Политика обработки персональных данных
1.1. Настоящая Политика является локальным нормативным актом Общества с ограниченной ответственностью «Ломбард Пионер» (сокращенное наименование – ООО «Ломбард Пионер», ИНН 6320052778, ОГРН 120630004907, адрес местонахождения: 445030, Россия, Самарская область, г. Тольятти, ул. 40 лет Победы, д. 5, помещение 3), (далее – Общество или Оператор), и регламентирует отношения в области обращения с персональными данными потребителей, определяя сведения о реализуемых требованиях к защите персональных данных потребителей.
Требования настоящей Политики обязательны для исполнения всеми работниками Общества.
1.2. Настоящая Политика разработана в соответствии с требованиями ст.24 Конституции РФ, Федеральных законов № 152-ФЗ от 27.07.2006 «О персональных данных» (далее по тексту – Закон № 152-ФЗ), №149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации», Гражданского кодекса РФ и других нормативных актов.
1.3. Настоящая Политика применяется в отношении всех персональных данных, которые могут быть получены Обществом от потребителей – физических лиц в процессе заключения и исполнения договоров между Обществом и потребителями, при реализации невостребованного имущества, при подаче заявок на оказание услуг, как при обращении в обособленные подразделения Общества, так и дистанционным способом, в том числе посредством заполнения форм обратной связи на Сайтах в информационно-телекоммуникационной сети «Интернет», в мобильном приложении «Ломбард Пионер», через колл-центр Общества по телефону: 8-800-100-30-24 (далее – колл-центр), и которые могут быть однозначно соотнесены с конкретным потребителем и его персональными данными, а также в отношении всех персональных данных, которые могут быть получены Обществом о посетителях сайтов Общества, а также о пользователях мобильного приложения «Ломбард Пионер» (далее по тексту Политики – мобильное приложение).
1.4. Целью данной Политики является защита персональных данных потребителей Общества от несанкционированного, в том числе случайного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных.
1.5. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях, предусмотренных законодательством РФ.
1.6. Настоящая Политика утверждается приказом директора Общества.
1.7. Политика вступает в силу с момента его утверждения и действует бессрочно (до замены ее новой редакцией документа).
1.8. Все изменения в Политику вносятся приказом директора Общества.
1.9. Настоящая Политика подлежит размещению в обособленных подразделениях Общества, а также в открытом доступе в информационно-телекоммуникационной сети Интернет на сайтах Общества. При размещении настоящей Политики на Сайте оно размещается на каждой странице сайта, на которой осуществляется сбор персональных данных.
2. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Для целей настоящей Политики используются следующие основные термины и определения:
• персональные данные потребителя (ПД) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата рождения, адрес, семейное положение, другая информация, необходимая Обществу для исполнения договоров и касающаяся конкретного потребителя, а также для предоставления доступа к Сайту и иных целей, указанных в настоящей Политике;
• оператор - организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является Общество с ограниченной ответственностью «Ломбард Пионер» ИНН 6320052778, ОГРН 120630004907, адрес местонахождения: 445030, Россия, Самарская область, г. Тольятти, ул. 40 лет Победы, д. 5, помещение 3
• обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных;
• распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающие права и свободы субъекта персональных данных или других лиц;
• блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или, в результате которых уничтожаются материальные носители персональных данных;
• информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
• общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые, в соответствии с федеральными законами, не распространяется требование соблюдения конфиденциальности.
• автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Для обеспечения безопасности персональных данных Общество руководствуется следующими принципами:
• законность: защита персональных данных основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты персональных данных;
• системность: обработка персональных данных в Обществе осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных;
• комплексность: защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах и других имеющихся в Обществе систем и средств защиты;
• непрерывность: защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных;
• своевременность: меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки;
• преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты персональных данных осуществляется на основании результатов анализа практики обработки персональных данных в Обществе с учетом выявления новых способов и средств реализации угроз безопасности персональных данных, отечественного и зарубежного опыта в сфере защиты информации;
• персональная ответственность: ответственность за обеспечение безопасности персональных данных возлагается на работников Общества в пределах их обязанностей, связанных с обработкой и защитой персональных данных;
• минимизация прав доступа: доступ к персональным данным предоставляется работникам Общества только в объеме, необходимом для выполнения их должностных обязанностей;
• гибкость: обеспечение выполнения функций защиты персональных данных при изменении характеристик функционирования информационных систем персональных данных Общества, а также объема и состава обрабатываемых персональных данных;
• открытость алгоритмов и механизмов защиты: структура, технологии и алгоритмы функционирования системы защиты персональных данных Общества не дают возможности
преодоления имеющихся в Обществе систем защиты возможными нарушителями безопасности персональных данных;
• научная обоснованность и техническая реализуемость: уровень мер по защите персональных данных определяется современным уровнем развития информационных технологий и средств защиты информации;
• специализация и профессионализм: реализация мер по обеспечению безопасности персональных данных и эксплуатация системы защиты персональных данных осуществляются работниками Общества, имеющими необходимые для этого квалификацию и опыт;
• наблюдаемость и прозрачность: меры по обеспечению безопасности персональных данных должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;
• непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты персональных данных, а результаты контроля регулярно анализируются.
4. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. В целях обеспечения защиты персональных данных потребителей Общества при их обработке устанавливаются нижеизложенные требования.
4.2. При определении объёма и содержания обрабатываемых персональных потребителей, в отношение которых производится обработка персональных данных.
Общество осуществляет обработку следующего перечня персональных данных потребителей (клиентов Общества и посетителей Сайтов Общества и/или мобильного приложения), не относящихся к специальной категории персональных данных или к биометрическим персональным данным:
▪ фамилия, имя, отчество;
▪ дата рождения;
▪ гражданство;
▪ тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ;
▪ адрес места жительства или адрес регистрации;
▪ адрес доставки;
▪ контактная информация (номер телефона, адрес электронной почты);
▪ данные об оказанных и оказываемых потребителю услугах, история операций потребителя, данные о заключенных договорах;
▪ пользовательские данные и файлы «cookie»: url и заголовок страницы; реферер страницы; сведения о местоположении и часовом поясе; сведения о браузере или почтовом клиенте, информационной системе, сведения о сети, тип устройства и разрешение его экрана; источник, откуда пользователь был перенаправлен на сайт - с какого сайта или по какой рекламе, сведения об отправке форм, скачивании файлов; какие страницы открывает и на какие кнопки нажимает пользователь, длительность сессии, сведения о переходах по ссылкам в электронных письмах, сведения об IP-адресах пользователя, Wi-Fi, Bluetooth и проч.;
▪ история обращений потребителя, в том числе направляемые потребителем при обращениях в Общество документы;
▪ номер банковской карты, номер лицевого счета;
▪ аккаунт (учетная запись) в мессенджере;
▪ данные голос�
Требования настоящей Политики обязательны для исполнения всеми работниками Общества.
1.2. Настоящая Политика разработана в соответствии с требованиями ст.24 Конституции РФ, Федеральных законов № 152-ФЗ от 27.07.2006 «О персональных данных» (далее по тексту – Закон № 152-ФЗ), №149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации», Гражданского кодекса РФ и других нормативных актов.
1.3. Настоящая Политика применяется в отношении всех персональных данных, которые могут быть получены Обществом от потребителей – физических лиц в процессе заключения и исполнения договоров между Обществом и потребителями, при реализации невостребованного имущества, при подаче заявок на оказание услуг, как при обращении в обособленные подразделения Общества, так и дистанционным способом, в том числе посредством заполнения форм обратной связи на Сайтах в информационно-телекоммуникационной сети «Интернет», в мобильном приложении «Ломбард Пионер», через колл-центр Общества по телефону: 8-800-100-30-24 (далее – колл-центр), и которые могут быть однозначно соотнесены с конкретным потребителем и его персональными данными, а также в отношении всех персональных данных, которые могут быть получены Обществом о посетителях сайтов Общества, а также о пользователях мобильного приложения «Ломбард Пионер» (далее по тексту Политики – мобильное приложение).
1.4. Целью данной Политики является защита персональных данных потребителей Общества от несанкционированного, в том числе случайного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных.
1.5. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях, предусмотренных законодательством РФ.
1.6. Настоящая Политика утверждается приказом директора Общества.
1.7. Политика вступает в силу с момента его утверждения и действует бессрочно (до замены ее новой редакцией документа).
1.8. Все изменения в Политику вносятся приказом директора Общества.
1.9. Настоящая Политика подлежит размещению в обособленных подразделениях Общества, а также в открытом доступе в информационно-телекоммуникационной сети Интернет на сайтах Общества. При размещении настоящей Политики на Сайте оно размещается на каждой странице сайта, на которой осуществляется сбор персональных данных.
2. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Для целей настоящей Политики используются следующие основные термины и определения:
• персональные данные потребителя (ПД) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата рождения, адрес, семейное положение, другая информация, необходимая Обществу для исполнения договоров и касающаяся конкретного потребителя, а также для предоставления доступа к Сайту и иных целей, указанных в настоящей Политике;
• оператор - организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является Общество с ограниченной ответственностью «Ломбард Пионер» ИНН 6320052778, ОГРН 120630004907, адрес местонахождения: 445030, Россия, Самарская область, г. Тольятти, ул. 40 лет Победы, д. 5, помещение 3
• обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных;
• распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающие права и свободы субъекта персональных данных или других лиц;
• блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или, в результате которых уничтожаются материальные носители персональных данных;
• информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
• общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые, в соответствии с федеральными законами, не распространяется требование соблюдения конфиденциальности.
• автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Для обеспечения безопасности персональных данных Общество руководствуется следующими принципами:
• законность: защита персональных данных основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты персональных данных;
• системность: обработка персональных данных в Обществе осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных;
• комплексность: защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах и других имеющихся в Обществе систем и средств защиты;
• непрерывность: защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных;
• своевременность: меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки;
• преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты персональных данных осуществляется на основании результатов анализа практики обработки персональных данных в Обществе с учетом выявления новых способов и средств реализации угроз безопасности персональных данных, отечественного и зарубежного опыта в сфере защиты информации;
• персональная ответственность: ответственность за обеспечение безопасности персональных данных возлагается на работников Общества в пределах их обязанностей, связанных с обработкой и защитой персональных данных;
• минимизация прав доступа: доступ к персональным данным предоставляется работникам Общества только в объеме, необходимом для выполнения их должностных обязанностей;
• гибкость: обеспечение выполнения функций защиты персональных данных при изменении характеристик функционирования информационных систем персональных данных Общества, а также объема и состава обрабатываемых персональных данных;
• открытость алгоритмов и механизмов защиты: структура, технологии и алгоритмы функционирования системы защиты персональных данных Общества не дают возможности
преодоления имеющихся в Обществе систем защиты возможными нарушителями безопасности персональных данных;
• научная обоснованность и техническая реализуемость: уровень мер по защите персональных данных определяется современным уровнем развития информационных технологий и средств защиты информации;
• специализация и профессионализм: реализация мер по обеспечению безопасности персональных данных и эксплуатация системы защиты персональных данных осуществляются работниками Общества, имеющими необходимые для этого квалификацию и опыт;
• наблюдаемость и прозрачность: меры по обеспечению безопасности персональных данных должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;
• непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты персональных данных, а результаты контроля регулярно анализируются.
4. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. В целях обеспечения защиты персональных данных потребителей Общества при их обработке устанавливаются нижеизложенные требования.
4.2. При определении объёма и содержания обрабатываемых персональных потребителей, в отношение которых производится обработка персональных данных.
Общество осуществляет обработку следующего перечня персональных данных потребителей (клиентов Общества и посетителей Сайтов Общества и/или мобильного приложения), не относящихся к специальной категории персональных данных или к биометрическим персональным данным:
▪ фамилия, имя, отчество;
▪ дата рождения;
▪ гражданство;
▪ тип, серия и номер документа, удостоверяющего личность и/или документа, подтверждающего право пребывания на территории РФ;
▪ адрес места жительства или адрес регистрации;
▪ адрес доставки;
▪ контактная информация (номер телефона, адрес электронной почты);
▪ данные об оказанных и оказываемых потребителю услугах, история операций потребителя, данные о заключенных договорах;
▪ пользовательские данные и файлы «cookie»: url и заголовок страницы; реферер страницы; сведения о местоположении и часовом поясе; сведения о браузере или почтовом клиенте, информационной системе, сведения о сети, тип устройства и разрешение его экрана; источник, откуда пользователь был перенаправлен на сайт - с какого сайта или по какой рекламе, сведения об отправке форм, скачивании файлов; какие страницы открывает и на какие кнопки нажимает пользователь, длительность сессии, сведения о переходах по ссылкам в электронных письмах, сведения об IP-адресах пользователя, Wi-Fi, Bluetooth и проч.;
▪ история обращений потребителя, в том числе направляемые потребителем при обращениях в Общество документы;
▪ номер банковской карты, номер лицевого счета;
▪ аккаунт (учетная запись) в мессенджере;
▪ данные голос