ПОЛИТИКА ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОТРЕБИТЕЛЕЙ (в редакции от 12.12.2023 года)
1. ОБЩИЕ ПОЛОЖЕНИЯ 1.1. Настоящая Политика является локальным нормативным актом ООО «Фианит – Ломбард» (сокращенное наименование – ООО «Фианит – Ломбард», ИНН 7452031712, ОГРН 1027403767368, адрес местонахождения: Россия, Челябинская область, г. Челябинск, ул. Братьев Кашириных, д. 60А, 2 этаж, помещение 18), (далее – Общество или Оператор), и регламентирует отношения в области обращения с персональными данными потребителей, определяя сведения о реализуемых требованиях к защите персональных данных потребителей. Его требования обязательны для исполнения всеми работниками Общества. 1.2. Настоящая Политика разработана в соответствии с требованиями ст.24 Конституции РФ, Федеральных законов № 152-ФЗ от 27.07.2006 «О персональных данных» (далее по тексту – Закон № 152-ФЗ), №149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации», Гражданского кодекса РФ и других нормативных актов. 1.3. Настоящая Политика применяется в отношении всех персональных данных, которые могут быть получены Обществом от потребителей – физических лиц в процессе заключения и исполнения договоров между Обществом и потребителями, при реализации невостребованного имущества, при подаче заявок на оказание услуг, как при обращении в обособленные подразделения Общества, так и дистанционным способом, в том числе посредством заполнения форм обратной связи на Сайтах в информационно-телекоммуникационной сети «Интернет»: http://fianitlombard.ru, https://zolotocatalog.ru, http://фианит.онлайн; в мобильном приложении «Фианит Ломбад», через колл-центр Общества по телефону: 8 800 333 12 20 (далее – колл-центр), и которые могут быть однозначно соотнесены с конкретным потребителем и его персональными данными, а также в отношении всех персональных данных, которые могут быть получены Обществом о посетителях сайта Общества: http://fianitlombard.ru, а также о посетителях сайтов: https://zolotocatalog.ru, http://фианит.онлайн, https://donskoylombard.ru (далее по тексту Политики – Сайт или Сайты), а также о пользователях мобильного приложения «Фианит Ломбад» (далее по тексту Политики – мобильное приложение). 1.4. Целью данной Политики является защита персональных данных потребителей Общества от несанкционированного, в том числе случайного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных. 1.5. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях, предусмотренных законодательством РФ. 1.6. Настоящая Политика утверждается и вводится в действие приказом генерального директора Общества. 1.7. Политика вступает в силу с момента его утверждения и действует бессрочно (до замены ее новой редакцией документа). 1.8. Все изменения в Политику вносятся приказом генерального директора Общества в порядке, аналогичном его утверждению. 1.9. Настоящая Политика подлежит размещению в обособленных подразделениях Общества, а также в открытом доступе в информационно-телекоммуникационной сети Интернет по адресу: http://fianitlombard.ru, а также на сайтах https://zolotocatalog.ru, http://фианит.онлайн, https://donskoylombard.ru/ При размещении настоящей Политики на Сайте оно размещается на каждой странице сайта, на которой осуществляется сбор персональных данных. 2. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ Для целей настоящей Политики используются следующие основные термины и определения: - персональные данные потребителя (ПД) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата рождения, адрес, семейное положение, другая информация, необходимая Обществу для исполнения договоров и касающаяся конкретного потребителя, а также для предоставления доступа к Сайту и иных целей, указанных в настоящей Политике; - оператор - организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих 2 обработке, действия (операции), совершаемые с персональными данными. Оператором является Общество с ограниченной ответственностью «Фианит – Ломбард», ИНН 7452031712, ОГРН 1027403767368, расположенное по адресу: Россия, Челябинская область, г.Челябинск, ул. Братьев Кашириных, д. 60А, 2 этаж, помещение 18; - обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных; - распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; - использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающие права и свободы субъекта персональных данных или других лиц; - блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); - уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или, в результате которых уничтожаются материальные носители персональных данных; - информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; - конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания; - общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые, в соответствии с федеральными законами, не распространяется требование соблюдения конфиденциальности. - автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники. 3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ Для обеспечения безопасности персональных данных Общество руководствуется следующими принципами: - законность: защита