Положение об обработке персональных данных клиентов ООО «Ломбард Максимум»

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение определяет и устанавливает порядок сбора, учёта, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным клиентов ООО «Ломбард Максимум» (далее – Организация).

Под клиентом подразумевается физическое лицо, обращающееся (обратившееся) в Организацию с целью заключения договора (заключившее договор), в рамках осуществляемой Организацией деятельности. Клиентами также выступают физические лица, являющиеся сотрудниками (представителями) юридических лиц, индивидуальных предпринимателей, которые заключили договор с Организацией в рамках осуществляемой деятельности, и которые указаны в таком договоре.

1.2. Цель настоящего Положения — обеспечение защиты прав и свобод клиентов Организации при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну; защиты персональных данных клиентов Организации от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.

1.3. Обработка персональных данных клиентов Организации основана на принципах:

— законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Организации;

— достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

— обработки только персональных данных, которые отвечают целям их обработки;

— соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

— недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

— обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Организация принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

— хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

1.4. Основанием для разработки настоящего Положения являются: Конституция Российской Федерации, ФЗ «О персональных данных», другие нормативно-правовые акты Российской Федерации в области обеспечения безопасности персональных данных.

1.5. Лицом, ответственным за обработку персональных данных клиентов Организации является ответственный за организацию обработки персональных данных. Функции, права, обязанности ответственного за организацию обработки персональных данных закреплены в инструкции ответственного за организацию обработки персональных данных.

1.6. Настоящее Положение и изменения к нему утверждаются Генеральным директором Организации и вводятся соответствующим приказом. Все работники Организации, включённые в список должностных лиц, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей, до начала работы должны быть ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящим Положением и изменениями к нему, локальными актами Организации по вопросам обработки персональных данных. Обучение (инструктажи) указанных работников организуется ответственным за организацию обработки персональных данных.

1.7. Обработка персональных данных клиентов осуществляется без уведомления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), её территориальных подразделений, в случаях, предусмотренных ч. 2 ст. 22 ФЗ «О персональных данных».

1.8. Организация, в рамках осуществления мероприятий по обеспечению безопасности персональных данных, вправе принимать и издавать соответствующие локальные акты, приказы, инструкции, журналы и прочие документы, которые являются неотъемлемой частью настоящего Положения и входят в состав документов, разработанных Организацией в целях обеспечения безопасности персональных данных.

1.9. Организация осуществляет обработку персональных данных, как с использованием средств автоматизации, так и без использования средств автоматизации. Правила обработки и защиты персональных данных без использования средств автоматизации устанавливаются в отдельном документе.

1.10. Настоящее Положение является частью Политики Организации в отношении обработки персональных данных.

 

2. ОСНОВНЫЕ ПОНЯТИЯ, СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Основные понятия, используемые в Положении:

— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (клиент Организации);

— оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (Организация);

— обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:

• сбор;
• запись;
• систематизацию;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение;

— автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

— распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

— предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

— блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

— уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

— обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

— информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

— трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

В настоящем Положении используются иные понятия, определённые в ФЗ «О персональных данных», иных нормативно-правовых актах Российской Федерации в области обеспечения безопасности персональных данных, локальных актах Организации. В случае противоречия понятий, указанных в ФЗ «О персональных данных», иных нормативно-правовых актах Российской Федерации, и локальных актах Организации, то применяются понятия, закреплённые в ФЗ «О персональных данных», иных нормативно-правовых актах Российской Федерации в области обеспечения безопасности персональных данных.

2.2. Состав персональных данных клиента Организации, в зависимости от представленных документов и сведений:

— фамилия, имя, отчество (при наличии);

— паспортные данные или данные документа, удостоверяющего личность;

— адрес регистрации (места жительства);

— контактные данные (номер телефона, адрес электронной почты и т.д.);

— содержание залогового билета.

К составу персональных данных клиента Организации относится также информация, содержащаяся в документах клиента, самостоятельно предоставляемых в Организацию при заключении договора.

2.3. Персональные данные клиента Организации, при заключении договора, подтверждаются оригиналами документов.

2.4. Указанные документы являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях обезличивания, включения их в общедоступные источники персональных данных или по истечении срока хранения, если иное не определено нормативно-правовыми актами Российской Федерации.

 

3. ОБЯЗАННОСТИ ОРГАНИЗАЦИИ

3.1. В целях обеспечения прав и свобод человека и гражданина Организация и её работники при обработке персональных данных клиентов Организации обязаны соблюдать общие требования, установленные ФЗ «О персональных данных», в том числе следующие:

3.1.1. Обработка персональных данных клиента Организации осуществляется в целях: обеспечения соблюдения законов и иных нормативных правовых актов, заключения и исполнения договоров, ведения бухгалтерского учёта; осуществления Организацией своей деятельности в соответствии с уставом, формирования клиентской базы, информирования об оказываемых (оказываемых) услугах, обеспечения информационной безопасности, контроля качества оказываемых Организацией услуг.

