1. Общие положения
1.1. Настоящее Положение является локальным нормативным актом ООО «ЛОМБАРД. ДЕНЬГИ. КСТАТИ» (далее — Организация, Ломбард), принятым с учетом
требований, в частности, но не исключительно, Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных),
Федерального закона от 27 июля 2006 г. №149-ФЗ "Об информации, информационных технологиях и о защите информации", Федерального закона
"О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" от 07.08.2001 М 115-ФЗ.
1.2. В Положении устанавливаются:
- цель, порядок и условия обработки персональных данных;
- категории субъектов, персональные данные которых обрабатываются, категории (перечни)
обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки
или при наступлении иных законных оснований;
- положения, касающиеся защиты персональных данных, процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в области
персональных данных, а также на устранение последствий таких нарушений.
1.3. В Положении используются термины и определения в соответствии с их значениями,
определенными в Законе о персональных данных, иными Федеральными законами.
1.4. Положение вступает в силу с момента его утверждения директором и действует до его отмены приказом директора или до введения нового Положения.
1.5. Внесение изменений в Положение производится приказом директора. Изменения вступают в силу с момента подписания соответствующего приказа.
2. Категории субъектов персональных данных
2.1. К субъектам, персональные данные которых обрабатываются в Организации в соответствии с Положением, относятся:
- физические лица/ потребители Организации;
- контрагенты Организации;
- юридические лица, их представители, иностранные структуры без образования юридического лица, индивидуальные предприниматели, физические лица,
занимающиеся в установленном законодательством Российской Федерации порядке частной практикой, которым Ломбард оказывает услугу на разовой
основе либо которых принимает на обслуживание, предполагающее длящийся характер отношений, при осуществлении операций с денежными средствами
или иным имуществом в рамках своей профессиональной деятельности;
- иные лица, персональные данные которых Организация обязана обрабатывать в соответствии с гражданским законодательством.
3. Цели обработки персональных данных,
категории (перечни) обрабатываемых персональных данных
3.1. Настоящее Положение применяется при обработке персональных данных граждан Российской Федерации, или физических лиц, представителей
юридических лиц; физических лиц, зарегистрированных в установленном законодательством РФ порядке в качестве индивидуального предпринимателя;
а также физического лица, имеющего статус самозанятого при заключении при заключении, исполнении, расторжении договоров, в процессе осуществления
Ломбардом его хозяйственной деятельности, а также в целях исполнения требований 115-ФЗ в том числе:
- при заключении договоров;
- ведении бухгалтерского учета;
- заполнении и передаче в уполномоченные органы требуемых форм отчетности/информации;
- идентификации (в том числе упрощенной идентификации) клиентов, представителей клиента (в том числе идентификации единоличного
исполнительного органа как представителя клиента), выгодоприобретателей и бенефициарных владельцев в целях противодействия легализации
(отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- при проведении торгов,
- иных целях, установленных законодательством РФ.
3.2. В соответствии с целью, указанной в п. 3.1 Положения, в Организации обрабатываются
следующие персональные данные:
Для физического лица, о нем собирают следующую информацию;
- ФИО
- гражданство;
- дата и место рождения;
- пол
- реквизиты документа, удостоверяющего личность, или данные документов, которые подтверждают право иностранца находиться в России;
- адрес регистрации или/и места пребывания;
- ИНН;
- СНИЛС;
- Номер телефон, электронной почты и (или) сведения о других способах связи
- сведения о семейном положении, составе семьи (степень родства, фамилии, имена, отчества (при наличии), даты (число, месяц, год) и
места рождения(при идентификации клиента);
- сведения, содержащиеся в разрешении на временное проживание, разрешении на временное проживание в целях получения образования
(для иностранных граждан, временно проживающих в РФ), виде на жительство (для иностранных граждан, постоянно проживающих в РФ);
- номера расчетного счета.
- для индивидуального предпринимателя дополнительно устанавливают ОГРНИП и место гос. регистрации.
-персональные данные, не являющиеся специальными или биометрическими (файлы cookie), обезличенная информация о действиях пользователя на сайте,
собираемая с помощью специализированных сервисов интернет-статистики для улучшения качества сайта и его содержания.
В перечень информации, которую собирают для идентификации клиента — юридического лица, входят:
- название;
- организационно-правовая форма;
- ИНН или код иностранной организации;
- сведения о лицензиях на право вести деятельность, которая подлежит лицензированию;
- адрес сайта в информационной сети интернет;
- бенефициарах;
- сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о
прекращении уголовного преследования по реабилитирующим основаниям (для отдельных категорий работников).
- иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует
цели обработки, предусмотренной п. 3.1 положения.
3.3. Организация не осуществляет обработку специальных категорий персональных данных,
касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением
случаев, предусмотренных законодательством РФ.
4. Порядок и условия обработки персональных данных
4.1. До начала обработки персональных данных Организация обязано уведомить Роскомнадзор о намерении осуществлять обработку персональных данных.
4.2. Правовым основанием обработки персональных данных являются Федеральный закон от
27.07.2006 М 152-ФЗ "О персональных данных", Закон РФ от 19.04.1991 М 1032-1 "О занятости населения в Российской Федерации", Федеральный закон от
06.12.2011 М 402-ФЗ "О бухгалтерском учете", Федеральный закон от 27 июля 2006 г. №149-ФЗ "Об информации, информационных технологиях и о защите информации",
Федеральный закон "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" от 07.08.2001 М 115-ФЗ
4.3. Обработка персональных данных осуществляется с соблюдением принципов и условий,
предусмотренных законодательством в области персональных данных и настоящим Положением.
4.4. Обработка персональных данных в Организации выполняется следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
4.5. Обработка персональных данных в Организации осуществляется с согласия субъекта
персональных данных на обработку его персональных данных, если иное не предусмотрено
законодательством в области персональных данных и иным федеральным законодательством РФ.
4.5.1. Обработка персональных данных, разрешенных субъектом персональных данных для
распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных.
4.6. Организация не осуществляет трансграничную передачу персональных данных.
4.7. Обработка персональных данных осуществляется путем сбора, записи, систематизации,
накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных
данных, в том числе с помощью средств вычислительной техники,
4.7.1. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных в Организации осуществляются посредством:
- получения оригиналов документов либо их копий;
- копирования оригиналов документов;
- внесения сведений в учетные формы на бумажных и электронных носителях;
- создания документов, содержащих персональные данные, на бумажных и электронных носителях;
- внесения персональных данных в информационные системы персональных данных;
-заполнение анкет.
4.7.2. В Организации используются следующие информационные системы:
- ПО РМО товароведа ломбарда.
- система электронного документооборота.
4.8. Передача (распространение, предоставление, доступ) персональных данных субъектов
персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Положением.
5. Сроки обработки и хранения персональных данных
5.1. Обработка персональных данных в Организации прекращается в следующих случаях:
- при выявлении факта неправомерной обработки персональных данных. Срок прекращения
обработки - в течение трех рабочих дней с даты выявления такого факта;
- при достижении целей их обработки (за некоторыми исключениями);
- по истечении срока действия или при отзыве субъектом персональных данных согласия на
обработку его персональных данных (за некоторыми исключениями), если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
- при обращении субъекта персональных данных к Организации с требованием о прекращении обработки персональных данных
(за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки - не более десяти рабочих дней с даты
получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).
5.2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.
Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого
(выгодоприобретателем или поручителем, по которому) является субъект персональных данных.
5.3. Персональные данные на бумажных носителях хранятся в Организации в течение сроков
хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 М 125-ФЗ
"Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных
органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 № 236)).
5.4. Срок хранения персональных данных, обрабатываемых в информационных системах
персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
6. Порядок блокирования и уничтожения персональных данных
6.1. Организация блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.
6.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные
уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.
6.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение семи
рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
6.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и
правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления неправомерной обработки.
6.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого
(выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Организациям либо если
Организация не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
6.5.1. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.
6.6. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты
поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого
(выгодоприобретателем или поручителем, по которому) является субъект персональных данных, иное соглашение между ним и Организациям. Кроме того,
персональные данные уничтожаются в указанный срок, если Организация не вправе обрабатывать их без согласия субъекта персональных данных на основаниях,
предусмотренных федеральными законами.
6.7. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих
персональные данные, которые подлежат уничтожению, осуществляют подразделения Организации, обрабатывающие персональные данные.
6.8. Уничтожение персональных данных осуществляет комиссия, созданная приказом директора.
6.8.1. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих
персональные данные, которые подлежат уничтожению.
6.8.2. Персональные данные на бумажных носителях уничтожаются путем сжигания. Персональные данные на электронных носителях уничтожаются
путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных
с электронных носителей методами и средствами гарантированного удаления остаточной информации.