персональных данных основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты персональных данных; - системность: обработка персональных данных в Обществе осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных; - комплексность: защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах и других имеющихся в Обществе систем и средств защиты; - непрерывность: защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных; - своевременность: меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки; - преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты персональных данных осуществляется на основании результатов анализа практики обработки персональных данных в Обществе с учетом выявления новых способов и средств реализации угроз безопасности персональных данных, отечественного и зарубежного опыта в сфере защиты информации; - персональная ответственность: ответственность за обеспечение безопасности персональных данных возлагается на работников Общества в пределах их обязанностей, связанных с обработкой и защитой персональных данных; - минимизация прав доступа: доступ к персональным данным предоставляется работникам Общества только в объеме, необходимом для выполнения их должностных обязанностей; - гибкость: обеспечение выполнения функций защиты персональных данных при изменении характеристик функционирования информационных систем персональных данных Общества, а также объема и состава обрабатываемых персональных данных; 3 - открытость алгоритмов и механизмов защиты: структура, технологии и алгоритмы функционирования системы защиты персональных данных Общества не дают возможности преодоления имеющихся в Обществе систем защиты возможными нарушителями безопасности персональных данных; - научная обоснованность и техническая реализуемость: уровень мер по защите персональных данных определяется современным уровнем развития информационных технологий и средств защиты информации; - специализация и профессионализм: реализация мер по обеспечению безопасности персональных данных и эксплуатация системы защиты персональных данных осуществляются работниками Общества, имеющими необходимые для этого квалификацию и опыт; - наблюдаемость и прозрачность: меры по обеспечению безопасности персональных данных должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль; - непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты персональных данных, а результаты контроля регулярно анализируются. 4. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 4.1. В целях обеспечения защиты персональных данных потребителей Общества при их обработке устанавливаются нижеизложенные требования. 4.2. При определении объёма и содержания обрабатываемых персональных потребителей, в отношение которых производится обработка персональных данных. Общество осуществляет обработку следующего перечня персональных данных потребителей (клиентов Общества и посетителей Сайтов Общества и/или мобильного приложения), не относящихся к специальной категории персональных данных или к биометрическим персональным данным: 4.2.1. фамилия, имя, отчество; 4.2.2. дата рождения; 4.2.3. гражданство; 4.2.4. тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ; 4.2.5. сведения о месте регистрации, проживания; 4.2.6. адрес доставки; 4.2.7. контактная информация (номер телефона, адрес электронной почты); 4.2.8. данные об оказанных и оказываемых потребителю услугах, история операций потребителя, данные о заключенных договорах; 4.2.9. пользовательские данные и файлы «cookie»: url и заголовок страницы; реферер страницы; сведения о местоположении и часовом поясе; сведения о браузере или почтовом клиенте, информационной системе, сведения о сети, тип устройства и разрешение его экрана; источник, откуда пользователь был перенаправлен на сайт - с какого сайта или по какой рекламе, сведения об отправке форм, скачивании файлов; какие страницы открывает и на какие кнопки нажимает пользователь, длительность сессии, сведения о переходах по ссылкам в электронных письмах, сведения об IP-адресах пользователя, Wi-Fi, Bluetooth и проч.; 4.2.10. история обращений потребителя, в том числе направляемые потребителем при обращениях в Общество документы; 4.2.11. номер банковской карты; 4.2.12. аккаунт (учетная запись) в мессенджере; 4.2.13. аудиозапись телефонных разговоров; 4.2.14. идентификационный номер налогоплательщика; 4.2.15. фотография. 4.3. При обращении потребителей в обособленные подразделения Общество обрабатывает также видеоизображение при оказании услуг потребителю исключительно в целях обеспечения безопасности, контроля за обстановкой в клиентской зоне, в силу чего установка систем видеонаблюдения не является источником определения личности потребителей по смыслу, заложенному в Федеральном законе от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и иных нормативно-правовых актах. Видеоизображение не используется в целях идентификации потребителя. 