Положение об обработке и защите персональных данных потребителей

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение является локальным нормативным актом Индивидуального предпринимателя Гуральника Бориса Давидовича (ИП Гуральник Б.Д., ИНН 744706904507, ОГРНИП 312744706500051, адрес местонахождения: Россия, Челябинская область, г. Челябинск, ул. Братьев Кашириных, д. 60А), (далее – ИП), и регламентирует отношения в области обращения с персональными данными потребителей. Его требования обязательны для исполнения всеми работниками ИП, определяя сведения о реализуемых требованиях к защите персональных данных потребителей

1.2. Настоящее Положение разработано в соответствии с требованиями ст.24 Конституции РФ, Федеральных законов №152-ФЗ от 27.07.2006 «О персональных данных», №149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации», Гражданского кодекса РФ и других нормативных актов. Положение является частью общей политики ИП в отношении обработки персональных данных.

1.3. Настоящее Положение применяется в отношении всех персональных данных, которые могут быть получены ИП от потребителей – физических лиц в процессе оформления скупки ценностей или при оформлении договора комиссии от потребителей при обращении в обособленные подразделения/приемные пункты ИП, при приобретении потребителями – физическими лицами ценностей при обращении в обособленные подразделения ИП, а также в отношении всех персональных данных, которые могут быть получены ИП от потребителей – физических лиц через сайты в сети Интернет: http://jewelcatalog.ru или https://jewelcatalog.company.site  (далее – Сайт) которые могут быть однозначно соотнесены с конкретным потребителем и его персональными данными.

1.4. Целью данного Положения является защита персональных данных потребителей ИП от несанкционированного, в том числе случайного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных.

1.5. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания, а также в иных случаях, предусмотренных законодательством РФ.

1.6. Настоящее Положение утверждается и вводится в действие приказом ИП.

1.7. Положение вступает в силу с момента его утверждения и действует бессрочно (до замены его новой редакцией документа).

1.8. Все изменения в Положение вносятся приказом ИП в порядке, аналогичном его утверждению.

1.9. Настоящее Положение подлежит размещению в обособленных подразделениях ИП, а также в открытом доступе в информационно-телекоммуникационной сети Интернет по адресам: http://jewelcatalog.ru или https://jewelcatalog.company.site.

 

2. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Для целей настоящего Положения используются следующие основные термины и определения:

- персональные данные потребителя - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, другая информация, необходимая ИП для оформления скупки ценностей от потребителя и касающаяся конкретного потребителя;

- оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных;

- обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

- распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе по каналам связи, а также обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

- использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающие права и свободы субъекта персональных данных или других лиц;

- блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или, в результате которых уничтожаются материальные носители персональных данных;

- обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

- конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

- общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые, в соответствии с федеральными законами, не распространяется требование соблюдения конфиденциальности.

 

3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Для обеспечения безопасности персональных данных ИП руководствуется следующими принципами:

- законность: защита персональных данных основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты персональных данных;

- системность: обработка персональных данных в ИП осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных;

- комплексность: защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах и других имеющихся в ИП систем и средств защиты;

- непрерывность: защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных;

- своевременность: меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки;

- преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты персональных данных осуществляется на основании результатов анализа практики обработки персональных данных в ИП с учетом выявления новых способов и средств реализации угроз безопасности персональных данных, отечественного и зарубежного опыта в сфере защиты информации;

- персональная ответственность: ответственность за обеспечение безопасности персональных данных возлагается на работников ИП в пределах их обязанностей, связанных с обработкой и защитой персональных данных;

- минимизация прав доступа: доступ к персональным данным предоставляется работникам ИП только в объеме, необходимом для выполнения их должностных обязанностей;

- гибкость: обеспечение выполнения функций защиты персональных данных при изменении характеристик функционирования информационных систем персональных данных ИП, а также объема и состава обрабатываемых персональных данных;

- открытость алгоритмов и механизмов защиты: структура, технологии и алгоритмы функционирования системы защиты персональных данных ИП не дают возможности преодоления имеющихся у ИП систем защиты возможными нарушителями безопасности персональных данных;

- научная обоснованность и техническая реализуемость: уровень мер по защите персональных данных определяется современным уровнем развития информационных технологий и средств защиты информации;

- специализация и профессионализм: реализация мер по обеспечению безопасности персональных данных и эксплуатация системы защиты персональных данных осуществляются работниками ИП, имеющими необходимые для этого квалификацию и опыт;

- наблюдаемость и прозрачность: меры по обеспечению безопасности персональных данных должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;

- непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты персональных данных, а результаты контроля регулярно анализируются.