6.8.3. Комиссия подтверждает уничтожение персональных данных, указанных в п. п. 6.4, 6.5, 6.6 Положения, актом согласно Требованиям к
подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 М 179.
Акг может составляться на бумажном носителе или в электронной форме, подписанной
электронными подписями.
Формы акта и выгрузки из журнала с учетом сведений, которые должны содержаться в указанных документах, утверждаются приказом директора.
6.3.4. После составления акта об уничтожении персональных данных и выгрузки из журнала
регистрации событий в информационной системе персональных данных комиссия передает их бухгалтерию организации для последующего хранения.
Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.
6.8.5. Уничтожение персональных данных, не указанных в п. 6.8.3 Положения, подтверждается актом, который оформляется непосредственно после
уничтожения таких данных. Форма акта утверждается приказом директора.
7. Защита персональных данных. Процедуры,
направленные на предотвращение и выявление нарушений
законодательства, устранение последствий таких нарушений
7.1. Без письменного согласия субъекта персональных данных Организация не раскрывает третьим лицам и не распространяет персональные данные,
если иное не предусмотрено федеральным законом.
7.1.1. Запрещено раскрытие и распространение персональных данных субъектов персональных данных по телефону.
7.2. С целью защиты персональных данных в Организации приказами директора назначается
(утверждаются):
- работник, ответственный за организацию обработки персональных данных;
- перечень должностей, при замещении которых обрабатываются персональные данные;
- перечень персональных данных, к которым имеют доступ работники, занимающие должности, предусматривающие обработку персональных данных;
- иные локальные нормативные акты, принятые в соответствии с требованиями законодательства в области персональных данных.
7.3. Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания
обязательства об их неразглашении.
7.4. Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ. Помещения Организации, в которых они размещаются,
оборудуются запирающими устройствами.
7.5. В Организации проводятся внутренние расследования в следующих ситуациях:
- при неправомерной или случайной передаче (предоставлении, распространении, доступе)
персональных данных, повлекшей нарушение прав субъектов персональных данных;
- в иных случаях, предусмотренных законодательством в области персональных данных.
7.6. Работник, ответственный за организацию обработки персональных данных, осуществляет внутренний контроль:
- за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных,
локальных нормативных актов;
- соответствием указанных актов, требованиям законодательства в области персональных данных.
Внутренний контроль проходит в виде внутренних проверок.
7.6.1. Внутренние внеплановые проверки осуществляются по решению работника, ответственного за организацию обработки персональных данных.
Основанием для них служит информация о нарушении законодательства в области персональных данных, поступившая в устном или письменном виде.
7.6.2. По итогам внутренней проверки оформляется докладная записка на имя директора. В случае выявления нарушений в документе приводятся
перечень мероприятий по их устранению и соответствующие сроки.
7.7. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа)
персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент).
7.7.1. В случае инцидента Организация в течение 24 часов уведомляет Роскомнадзор:
- об инциденте;
- его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;
- принятых мерах по устранению последствий инцидента;
- представителе Организации, который уполномочен взаимодействовать с Роскомнадзором по
вопросам, связанным с инцидентом.
При направлении уведомления нужно руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных
технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными
Приказом Роскомнадзора от 14.11.2022 М 187.
7.7.2. В течение 72 часов Организация обязана сделать следующее:
- уведомить Роскомнадзор о результатах внутреннего расследования;
- предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).
При направлении уведомления также необходимо руководствоваться Порядком и условиями
взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета
инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 М 187.
7.8. В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о том, что персональные данные являются неполными,
неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней. Организация уведомляет в письменном виде субъекта персональных данных
(его представителя) о внесенных изменениях и сообщает (по электронной почте) о них третьим лицам, которым были переданы персональные данные.
7.9. Организация уведомляет субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных.
Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос.
7.9.1. В случае уничтожения персональных данных, которые неправомерно обрабатывались,
уведомление направляется в соответствии с п.7.8 Положения.
7.10. В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки,
Организация уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде. Организация уведомляет по электронной почте также
третьих лиц, которым были переданы такие персональные данные.
8. Ответственность за нарушение норм, регулирующих
обработку персональных данных
8.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и
материальной ответственности в порядке, установленном федеральными законами РФ. Кроме того, они привлекаются к административной, гражданско-правовой или
уголовной ответственности в порядке, установленном федеральными законами.
8.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения
требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда
осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
Далее для ознакомления:
Соглашение об обработке персональных данных