4.4. Обработка персональных данных потребителей осуществляется Обществом в следующих целях: 4.4.1. осуществление предварительной оценки имущества в целях последующей передачи в залог. а) перечень обрабатываемых данных: фамилия, имя, отчество, адрес, контактная информация (номер телефона, адрес электронной почты); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: посетители сайта; 4 г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ - Согласие на обработку ПД. 4.4.2. заключение и исполнение соглашений об электронном документообороте. а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, контактная информация (номер телефона, адрес электронной почты); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества; г) обработка персональных данных производится автоматизированным способом и без использования средств автоматизации (смешанный способ), д) правовое основание обработки ПД: п. 5 ч. 1 ст. 6 Закона № 152-ФЗ. 4.4.2.1. создания и проверка электронной подписи, ключа простой электронной подписи с использованием одноразовых кодов, направляемых по SMS, направление кодов в SMS (исполнение соглашения об электронном документообороте) а) перечень обрабатываемых данных: контактная информация (номер телефона); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 5 ч. 1 ст. 6 Закона № 152-ФЗ. 4.4.3. заключение договоров займа и их исполнение, изменение, заключение дополнительных соглашений, актов приема-передачи предмета залога между Обществом и потребителями. а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, адрес доставки (если клиент заказывает сервис доставки), способ обмена информацией (номер телефона, адрес электронной почты); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных: клиенты Общества; г) обработка персональных данных производится автоматизированным способом и без использования средств автоматизации (смешанный способ), д) правовое основание обработки ПД: п. 5 ч. 1 ст. 6 Закона № 152-ФЗ, п. 2 ч.5 ст. 7 Федерального закона «О ломбардах» от 19.07.2007 N 196-ФЗ , п. 16 ч. 9 ст. 5 Федерального закона от 21.12.2013 N 353-ФЗ, Указание Банка России от 11.05.2021 N 5790-У "Об установлении формы залогового билета" (Зарегистрировано в Минюсте России 30.06.2021 N 64051). 4.4.3.1 исполнение договора в части перечисление клиенту денежных средств в безналичном порядке (при необходимости). а) перечень обрабатываемых данных: номер банковской карты; б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 5 ч. 1 ст. 6 Закона № 152-ФЗ. 4.4.4. направление клиенту информации о задолженности. а) перечень обрабатываемых данных: фамилия, имя, отчество, контактная информация (номер телефона, адрес электронной почты); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, Федеральный закон от 21.12.2013 № 353-ФЗ "О потребительском кредите (займе)" (ст. 10). 4.4.5. урегулирование просроченной задолженности в случае неисполнения или ненадлежащего исполнения договорных обязательств (в случае выемки заложенного имущества), взыскание ущерба, урегулирование иных споров с потребителями. а) перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения, гражданство, тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ, сведения о месте регистрации, проживания, контактная информация (номер телефона, адрес электронной почты), данные об оказанных и оказываемых потребителю услугах, история операций потребителя, данные о заключенных договорах, история обращений потребителя, в том числе направляемые потребителем при обращениях в Общество документы; б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: клиенты Общества; 5 г) обработка персональных данных производится автоматизированным способом и без использования средств автоматизации, д) правовое основание обработки ПД: п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, Федеральный закон от 19.07.2007 № 196-ФЗ "О ломбардах" (ст. 4), Гражданский кодекс РФ (ст. 15, 196, 1064). 4.4.6. взаимодействие с потребителем: - по вопросам, связанным с оказанием услуг; - в целях предоставления эффективной клиентской поддержки; - в целях предоставления посетителям Сайта или мобильного приложения технической поддержки при возникновении проблем, связанных с использованием Сайта или мобильного приложения, посредством направления уведомлений, запросов и информации путем: - направления потребителю sms (смс), PUSH уведомлений и иных сообщений по сети подвижной радиотелефонной связи, в мессенджерах на номер телефона потребителя или по электронной почте, - осуществления звонков на номер телефона потребителя по сети подвижной радиотелефонной связи. а) перечень обрабатываемых данных: фамилия, имя, отчество, способ обмена информацией (номер телефона, адрес электронной почты), данные об оказанных и оказываемых потребителю услугах, история операций потребителя, данные о заключенных договорах, история обращений потребителя, в том числе направляемые потребителем при обращениях в Общество документы, аудиозапись телефонных разговоров (при наличии); б) категория обрабатываемых данных – общая/иная; в) категория субъектов обрабатываемых персональных данных: посетители Сайта и/или мобильного приложения, клиенты Общества; г) обработка персональных данных производится автоматизированным способом, д) правовое основание обработки ПД: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ - Согласие на обработку ПД