 

4. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. В целях обеспечения защиты персональных данных потребителей ИП при их обработке устанавливаются нижеизложенные требования.

4.2. При определении объёма и содержания обрабатываемых персональных данных потребителей ИП руководствуется законами РФ. ИП осуществляет обработку следующих персональных данных потребителей:

- фамилия, имя, отчество;

- дата рождения;

- место рождения;

- гражданство;

- тип, серия и номер документа, удостоверяющего личность;

- сведения о месте регистрации, проживания;

- контактная информация (номер телефона, адрес электронной почты);

- данные об оказанных и оказываемых потребителю услугах;

- сведения о почтовом клиенте;

- сведения об используемом браузере;

- сведения о переходах по ссылкам в электронных письмах;

- сведения о месторасположении;

- сведения об IP-адресах, с которых пользователь открывает электронное письмо.

- история обращений потребителя, в том числе направляемые потребителем при обращениях в ИП документы;

- при использовании Сайта путем заполнения соответствующих форм и граф, в том числе при создании учетной записи, регистрации и посещении Сайта, личного кабинета на Сайте ИП обрабатывает указанные выше персональные данные потребителя в различных комбинациях.

4.3. Обработка персональных данных потребителей осуществляется ИП путем ведения баз данных как автоматизированным, так и неавтоматизированным способами исключительно в целях:

- заключения и исполнения договора по скупке ценностей (квитанций), договора комиссии; осуществления расчетов при скупке ценностей, при исполнении договора комиссии; продажи потребителям – физическим лицами ценностей и осуществления расчетов по реализованным ценностям при обращении в обособленные подразделения ИП, а также с использованием сервисов Сайта, урегулирования споров в случае неисполнения или ненадлежащего исполнения потребителем договорных обязательств; получения информации и рекламы, касающейся деятельности и услуг ИП; получения страхового возмещения по договору страхования ценностей (при наступлении страхового случая);

- в случае выраженного согласия потребителя, в целях продвижения услуг ИП, а также услуг третьих лиц, указанных в настоящем Положении, на рынке, оповещения  путем смс-рассылок, а также иные видов рассылок и уведомлений, осуществления прямых контактов с помощью любых средств связи, в том числе рекламного характера, о проводимых акциях, мероприятиях, скидках, проведении маркетинговых кампаний ИП и третьих лиц, указанных в настоящем Положении;

- при использовании Сайта данные, указанные в абз. 16 пункта 4.2. настоящего Положения, обрабатываются, также в целях:

- организация оператором получения информации, в том числе о проводимых  Оператором и третьими лицами акциях, мероприятиях, скидках, проведении маркетинговых кампаний Оператора  и третьих лиц;

- организация обработки персональных данных и обеспечения безопасности персональных данных;

- регистрация Субъекта персональных данных на Сайте;

- идентификации пользователя, зарегистрированного на Сайте, создания учетной записи, если Пользователь дал согласие на создание учетной записи;

- предоставления пользователю доступа к персонализированным ресурсам Сайта, включая консультационные услуги; создания учетной записи;

- обработки входящих обращений Пользователей по вопросам оказания услуг, обеспечения безопасности и предотвращения мошенничества, предоставления эффективной клиентской поддержки, выявления популярности мероприятий и определения эффективности маркетинговых кампаний, а также претензий, заявлений о возврате;

- связи с пользователем, в том числе направление уведомлений, запросов и информации, касающихся оказываемых услуг, исполнения соглашений и договоров, а также обработка запросов и заявок от пользователя; осуществление бронирования для Пользователя товара с целью последующего его приобретения;

- исполнение договора купли-продажи;

- улучшения качества оказываемых услуг, удобства их использования, проведение аналитических исследований, проведения маркетинговых программ; проведения опросов и исследований, направленных на выявление удовлетворенности/неудовлетворенности субъекта персональных данных, постоянного совершенствования уровня предоставляемых услуг;

- подтверждения достоверности и полноты персональных данных, предоставленных пользователем. Предоставление пользователю клиентской и технической поддержки при возникновении проблем, связанных с использованием Сайта;

- идентификации участников мероприятий, организуемых Оператором и третьими лицами;

- создания, ведения, актуализации пользовательской базы Сайта;

- создание информационных систем данных, анализ, моделирование, прогнозирование, построение математических моделей, профилирование, таргетирование, построение скоринг-моделей, их использование и передача результатов обработки информации третьим лицам, обогащение и сегментация для формирования и адаптации возможных услуг и предложений Оператора и третьих лиц, анализ агрегированных и анонимных данных, статистические и исследовательские цели.

- в иных целях в случае, если соответствующие действия ИП не противоречат действующему законодательству РФ, деятельности ИП, и на проведение указанной обработки получено согласие потребителя.

