ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОТРЕБИТЕЛЕЙ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение является локальным нормативным актом ООО «» (сокращенное наименование – ООО «», ИНН 7452031712, ОГРН 1027403767368, адрес местонахождения: Россия, , помещение 18), (далее – Общество), и регламентирует отношения в области обращения с персональными данными потребителей, определяя сведения о реализуемых требованиях к защите персональных данных потребителей. Его требования обязательны для исполнения всеми работниками Общества. 1.2. Настоящее Положение разработано в соответствии с требованиями ст.24 Конституции РФ, Федеральных законов №152-ФЗ от 27.07.2006 «О персональных данных», №149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации», Гражданского кодекса РФ и других нормативных актов. Положение является частью общей политики Общества в отношении обработки персональных данных. 1.3. Настоящее Положение применяется в отношении всех персональных данных, которые могут быть получены Обществом от потребителей – физических лиц в процессе заключения и исполнения договоров займа между Обществом и потребителями, при реализации невостребованного имущества, при подаче заявок на оказание услуг, как при обращении в обособленные подразделения Общества, так и дистанционным способом, в том числе посредством заполнения форм обратной связи на Сайтах ; через колл-центр Общества по телефону: 8 800 333 12 20 (далее – колл-центр), и которые могут быть однозначно соотнесены с конкретным потребителем и его персональными данными, а также в отношении всех персональных данных, которые могут быть получены Обществом о посетителях сайта Общества: http://fianitlombard.ru, а также о посетителях сайтов: (далее по тексту Положения – Сайт или Сайты). 1.4. Целью данного Положения является защита персональных данных потребителей Общества от несанкционированного, в том числе случайного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных. 1.5. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания, а также в иных случаях, предусмотренных законодательством РФ. 1.6. Настоящее Положение утверждается и вводится в действие приказом генерального директора Общества. 1.7. Положение вступает в силу с момента его утверждения и действует бессрочно (до замены его новой редакцией документа). 1.8. Все изменения в Положение вносятся приказом генерального директора Общества в порядке, аналогичном его утверждению. 1.9. Настоящее Положение подлежит размещению в обособленных подразделениях Общества, а также в открытом доступе в информационно-телекоммуникационной сети Интернет по адресу: http://fianitlombard.ru, а также на сайтах .2. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Для целей настоящего Положения используются следующие основные термины и определения: - персональные данные потребителя - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное положение, другая информация, необходимая Обществу для исполнения договоров займа и касающаяся конкретного потребителя, а также для предоставления доступа к Сайту и иных целей, указанных в настоящем Положении; - оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных; - обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных; - распространение персональных данных - действия, направленные на передачу персональных 1 данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе по каналам связи, а также обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом; - использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающие права и свободы субъекта персональных данных или других лиц; - блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи; - уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или, в результате которых уничтожаются материальные носители персональных данных; - обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных; - информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств; - конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания; - общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые, в соответствии с федеральными законами, не распространяется требование соблюдения конфиденциальности.3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Для обеспечения безопасности персональных данных Общество руководствуется следующими принципами: - законность: защита персональных данных основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты персональных данных; - системность: обработка персональных данных в Обществе осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных; - комплексность: защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах и других имеющихся в Обществе систем и средств защиты; - непрерывность: защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных; - своевременность: меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки; - преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты персональных данных осуществляется на основании результатов анализа практики обработки персональных данных в Обществе с учетом выявления новых способов и средств реализации угроз безопасности персональных данных, отечественного и зарубежного опыта в сфере защиты информации; - персональная ответственность: ответственность за обеспечение безопасности персональных данных возлагается на работников Общества в пределах их обязанностей, связанных с обработкой и защитой персональных данных; - минимизация прав доступа: доступ к персональным данным предоставляется работникам Общества только в объеме, необходимом для выполнения их должностных обязанностей; - гибкость: обеспечение выполнения функций защиты персональных данных при изменении характеристик функционирования информационных систем персональных данных Общества, а также объема и состава обрабатываемых персональных данных; - открытость алгоритмов и механизмов защиты: структура, технологии и алгоритмы функционирования системы защиты персональных данных Общества не дают возможности преодоления имеющихся в Обществе систем защиты возможными нарушителями безопасности персональных данных; 2 - научная обоснованность и техническая реализуемость: уровень мер по защите персональных данных определяется современным уровнем развития информационных технологий и средств защиты информации; - специализация и профессионализм: реализация мер по обеспечению безопасности персональных данных и эксплуатация системы защиты персональных данных осуществляются работниками Общества, имеющими необходимые для этого квалификацию и опыт; - наблюдаемость и прозрачность: меры по обеспечению безопасности персональных данных должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль; - непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты персональных данных, а результаты контроля регулярно анализируются.4. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. В целях обеспечения защиты персональных данных потребителей Общества при их обработке устанавливаются нижеизложенные требования. 4.2. При определении объёма и содержания обрабатываемых персональных данных потребителей Общество руководствуется законами РФ. Общество осуществляет обработку следующих персональных данных потребителей: - фамилия, имя, отчество; - дата рождения; - место рождения; - гражданство; - тип, серия и номер документа, удостоверяющего личность; - сведения о месте регистрации, проживания, адрес доставки; - контактная информация (номер телефона, адрес электронной почты); - данные об оказанных и оказываемых потребителю услугах; - сведения о почтовом клиенте; - сведения об используемом браузере; - сведения о переходах по ссылкам в электронных письмах; - сведения о месторасположении; - сведения об IP-адресах, с которых пользователь открывает электронное письмо. - сведения о предпочтениях и поведении на сайте; - история обращений потребителя, в том числе направляемые потребителем при обращениях в Общество документы; - при использовании сайта в том числе в Личного кабинета, или мобильного приложения, путем заполнения соответствующих форм обратной связи: Общество обрабатывает указанные выше персональные данные потребителя в различных комбинациях. Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика). 4.3. При обращении через колл-центр Общество обрабатывает также аудиозаписи переговоров потребителей с представителями Общества по вопросам оказания услуг. При обращении потребителей в обособленные подразделения Общество обрабатывает также видеоизображение при оказании услуг потребителю исключительно в целях обеспечения безопасности, контроля за обстановкой в клиентской зоне, в силу чего установка систем видеонаблюдения не является источником получения персональных данных потребителей по смыслу, заложенному в Федеральном законе от 27 июля 2006 г. N 152-ФЗ «О персональных данных». Видеоизображение не используется в целях идентификации потребителя. 4.4. Обработка персональных данных потребителей осуществляется Обществом путем ведения баз данных как автоматизированным, так и неавтоматизированным способами исключительно в целях: - процесса осуществления предварительной оценки имущества в целях последующей передачи в залог, заключения и исполнения соглашений об электронном документообороте, договоров займа, дополнительных соглашений, актов приема-передачи предмета залога между Обществом и потребителями (в том числе получения денежных средств в безналичном порядке (при необходимости); подписания документов с помощью простой электронной подписи; подписания электронных документов, подтверждения достоверности и полноты персональных данных, предоставленных потребителем; получения информации о задолженности; урегулирования просроченной задолженности в случае неисполнения или ненадлежащего исполнения договорных обязательств (в случае выемки заложенного имущества); взаимодействия с потребителем по вопросам услуг, оказываемых Оператором, урегулирования претензий потребителя, заключения и исполнения договора уступки прав требований Общества по договорам займа (в случае заключения); получения страхового возмещения по договору страхования заложенного имущества (при наступлении 3 страхового случая)); - процесса бронирования товара, заключения и исполнения договора розничной купли-продажи невостребованного имущества (в том числе дистанционным способом), процесса осуществления расчетов по договору розничной купли-продажи; - в случае выраженного согласия потребителя, в целях продвижения услуг Общества на рынке, оповещения о проводимых акциях, мероприятиях, скидках, проведения маркетинговых кампаний Общества, рекламы услуг Общества; - в иных целях в случае, если соответствующие действия Общества не противоречат действующему законодательству РФ, деятельности Общества, и на проведение указанной обработки получено согласие потребителя; - в целях создания и проверки электронной подписи, ключа простой электронной подписи с использованием одноразовых кодов, направляемых по SMS; - при использовании сайта данные, указанные в абз. 16 пункта 4.2. настоящего Положения, обрабатываются в целях: - идентификации пользователя, зарегистрированного на Сайте, создания учетной записи, если Пользователь дал согласие на создание учетной записи; - предоставления пользователю доступа к сервисам, информации и/или материалам, содержащимся на Сайтах, к персонализированным ресурсам Сайта, включая консультационные услуги; - обработки входящих обращений Пользователей по вопросам оказания услуг, обеспечения безопасности и предотвращения мошенничества, предоставления эффективной клиентской поддержки, выявления популярности мероприятий и определения эффективности маркетинговых кампаний; - связи с пользователем, в том числе направление электронных документов, уведомлений, запросов и информации, касающихся оказываемых услуг, исполнения соглашений и договоров, а также обработка запросов и заявок от пользователя; осуществления предварительной оценки имущества в