Положение об обработке персональных данных Общества с ограниченной ответственностью «Ломбард на Васильевском»

1. 1. Общие положения.

1.1 Настоящее положение об обработке персональных данных (далее — Положение) Общества с ограниченной ответственностью «Ломбард на Васильевском» (далее — Организация) разработано и введено в действие во исполнение требований законодательства о персональных данных и является основным внутренним документом Организации, определяющим политику Организации в отношении обработки персональных данных, направленным на обеспечение защиты персональных данных при их обработке Организацией, а также устанавливающим процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации и устранение последствий таких нарушений.

1.2 Настоящее Положение Организации характеризуется следующими признаками:

1.2.1 Разработано в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных;

1.2.2 Раскрывает способы и принципы обработки в Организации персональных данных, права и обязанности Организации при обработке персональных данных, а также включает перечень мер, применяемых в целях обеспечения безопасности персональных данных при их обработке;

1.2.3 Является общедоступным документом, декларирующим концептуальные основы деятельности Организации при обработке и защите персональных данных.

1.3 Настоящее положение утверждается единоличным исполнительным органом Организации. Пересмотр и обновление настоящего Положения осуществляется в случае изменения законодательства Российской Федерации в области персональных данных, а также в случае внедрения Организацией новых мер и процедур, направленных на обеспечение информационной безопасности и защите персональных данных.

1.4 Действующая редакция Положения размещается на официальном сайт Организации https://lombardnv.ru/ в общем доступе и вступает в силу с момента размещения.

1.5 Действие Положения распространяется на все процессы Организации, связанные с обработкой персональных данных.

1. 2. Термины и определения

Персональные данные — любая информация. относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо. самостоятельное или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание. блокирование. удаление, уничтожение персональных данных;

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

Смешанная обработка персональных данных — обработка персональных данных с помощью средств автоматизации, а также без нее.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Блокирование персональных данных   — временное   прекращение   обработки персональных данных (за исключением случаев. если обработка необходима для уточнения данных);

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

1. 3. Категории субъектов, персональные данные которых обрабатываются Организацией:

3.1 Перечень персональных данных, подлежащих защите в Организации, формируется в соответствии с требованиями Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон), Устава Организации и настоящего Положения.

3.2 В соответствии с ч.1 ст. 3 Федерального закона под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу.

3.3 Организация обрабатывает персональные данные следующих категорий субъектов персональных данных:

3.3.1 Персональные данные работника Организации — информация, необходимая Организации в связи с трудовыми отношениями и касающаяся конкретного работника;

3.3.2 Персональные данные аффилированного лица или персональные данные руководителя, участника или сотрудника юридического лица, являющегося аффилированным лицом по отношению к Организации — информация, необходимая Организации для составления отчетных документов о деятельности Организации в соответствии с требованиями законодательства Российской Федерации;

3.3.3 Персональные данные контрагента, а также персональные данные руководителя, участника или сотрудника контрагента Организации — информация, необходимая Организации для выполнения своих обязательств в рамках договорных отношений с контрагентом и в целях исполнения требований законодательства Российской Федерации;

3.3.4 Персональные данные заемщика (потенциального заемщика) — информация, необходимая Организации для выполнения своих обязательств и осуществления прав в рамках соответствующего договора займа, осуществления и выполнения возложенных законодательством Российской Федерации на Организацию функций и обязанностей.

1. 4. Цели обработки персональных данных.

Организация осуществляет обработку персональных данных в следующих целях:

• • Осуществление финансовых операций и иной деятельности, предусмотренной Уставом Организации, действующим законодательством Российской Федерации, в частности Федеральными законами от 19.07.2007 № 196-ФЗ «О ломбардах», от 07.08.2001 №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным, и финансированию терроризма», от 27.07.2006 N 152-ФЗ «О персональных данных», учтены последние редакции Федеральных законов и правилами внутреннего контроля;
  • Заключение, исполнение и прекращения гражданско-правовых договоров с физическими, юридическими и иными лицами в случаях, предусмотренных действующим законодательством, Уставом Организации и правилами внутреннего контроля;
  • Организация кадрового учета Организации, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, Федеральными законами, Уставом и внутренними документами Организации;
  • Иные цели, для достижения которых в соответствии с законодательством Российской Федерации Организация вправе обрабатывать персональные данные физических лиц.

1. 5. Основные принципы обработки персональных данных.