4.4. ИП получает и начинает обработку персональных данных потребителя с момента получения его согласия. Согласие на обработку персональных данных может быть дано потребителем в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством РФ, в том числе посредством совершения потребителем конклюдентных действий. В случае отсутствия согласия потребителя на обработку его персональных данных, такая обработка не осуществляется.

4.5. Получение персональных данных может осуществляться путём их предоставления самим потребителем, в том числе:

- путем личной передачи потребителем при внесении сведений, в том числе, посредством программного обеспечения в скупочную квитанцию, договор комиссии, которые оформляются в печатном виде на бумажных носителях в обособленных подразделениях ИП, при оформлении документов может осуществляться копирование (сканирование, фотокопирование) документов потребителя, содержащего персональные данные;

- путем личной передачи потребителем при внесении сведений в соответствующие формы в электронном виде на сайте;

- а также иными способами, не противоречащими законодательству РФ.

4.6. Согласие на обработку персональных данных считается предоставленным:

- посредством заполнения документа на бумажном носителе в обособленных подразделениях ИП.

- посредством проставления на Сайте в соответствующей форме отметки или нажатия  на кнопку отправки заполненной формы на Сайте о согласии на обработку персональных данных в объеме, для целей и в порядке, предусмотренных в предлагаемом перед получением согласия для ознакомления тексте.

4.7. Согласие считается полученным в установленном порядке и действует до момента направления потребителем соответствующего заявления о прекращении обработки персональных данных по адресу местонахождения ИП, указанному в п. 1.1 настоящего Положения. В случае отзыва потребителем согласия на обработку персональных данных ИП вправе продолжить обработку персональных данных без согласия потребителя при наличии оснований, предусмотренных Федеральным законом №152-ФЗ от 27.07.2006 «О персональных данных».

4.8. Использование персональных данных возможно только в соответствии с целями, заявленными при их получении.

4.9. Персональные данные не могут быть использованы в целях затруднения реализации прав и свобод граждан РФ, а также в целях причинения имущественного и морального вреда гражданам.

4.10. Передача персональных данных потребителя возможна только с его согласия или в случаях, прямо предусмотренных законодательством РФ.

4.11. При передаче персональных данных потребителей ИП должно соблюдать следующие требования:

- не сообщать персональные данные потребителей третьей стороне без письменного согласия потребителя, за исключением случаев, установленных федеральным законом;

- не сообщать персональные данные потребителя в коммерческих целях без его письменного согласия;

- предупредить лиц, получающих персональные данные потребителя, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Лица, получающие персональные данные потребителя, обязаны соблюдать режим конфиденциальности.

4.12. Передача персональных данных от ИП или его представителей третей стороне допускается только в целях выполнения задач, соответствующих объективной причине получения этих данных и в объемах необходимых для достижения этих целей.

Следующие третьи лица обрабатывают предоставленные персональные данные по поручению Оператора: ООО «УКМ» (ИНН 7451283940, ОГРН 1097451006465, адрес местонахождения: 454018, Россия, Челябинская область, г.Челябинск, ул. Братьев Кашириных, д. 60А, 3 этаж, помещение 12).

Следующим третьим лица передаются / могут передаваться персональные данные: ООО «Флексайтс» (ИНН 7447123326, ОГРН 1077447022575, адрес местонахождения 454091, г. Челябинск, ул. Маркса, 46, 6-й этаж); ПАО «СК ЮЖУРАЛ-АСКО» (ИНН 7453297458, ОГРН 1167456096598, адрес местонахождения: 454091, г. Челябинск, ул. Красная, д. 4), ООО «Фианит – Ломбард» (ИНН. 7452031712., ОГРН 1027403767368, адрес местонахождения: 454018, Россия, Челябинская область, г.Челябинск, ул. Братьев Кашириных, д. 60А, 2 этаж, помещение 18), ООО «Фианит Ломбард Т» (ИНН. 7447280738., ОГРН 1187456003294, адрес местонахождения: 454018, Россия, Челябинская область, г.Челябинск, ул. Братьев Кашириных, д. 60А, 2 этаж, помещение 18), ООО «ЭКВИД» (ИНН 7325113715, ОГРН 1127325003695 , адрес местонахождения: 432011, Ульяновская область, город Ульяновск, Красноармейская улица, 111), ИП Ковальчук Валерий Брониславович  (ИНН 74490068519, ОГРН 3167455600219675, адрес местонахождения: 454020, г. Челябинск, ул. Энгельса, 56, кв.28).

4.13. Обработка персональных данных третьей стороной может осуществляться только на основании договора с ИП, в котором содержится поручение на обработку персональных данных. В поручении должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных».