целях последующей передачи в залог, осуществление бронирования для Пользователя товара с целью последующего его приобретения, прочих запросов; - улучшения качества оказываемых услуг, удобства их использования, проведение аналитических исследований; - подтверждения достоверности и полноты персональных данных, предоставленных пользователем. Предоставление пользователю клиентской и технической поддержки при возникновении проблем, связанных с использованием Сайта; - идентификации участников мероприятий, организуемых Оператором и третьими лицами; - создания пользовательской базы Сайта; - проведения ретаргетинга, настройки рекламных кампаний; - осуществления аналитики сайта, отслеживания и понимания принципов использования сайта пользователями, в том числе с помощью сервисов интернет-статистики (Яндекс Метрика) совершенствования функционирования сайта, решения технических проблем сайта, разработки новых продуктов, расширения услуг. Обезличенные данные пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания. 4.5. При обращении в обособленные подразделения и через колл-центр данные, указанные в п. 4.3 настоящего Положения соответственно, обрабатываются в целях осуществления контроля качества оказываемых Обществом услуг, а также обеспечения требований безопасности и сохранности товарно-материальных ценностей. 4.6. Общество получает и начинает обработку персональных данных потребителя с момента получения его согласия. Согласие на обработку персональных данных может быть дано потребителем в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством РФ, в том числе посредством совершения потребителем конклюдентных действий. В случае отсутствия согласия потребителя на обработку его персональных данных, такая обработка не осуществляется. Согласие на обработку персональных предоставляется на срок, указанный в таком согласии. 4.7. Получение персональных данных может осуществляться путём их предоставления самим потребителем, в том числе: - путем личной передачи потребителем при внесении сведений посредством программного обеспечения в договор займа, дополнительные соглашения, акты, анкеты, заявления, договор купли-продажи (при реализации невостребованного имущества), которые оформляются в печатном виде на бумажных носителях в обособленных подразделениях Общества, либо оформляются в виде 4 электронных документов, подписываемых электронной подписью. При оформлении документов может осуществляться копирование (сканирование, фотокопирование) документов потребителя, содержащего персональные данные; - путем заполнения и/или отправки потребителем/пользователем самостоятельно через специальные формы, расположенные на Сайте, в том числе в Личном кабинете, или в мобильном приложении или направленные Обществу посредством электронной почты. Заполняя соответствующие формы и/или отправляя свои персональные данные Обществу, потребитель/пользователь выражает свое согласие с данным Положением; - путем личной передачи потребителем при обращении в колл-центр и сообщения их в устной форме по телефону; - а также иными способами, не противоречащими законодательству РФ. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript). 4.8. Согласие на обработку персональных данных считается предоставленным посредством совершения потребителем любого действия или совокупности следующих действий: - заполнения документа на бумажном носителе в обособленных подразделениях Общества; - проставления на сайте в соответствующей форме отметки о согласии на обработку персональных данных в объеме, для целей и в порядке, предусмотренных в предлагаемом перед получением согласия для ознакомления тексте; - сообщения персональных данных в устной форме при обращении в колл-центр по телефону. 4.9. Согласие считается полученным в установленном порядке и действует в течение срока, казанного в согласии на обработку персональных данных или до момента направления потребителем соответствующего заявления о прекращении обработки персональных данных по адресу местонахождения Общества. В случае отзыва потребителем согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия потребителя при наличии оснований, предусмотренных Федеральным законом №152-ФЗ от 27.07.2006 «О персональных данных». 4.10. Использование персональных данных возможно только в соответствии с целями, заявленными при их получении. 4.11. Персональные данные не могут быть использованы в целях затруднения реализации прав и свобод граждан РФ, а также в целях причинения имущественного и морального вреда гражданам. 4.12. Передача персональных данных потребителя возможна только с его согласия или в случаях, прямо предусмотренных законодательством РФ. 4.13. При передаче персональных данных потребителей Общество должно соблюдать следующие требования: - не сообщать персональные данные потребителей третьей стороне без письменного согласия потребителя, за исключением случаев, установленных федеральным законом; - не сообщать персональные данные потребителя в коммерческих целях без его письменного согласия; - предупредить лиц, получающих персональные данные потребителя, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Лица, получающие персональные данные потребителя, обязаны соблюдать режим конфиденциальности. 4.14. Передача персональных данных от Общества или его представителей третей стороне допускается только в целях выполнения задач, соответствующих объективной причине получения этих данных и в объемах необходимых для достижения этих целей. Перечень лиц, которые обрабатывают предоставленные данные по поручению оператора, содержится в Приложении № 1 к настоящему положению об обработке и защите персональных данных потребителей или в Согласии на обработку персональных данных. 4.15. Обработка персональных данных третьей стороной может осуществляться только на основании договора с Обществом, в котором содержится поручение на обработку персональных данных. В поручении должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных». 4.16. Все меры конфиденциальности при сборе, обработке и хранении персональных данных потребителей распространяются как на бумажные, так и на электронные (автоматизированные) носители информации. 4.17. Хранение персональных данных должно происходить в порядке, исключающем их утрату, 5 искажение или их неправомерное использование.5. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
