. 187, 261), Указание Банка России от 11.05.2021 N 5790-У «Об установлении формы залогового билета» (Зарегистрировано в Минюсте России 30.06.2021 N 64051).
7.5.16. исполнение обязанностей по направлению ответов на запросы органов государственной власти, Банка России, предоставление информации в рамках контрольно-надзорных мероприятий.
а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, контактная информация (номер телефона), данные об оказанных и оказываемых потребителю услугах.
б) категория обрабатываемых данных – общая/иная;
в) категория субъектов обрабатываемых персональных данных: клиенты Общества;
г) обработка персональных данных производится смешанным способом, д) правовое основание обработки ПД: п. 2 ч. 1 ст. 6 Закона № 152-ФЗ: ч. 8 ст. 2, п.3. ч. 3 ст.2.3, п. 4 ч.4 ст. 2.3 Федерального закона «О ломбардах» от 19.07.2007 N 196-ФЗ, ч. 4 ст. 20 Закона № 152-ФЗ, Федеральный закон от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации», ч. 4. ст. 13 Федерального закона от 07.02.2011 N 3-ФЗ «О полиции», ст. 6 Федерального закона от 12.08.1995 N 144-ФЗ «Об оперативно-розыскной деятельности», ст. 6 Федерального закона от 17.01.1992 № 2202-1 «О прокуратуре Российской Федерации».
7.5.17. исполнение требований по внесению информации в ГИИС ДМДК.
а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, номер телефона.
б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества;
г) обработка персональных данных производится автоматизированным способом,
д) правовое основание обработки ПД: п. 2 ч. 1 ст. 6 Закона № 152-ФЗ: Федеральный закон от 26.03.1998 N 41-ФЗ «О драгоценных металлах и драгоценных камнях» (п. 1 ч. 1. ст. 12.2, п. 3 части 4 ст.12.2), Постановление Правительства РФ от 26.02.2021 N 270 «О некоторых вопросах контроля за оборотом драгоценных металлов, драгоценных камней и изделий из них на всех этапах этого оборота и внесении изменений в некоторые акты Правительства Российской Федерации» (п.1, п. 38), Приказ Минфина России от 09.11.2021 N 173н «Об утверждении формата представляемой в государственную интегрированную информационную систему в сфере контроля за оборотом драгоценных металлов, драгоценных камней и изделий из них на всех этапах этого оборота информации, структуры сведений».
8.Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
8.1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 Закона о персональных данных, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
8.2. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
8.3. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
8.4. Оператор обязан прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, действующим по поручению оператора:
— в случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, в срок, не превышающий трех рабочих дней с даты этого выявления;
— в случае отзыва субъектом персональных данных согласия на обработку его персональных данных;
— в случае достижения цели обработки персональных данных и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
8.5. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
— в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
— в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
8.6. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор в срок, не превышающий десяти рабочих дней с даты получения им соответствующего требования, обязан прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
8.7. После истечения срока нормативного хранения документов, содержащих персональные данные субъекта, или при наступлении иных законных оснований документы подлежат уничтожению.
8.8. Оператор для этих целей создает экспертную комиссию и проводит экспертизу ценности документов.
8.9. По результатам экспертизы документы, содержащие персональные данные субъекта и подлежащие уничтожению:
— на бумажном носителе — уничтожаются путем [указать способ уничтожения: измельчения в шредере/сжигания и т. п.];
— в электронном виде — стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация
9.Доступ к персональным данным
9.1. Внутренний доступ (доступ внутри Общества).
9.1.1. Право доступа к персональным данным потребителей имеют:
— генеральный директор Общества;
— руководители структурных подразделений Общества по направлению деятельности;
— работники Общества при выполнении ими своих должностных обязанностей.
9.1.2. Список лиц, занимающихся обработкой персональных данных потребителей, определяется приказом генерального директора Общества.
9.2. Внешний доступ.
9.2.1. Сведения о персональных данных потребителей могут быть предоставлены государственным и негосударственным органам, Центральному Банку РФ, загружены в государственные информационные системы, в случаях, предусмотренных законом, без согласия субъекта персональных данных.
9.2.2. В иных случаях сведения о персональных данных потребителей негосударственным органам, коммерческим организациям могут быть предоставлены только с согласия субъекта.
9.2.3. Органы, осуществляющие надзорно-контрольные функции, могут иметь доступ к информации, содержащей персональные данные только в пределах своей компетенции.
10.ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение сведениями, содержащими персональные данные, и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
10.2. Защита персональных данных представляет собой регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности Общества.
10.3. Защита персональных данных при их обработке обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и техническую защиту (средства защиты информации, средства предотвращения несанкционированного доступа).
10.4. Техническая защита включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД. Защита информационной системы («техническая защита») регламентируется отдельным положением.
10.5. Основными мерами защиты ПД, используемыми Оператором, являются:
10.5.1. Определение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением Оператором и его работниками требований к защите ПД. При этом решение вопросов по организации обработки персональных данных и обеспечения безопасности персональных данных, полученных Оператором, может быть передано третьему лицу на основании договора при получении соответствующего согласия у субъекта персональных данных.
10.5.2. Определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мер и мероприятий по защите ПД.
10.5.3. Совершенствование политики в отношении обработки персональных данных. 6.5.4. Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД.
10.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
10.5.6. Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации.
10.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
10.5.8. Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ.
10.5.9. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
10.5.10. Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
10.5.11. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.
10.5.12. Осуществление внутреннего контроля.
10.6. Организационные меры. Внутренняя защита. Для обеспечения внутренней защиты персональных данных потребителей необходимо:
— ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;
— строгое избирательное и обоснованное распределение документов и информации между работниками;
— рациональное размещение рабочих мест работников, позволяющее исключить бесконтрольное использование защищаемой информации;
— знание работниками требований нормативно — методических документов по защите информации, 14 содержащей персональные данные;
— наличие необходимых условий в помещении для работы с базами данных, документами и другой информацией, содержащей персональные данные;
— организация порядка уничтожения информации, содержащей персональные данные;
— своевременное выявление нарушений требований разрешительной системы доступа работниками Общества к информации, содержащей персональные данные;
— воспитательная и разъяснительная работа с работниками подразделений по предупреждению утраты сведений при работе с информацией, содержащей персональные данные.
10.7. Организационные меры. Внешняя защита.
10.7.1. Для защиты информации, содержащей персональные данные, создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лиц, пытающихся совершить несанкционированный доступ и овладение информацией.
10.7.2. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, в которых содержатся персональные данные потребителей.
10.7.3. Размещение информационной системы, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
10.7.4. Для обеспечения внешней защиты персональных данных потребителей необходимо соблюдение следующих мер: — порядок приема, учета и контроля посетителей; — пропускной режим организации; — учет и порядок выдачи пропусков; — технические средства охраны, сигнализации; — порядок охраны территории, зданий, помещений, транспортных средств.
10.8. Защита персональных данных потребителей обеспечивается за счет Общества в порядке, установленном федеральным законом.