5.1 Обработка персональных данных Организацией осуществляется на основе принципов:

5.1.1 Обработка персональных данных должна осуществляться на законной и справедливой основе;

5.1.2 Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

5.1.3 Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

5.1.4 Обработке подлежат только персональные данные, которые отвечают целям их обработки;

5.1.5 Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные не должны быть избыточными по отношению к заявленным целям их обработки;

5.1.6 При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

5.1.7 Хранение персональных данных должно осуществляться в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;

5.1.8 Защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных;

5.1.9 Меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки;

5.1.10 Ответственность за обеспечение безопасности персональных данных возлагается на работников Организации в пределах их обязанностей, связанных с обработкой и защитой персональных данных.

5.1.11 Доступ к персональные данным предоставляется работникам Организации только в объеме, необходимом для выполнения их должностных обязанностей.

5.2 Работники Организации, допущенные к обработке персональных данных, обязаны:

5.2.1 Знать и неукоснительно выполнять положения:

• • Законодательства Российской Федерации в области персональных данных;
  • Настоящего Положения;
  • Локальных актов по вопросам обработки персональных данных.

5.2.2 Обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;

5.2.3 Не разглашать персональные данные, обрабатываемые в Организации;

5.2.4 Сообщать о действиях других лиц, которые могут привести к нарушению положений настоящего Положения;

5.2.3 Сообщать об известных фактах нарушения требований настоящего Положения Ответственному за организацию обработки персональных данных в Организации.

5.3 Безопасность персональных данных в Организации обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятия по восстановлению данных и работ информационных систем персональных данных в случае реализации угроз.

1. 6. Организация обработки персональных данных.

6.1 Организация осуществляет обработку персональных данных с использованием средств автоматизации и без использования средств автоматизации.

6.2 В Организации запрещается обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, биометрических персональных данных, без письменного согласия субъекта персональных данных на обработку персональных данных.

6.3 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных в соответствии с положениями Федерального закона от 27.0.2006 № 152-ФЗ «О персональных данных»:

6.3.1 Организация предоставляет субъекту персональных данных или его представителю сведения, указанные в ч. 7 ст. 13 Федерального закона при получении запроса субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Организацией (номер договора, дата заключения и иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос должен быть направлен по юридическому адресу Организации;

6.3.2 В случае, если сведения, указанные в ч. 7 ст. 14 Федерального закона, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе направить в Организацию повторный запрос в целях получения сведений, указанных в ч.7 ст.14 Федерального закона, ознакомления с такими персональными данными не ранее, чем через тридцать дней после направления первоначального запроса;

6.3.3 Субъект персональных данных вправе направить в Организацию повторный запрос в целях получения сведений, предусмотренных в ч. 7 ст. 14 Федерального закона, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 6.3.2. настоящего Положения, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. .3.1 настоящего Положения должен содержать обоснование направление повторного запроса;

6.3.4  Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с требованиями Федерального закона, и Организация вправе мотивировано отказать субъекту персональных данных в выполнении повторного запроса в случаях, предусмотренных Федеральным законом;

6.3.5 В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными, или неактуальными, Организация вносит в них необходимые изменения. Организация уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы;

6.4 Персональные данные не распространяются, не раскрываются третьим лицам, не распространяются иным образом без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

6.5 Представители органов государственной власти (в том числе, контролирующих, надзорных, правоохранительных и иных органов), получают доступ к персональным данным, обрабатываемым в Организации, в объеме и порядке, установленном законодательством Российской Федерации.

6.6 Согласие на обработку персональных данных может быть отозвано субъектом персональных данных путем направления в Организацию заявления.

6.7 В случае отзыва субъектом персональных данных согласия на обработку персональных данных Организация вправе продолжать обработку персональных данных при наличии оснований, предусмотренных Федеральным законом.

6.8 Организация вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Организации, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным зaкoном. В поручении Организации должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона.

6.9 В целях проверки достоверности указанной субъектами персональных данных информации Организация вправе проводить проверку и уточнение предоставленных клиентом данных посредством устных и письменных обращений к работодателю субъекта персональных данных, а также иным лицам, контактные данные которых были предоставлены субъектом персональных данных.

1. 7. Меры, принимаемые Организацией, в целях обеспечения выполнения обязанности по защите персональных данных.

7.1 Меры, которые могут быть применены Организацией с целью обеспечения выполнения оператором обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»:

7.1.1 Назначение ответственного за организацию обработки персональных данных;

7.1.2 Издание документов, определяющих политику Организации в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;

7.1.3 Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

7.1.4 Оценка вреда, который может быть причинен субъектам персональных данных в случае   нарушения Федерального закона, соотношение указанного вреда и принимаемых Организацией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;

7.1.5 Ознакомление работников Организации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящим Положением, локальными актами по вопросам обработки персональных данных;

7.1.6 Осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам. требованиям к защите персональных данных, настоящему Положению, локальным актам Организации.