5.1. Внутренний доступ (доступ внутри Общества). 5.1.1. Право доступа к персональным данным потребителей имеют: - генеральный директор Общества; - руководители структурных подразделений Общества по направлению деятельности; - работники Общества при выполнении ими своих должностных обязанностей. 5.1.2. Список лиц, занимающихся обработкой персональных данных потребителей, определяется приказом генерального директора Общества. 5.2. Внешний доступ. 5.2.1. Сведения о персональных данных потребителей могут быть предоставлены государственным и негосударственным органам в случаях, предусмотренных законом без согласия субъекта персональных данных. 5.2.2. В иных случаях сведения о персональных данных потребителей негосударственным органам, коммерческим организациям могут быть предоставлены только с согласия субъекта. 5.2.3. Органы, осуществляющие надзорно-контрольные функции, могут иметь доступ к информации, содержащей персональные данные только в пределах своей компетенции.6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение сведениями, содержащими персональные данные, и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др. 6.2. Защита персональных данных представляет собой регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности Общества. 6.3. Защита персональных данных при их обработке обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и техническую защиту (средства защиты информации, средства предотвращения несанкционированного доступа). 6.4. Защита информационной системы («техническая защита») регламентируется отдельным положением. 6.5. Особенности обработки и защиты персональных данных, осуществляемой без использования средств автоматизации, регламентируется отдельным положением. 6.6. Организационные меры. Внутренняя защита. Для обеспечения внутренней защиты персональных данных потребителей необходимо: - ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний; - строгое избирательное и обоснованное распределение документов и информации между работниками; - рациональное размещение рабочих мест работников, позволяющее исключить бесконтрольное использование защищаемой информации; - знание работниками требований нормативно - методических документов по защите информации, содержащей персональные данные; - наличие необходимых условий в помещении для работы с базами данных, документами и другой информацией, содержащей персональные данные; - организация порядка уничтожения информации, содержащей персональные данные; - своевременное выявление нарушений требований разрешительной системы доступа работниками Общества к информации, содержащей персональные данные; - воспитательная и разъяснительная работа с работниками подразделений по предупреждению утраты сведений при работе с информацией, содержащей персональные данные. 6.7. Организационные меры. Внешняя защита. 6.7.1. Для защиты информации, содержащей персональные данные, создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лиц, пытающихся совершить несанкционированный доступ и овладение информацией. 6.7.2. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, в которых содержатся персональные данные потребителей. 6.7.3. Размещение информационной системы, специальное оборудование и охрана помещений, в 6 которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц. 6.7.4. Для обеспечения внешней защиты персональных данных потребителей необходимо соблюдение следующих мер: - порядок приема, учета и контроля посетителей; - пропускной режим организации; - учет и порядок выдачи пропусков; - технические средства охраны, сигнализации; - порядок охраны территории, зданий, помещений, транспортных средств. 6.8. Защита персональных данных потребителей обеспечивается за счет Общества в порядке, установленном федеральным законом.7. СОГЛАСИЕ НА ПОЛУЧЕНИЕ РЕКЛАМНОЙ ИНФОРМАЦИИ ПО СЕТЯМ ЭЛЕКТРОСВЯЗИ
7.1. Потребитель, осуществляя подписку на получение рекламной информации: - в обособленных подразделениях Общества путем заполнения документов на бумажном носителе; - на сайте путем проставления отметки потребителем на соответствующей веб-странице; - по телефону в устной форме при обращении в колл-центр Общества предоставляет тем самым свое согласие на получение от Общества и привлеченных Обществом третьих лиц, по сетям электросвязи (по предоставленным номеру телефона и адресу электронной почты) информационных сообщений, а в том числе информации коммерческого рекламного характера (рекламы), указанных в абз. 4 пункта 4.4. настоящего Положения. 7.2. Давая согласие, указанное в пункте 7.1. настоящего Положения, потребитель подтверждает, что действует по своей воле и в своем интересе, а также то, что указанные персональные данные являются достоверными.8. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ КОФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
8.1. Руководитель, разрешающий доступ работника к информации, содержащей персональные данные потребителя, лично несёт ответственность за данное разрешение. 8.2. Работники Общества, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут ответственность в соответствии с действующим законодательством РФ. 8.3. Третьи лица, получившие правомерный доступ к персональным данным потребителей Общества, в случае искажения, незаконного копирования, распространения или утраты несут ответственность, предусмотренную действующим законодательством РФ. 8.4. Убытки, причиненные потребителю вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных подлежат возмещению в соответствии с законодательством РФ. 7