4.14. Все меры конфиденциальности при сборе, обработке и хранении персональных данных потребителей распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

4.15. Хранение персональных данных должно происходить в порядке, исключающем их утрату, искажение или их неправомерное использование.

 

5. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

5.1.       Внутренний доступ (доступ внутри ИП).

5.1.1. Право доступа к персональным данным потребителей имеют:

- индивидуальный предприниматель;

- работники ИП при выполнении ими своих должностных обязанностей.

5.1.2. Список лиц, занимающихся обработкой персональных данных потребителей, определяется приказом ИП.

5.2.  Внешний доступ.

5.2.1. Сведения о персональных данных потребителей могут быть предоставлены государственным и негосударственным органам в случаях, предусмотренных законом без согласия субъекта персональных данных.

5.2.2. В иных случаях сведения о персональных данных потребителей негосударственным органам, коммерческим организациям могут быть предоставлены только с согласия субъекта.

5.2.3. Органы, осуществляющие надзорно-контрольные функции, могут иметь доступ к информации, содержащей персональные данные только в пределах своей компетенции.

 

6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение сведениями, содержащими персональные данные, и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.

6.2. Защита персональных данных представляет собой регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности ИП.

6.3. Защита персональных данных при их обработке обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и техническую защиту (средства защиты информации, средства предотвращения несанкционированного доступа).

6.4. Защита информационной системы («техническая защита») регламентируется отдельным положением. Особенности обработки и защиты персональных данных, осуществляемой без использования средств автоматизации, регламентируется отдельным положением.

6.5. Организационные меры. Внутренняя защита.

Для обеспечения внутренней защиты персональных данных потребителей необходимо:

- ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;

- строгое избирательное и обоснованное распределение документов и информации между работниками;

- рациональное размещение рабочих мест работников, позволяющее исключить бесконтрольное использование защищаемой информации;

- знание работниками требований нормативно - методических документов по защите информации, содержащей персональные данные;

- наличие необходимых условий в помещении для работы с базами данных, документами и другой информацией, содержащей персональные данные;

- организация порядка уничтожения информации, содержащей персональные данные;

- своевременное выявление нарушений требований разрешительной системы доступа работниками ИП к информации, содержащей персональные данные;

- воспитательная и разъяснительная работа с работниками подразделений по предупреждению утраты сведений при работе с информацией, содержащей персональные данные.

6.6. Организационные меры. Внешняя защита.

6.6.1. Для защиты информации, содержащей персональные данные, создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лиц, пытающихся совершить несанкционированный доступ и овладение информацией.

6.6.2. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, в которых содержатся персональные данные потребителей.

6.6.3. Размещение информационной системы, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

6.6.4. Для обеспечения внешней защиты персональных данных потребителей необходимо соблюдение следующих мер:

- порядок приема, учета и контроля посетителей;

- пропускной режим организации;

- учет и порядок выдачи пропусков;

- технические средства охраны, сигнализации;

- порядок охраны территории, зданий, помещений, транспортных средств.

6.7. Защита персональных данных потребителей обеспечивается за счет ИП в порядке, установленном федеральным законом.

 

7. СОГЛАСИЕ НА ПОЛУЧЕНИЕ РЕКЛАМНОЙ ИНФОРМАЦИИ ПО СЕТЯМ ЭЛЕКТРОСВЯЗИ

7.1. Потребитель, осуществляя подписку на получение рекламной информации:

- в обособленных подразделениях ИП путем заполнения документов на бумажном носителе,

- на сайте путем проставления отметки потребителем на соответствующей веб-странице или нажатия  на кнопку отправки заполненной формы;

предоставляет тем самым свое согласие на получение от ИП и третьих лиц, указанных в настоящем Положении, по сетям электросвязи (по предоставленным номеру телефона и адресу электронной почты) информационных сообщений, а в том числе информации коммерческого рекламного характера (рекламы), указанных в абз. 3 пункта 4.3. настоящего Положения.

7.2. Давая согласие, указанное в пункте 7.1. настоящего Положения, потребитель подтверждает, что действует по своей воле и в своем интересе, а также то, что указанные персональные данные являются достоверными.

 

8. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ КОФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

8.1. Работники ИП, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут ответственность в соответствии с действующим законодательством РФ.

8.2. Третьи лица, получившие правомерный доступ к персональным данным потребителей ИП, в случае искажения, незаконного копирования, распространения или утраты несут ответственность, предусмотренную действующим законодательством РФ.

8.3. Убытки, причиненные потребителю вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных подлежат возмещению в соответствии с законодательством РФ.

Политика защиты и обработки персональных данных