7.2 Меры, которые могут быть применены Организацией для обеспечения безопасности персональных данных при их обработке:

7.2.1 Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

7.2.2 Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;

7.2.3 Учет машинных носителей персональных данных;

7.2.4 Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;

7.2.5 Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

7.2.6 Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;

7.2.7 Обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;

7.2.8 Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

7.2.9 Установление правил доступа, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

7.2.10 Организация режима безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих прав доступа в эти помещения;

7.2.11 Обеспечение сохранности носителей персональных данных.

7.3 Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными нормативными актами Организации, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.

7.4 С целью выявления и предотвращения нарушения законодательства Российской Федерации, устранения последствий таких нарушений ответственный за организацию обработки персональных данных:

7.4.1 Осуществляет внутренний контроль за соблюдением Организацией и ее работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, путем проведения проверки порядка обработки персональных данных, ее правомерности;

7.4.2 В случае выявления по результатам проверки неправомерной обработки персональных данных принимает меры по ее прекращению путем блокировки персональных данных; если обеспечить правомерность дальнейшей обработки персональных данных невозможно, ответственный за организацию обработки персональных данных обязан уничтожить такие персональные данные или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Работодателя;

7.4.3 Изучает соблюдение сотрудниками Организации требований локальных актов Организации и законодательства Российской Федерации в сфере персональных данных;

7.4.4 Организовывает прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов.

7.5 Сроки и периодичность указанных проверок устанавливаются ответственным за организацию обработки персональных данных самостоятельно.

1. 8. Файлы cookie

8.1. Файлы cookie представляют собой небольшие текстовые файлы, которые сохраняются на вашем компьютере или мобильном устройстве при посещении сайтов Компании. Для целей данного раздела, термин “cookie” используется в качестве обобщающего термина для понятий “cookie”, “flash cookie” и “веб-маяки”. Эти файлы не занимают много места и автоматически удаляются по истечении срока их действия. Некоторые cookie используются до конца сеанса соединения с Интернетом, другие сохраняются в течение ограниченного периода времени.

8.2. Существуют различные виды cookie и способы их использования. Некоторые из них позволяют просматривать исключительно содержимое веб-сайтов и видеть некоторые их особенности. Отдельные файлы предоставляют Компании возможность получить информацию о характере просмотров, т.е. о проблемах с поиском, помогая нам улучшить механизмы поиска и сделать будущие посещения сайта более эффективными.

Компания может использовать файлы cookie по нескольким причинам. Наиболее важные файлы cookie – необходимые cookie. Они имеют существенное значение и помогают ориентироваться на сайте и использовать его основные функции, такие как медиа-плагины. При наличии функциональных cookie можно сохранять покупки в корзине, создавать пожелания и сохранять данные о доставке для быстрого оформления заказа. Cookie для оценки производительности и аналитики используются для улучшения работы сайта Компании. Они также применяются для отображения соответствующих предложений. Для этого Компания собирает просматриваемые данные, которые могут быть связаны с уникальным идентификатором и позволяют понять характер взаимодействия клиентов с Компанией. Cookie для взаимодействия используются в процессе взаимодействия с социальными сетями или создания отзывов. Целевые, рекламные файлы cookie и файлы социальных сетей регистрируют ваши предпочтения для отображения соответствующих объявлений за пределами сайта Компании. Также, cookie социальных сетей могут быть использованы для отслеживания активности в области социальных сетей.

8.3. Компания может использовать файлы cookie для того, чтобы сделать посещение сайта как можно более приятным, а также для рекламных целей.

8.4. ЧТО ДЕЛАТЬ, ЕСЛИ ПОСЕТИТЕЛЬ ПРОТИВ ФАЙЛОВ COOKIE? Изменить настройки браузера, чтобы удалить или предотвратить сохранение некоторых файлов cookie на компьютере или мобильном устройстве без согласия посетителя. В разделе “Помощь” браузера посетителя содержится информация о настройке файлов cookie. Посетителю необходимо обратиться к инструкции браузера для того, чтобы узнать больше о том, как скорректировать или изменить настройки браузера с каждого устройства, которые посетитель используете для посещения Сайта.

1. 9. Ответственность.

9.1 Контроль требований настоящего Положения единоличным исполнительные органом Организации;

9.2 Лица, виновные в нарушении норм, регулирующих получение, обработку, хранение и защиту обрабатываемых в Организации персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации.

Политика в отношении обработки персональных данных ООО «Ломбард на Васильевском» публикуется на официальном сайте ООО «Ломбард на Васильевском» в информационно-телекоммуникационной сети «Интернет» по интернет-адресу: https://lombardnv.ru/. К Политике обеспечивается неограниченный доступ.