3.1.2. При определении объема и содержания обрабатываемых персональных данных работники Организации должны руководствоваться: Конституцией Российской Федерации, ФЗ «О персональных данных», настоящим Положением, другими нормативно-правовыми актами Российской Федерации и иными локальными актами Организации в области обеспечения безопасности персональных данных.

3.2. При сборе персональных данных Организация обязана предоставить клиенту, по его запросу, информацию о целях, способах обработки персональных данных, сведения о лицах, имеющих доступ к персональным данным, перечень обрабатываемых персональных данных и источник их получения, сведения о сроках обработки и хранения персональных данных.

3.3. Хранить персональные данные в форме, позволяющей определить клиента Организации, не дольше, чем этого требуют цели их обработки.

3.4. В случае выявления недостоверных персональных данных или неправомерных действий с ними Организации при личном обращении или по запросу клиента Организации или его законного представителя, либо Роскомнадзора, Организация обязана устранить допущенные нарушения или, в случае невозможности устранения, уничтожить персональные данные, а также уведомить о своих действиях клиента Организации или Роскомнадзор.

3.5. По запросу Роскомнадзора Организация обязана предоставить ему необходимую информацию.

3.6. Организация не имеет права получать и обрабатывать персональные данные клиента о его политических, религиозных и иных убеждениях и частной жизни, за исключением случаев, предусмотренных ч. 2 ст. 10 ФЗ «О персональных данных».

 

 

 

4. ПРАВА КЛИЕНТА

Клиент имеет право:

4.1. На получение сведений об Организации, о месте её нахождения, о наличии у Организации персональных данных, относящихся к нему, а также на ознакомление с такими персональными данными;

4.2. Требовать от Организации уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

4.3. Принимать предусмотренные законом меры по защите своих прав.

4.4. Обжаловать действия или бездействие Организации в Роскомнадзор или в судебном порядке, если считает, что Организация осуществляет обработку его персональных данных с нарушением требований федерального законодательства или иным образом нарушает его права и свободы.

4.5. На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

4.6. Клиент имеет иные права, предусмотренные законодательством о персональных данных.

 

5. СБОР, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Правила обработки персональных данных в информационных системах персональных данных устанавливаются в инструкции пользователя информационной системы персональных данных (далее — ИСПДн).

5.2. Обработка персональных данных клиента Организацией осуществляется без его согласия на обработку персональных данных, на основании пп. 5 п. 1 ст. 6 ФЗ «О персональных данных». Согласие на обработку персональных данных клиента не требуется также в случаях, предусмотренных законодательством Российской Федерации (в частности, согласие не требуется при наличии оснований, перечисленных в ст. 6, ст. 10, ст. 11 ФЗ «О персональных данных). В иных случаях клиент принимает решение о предоставлении (не предоставлении) согласия на обработку своих персональных данных, подписывая залоговый билет с Организацией.

В случае отзыва клиентом согласия на обработку персональных данных Организация вправе продолжить обработку персональных данных без его согласия при наличии оснований, установленных действующим законодательством.

5.3. При получении персональных данных не от клиента (за исключением случаев, предусмотренных ч. 4 ст. 18 ФЗ «О персональных данных) Организация до начала обработки таких персональных данных обязан предоставить клиенту Организации следующую информацию:

— наименование (фамилия, имя, отчество) и адрес Организации;

— цель обработки персональных данных и ее правовое основание;

— предполагаемые пользователи персональных данных;

— установленные ФЗ «О персональных данных» права клиента Организации, как субъекта персональных данных;

— источник получения персональных данных.

5.4. Лица, правомочные осуществлять обработку персональных данных работника в Организации, со дня приёма на работу на соответствующие должности, заполняют и предоставляют в Организацию соглашение о неразглашении персональных данных.

 

 

 

6. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. При передаче персональных данных клиента Организация должна соблюдать следующие требования:

6.1.1. Персональные данные клиента Оргаинзации могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети, ИСПДн и т.д.).

6.2. Персональные данные клиентов Организации без их согласия или, если это не предусмотрено действующим законодательством, третьим лицам не передаются.

 

6.3. Трансграничная передача персональных данных клиентов Организацией не осуществляется.

6.4. Все технические средства обработки персональных данных (рабочие станции и сервера) находятся в пределах Российской Федерации (Республика Крым, г.Симферополь, ул.Гоголя,д.68,литера А, офис 1).

 

7. ПОРЯДОК УНИЧТОЖЕНИЯ И БЛОКИРОВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. В случае достижения цели обработки персональных данных или в случае отзыва клиентом Организации согласия на обработку персональных данных, Организация обязана прекратить обработку и уничтожить персональные данные клиента Организации в срок, не превышающий 30 рабочих дней с даты достижения цели обработки или с даты поступления отзыва.

7.2. В целях оперативной организации уничтожения персональных данных на бумажных носителях приказом Генерального директора Организации назначена комиссия по уничтожению персональных данных, а также утверждена форма акта уничтожения персональных данных.

7.3. Персональные данные, обрабатываемые в информационной системе персональных данных, уничтожаются путем стирания (удаления) записи в базах данных Организации по запросу клиента, при достижении целей обработки персональных данных или по истечении срока хранения.

7.4. Временное прекращение операций по обработке персональных данных (блокирование) должно возникать по требованию клиента Организации при выявлении им недостоверности обрабатываемых сведений или неправомерных действий в отношении его данных.

7.5. Документы, содержащие персональные данные клиента Организации, уничтожаются путём измельчения в бумагорезательной машине или ином техническом устройстве, которое исключает дальнейшее использование документов в качестве первоисточника.

 

8. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

8.1. Работники Организации должны иметь доступ только к тем персональным данным, которые необходимы им для выполнения своих должностных (трудовых) обязанностей.

Список лиц, допущенных к обработке персональных данных клиентов Организации, утверждается приказом директора Организации.

8.2. Клиент Организации или его представитель имеют право доступа к персональным данным клиента Организации при личном обращении или при направлении в Организацию соответствующего запроса, за исключением случаев, указанных в ст. 14 ФЗ «О персональных данных».

Полномочия представителя клиента Организации подтверждаются доверенностью, оформленной в порядке ст. ст. 185 и 185.1 Гражданского кодекса Российской Федерации, ч. 2 ст. 53 Гражданского процессуального кодекса Российской Федерации или удостоверенной нотариально согласно ст. 59 Основ законодательства Российской Федерации о нотариате. Копия доверенности представителя, хранится в Организации не менее трех лет, а в случае, если срок хранения персональных данных больше трех лет, — не менее срока хранения персональных данных.

8.3. Для получения доступа к своим персональным данным клиент должен лично обратиться в Организацию или через своего представителя либо отправить запрос в Организацию. Запрос должен содержать номер основного документа, удостоверяющего личность клиента или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие клиента в договорных отношениях с Организацией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Организацией, подпись клиента или его представителя. При наличии технической возможности запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

С целью организации своевременной обработки запросов и обращений клиентов (их представителей) в Организации разработаны и утверждены правила рассмотрения обращений субъектов персональных данных (их представителей).

Работники Организации, в обязанность которых входит обработка обращений клиентов, обязаны обеспечить каждому обратившемуся возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом, в соответствии с правилами рассмотрения обращений субъектов персональных данных (их представителей).

8.4. Клиент Организации имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

– подтверждение факта обработки персональных данных Организацией, а также цель такой обработки;

– способы обработки персональных данных, применяемые Организацией;

– сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

– перечень обрабатываемых персональных данных и источник их получения;

– сроки обработки персональных данных, в том числе сроки их хранения;

– сведения о том, какие юридические последствия для клиента Организации может повлечь за собой обработка его персональных данных.

8.5. Организация должна предоставить персональные данные клиенту Организации в доступной форме. В них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

8.6. Организация обязана предоставить безвозмездно клиенту Организации или его представителю возможность ознакомления с персональными данными, относящимися к этому клиенту, по месту своего расположения в рабочее время.

8.7. Организация вправе предоставлять персональные данные клиента Организации третьим лицам, если на это дано согласие клиента или если это предусмотрено действующим законодательством.

8.6. В случае обнаружения нарушений правил обработки персональных данных клиентов в Организации директор Организации и/или ответственный за организацию обработки персональных данных обязаны приостановить предоставление персональных данных до выявления и устранения причин нарушений.

8.7. Работники Организации, не имеющие доступа к персональным данным в соответствии с утверждённым приказом директора Организации списком, могут быть допущены к ним на основании отдельного приказа, подписанного директором Организации.

8.8. Право клиента Организации на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

 

9. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. В целях обеспечения сохранности и конфиденциальности персональных данных клиентов Организации все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только работниками, осуществляющими данную работу в соответствии со своими служебными (трудовыми) обязанностями, зафиксированными в их должностных инструкциях.

9.2. Защита персональных данных при неавтоматизированной их обработке регламентируется правилами обработки персональных данных без использования средств автоматизации.

Защита персональных данных при их обработке в ИСПДн регламентирована инструкцией пользователя ИСПДн и другими локальными актами Организации.

9.2. Ответы на письменные запросы уполномоченных организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Организации и в том объеме, который позволяет не разглашать излишний объем персональных сведений клиентов Организации.

9.3. Передача информации, содержащей сведения о персональных данных клиентов Организации, по телефону, факсу, электронной почте без письменного согласия клиента Организации запрещается.

9.4. Документы, оформленные на бумажных носителях, содержащие персональные данные клиентов Организации, хранятся в помещениях, обеспечивающих защиту от несанкционированного доступа, оснащённые специальными средствами охраны.

9.5. Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа.

9.6. В Организации проводится периодическое тестирование (проверка) средств защиты персональных данных.

 

10. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ,

РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных клиентов Организации, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

10.2. Моральный вред, причиненный клиенту Организации вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к защите персональных данных, установленных ФЗ «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации.

10.3. Неправомерность деятельности органов государственной власти и организаций по сбору персональных данных может быть установлена в судебном порядке по требованию клиента, действующего на основании законодательства о персональных данных.

10.4. В случае, когда нарушение конфиденциальности, целостности или доступности персональных данных повлекло за собой какие-либо финансовые потери для Организации, виновные должностные лица обязаны возместить причиненный ущерб.