ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ

I. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение об обработке и защите персональных данных в ООО «Эгида» (далее - Положение) определяет:
- правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
- правила рассмотрения запросов субъектов персональных данных или их представителей;
- правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных») и принятыми в соответствии с ним нормативными правовыми актами;
- перечни персональных данных, обрабатываемых в связи с осуществлением ООО «Эгида» предпринимательской деятельности, взаимодействия с клиентами, продажи товаров и услуг.

1.2. Положение определяет деятельность ООО «Эгида» как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

1.3. Обработка персональных данных в ООО «Эгида» осуществляется с соблюдением принципов и условий, предусмотренных Положением и законодательством Российской Федерации в сфере персональных данных.

1.4. Положение распространяется на обработку и защиту персональных данных во всех отделах, структурных подразделениях, филиалах и представительствах ООО «Эгида», а также розничных магазинах ООО «Эгида» («Эталон Gold») на всей территории Российской Федерации.

II. ПРОЦЕДУРЫ, НАПРАВЛЕННЫЕ НА ВЫЯВЛЕНИЕ И ПРЕДОТВРАЩЕНИЕ НАРУШЕНИЙ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в ООО «Эгида» используются следующие процедуры:

2.1.1. Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;

2.1.2. Оценка вреда, который может быть причинен субъектам персональных данных;

2.1.3. Ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящим Положением и (или) обучение по соответствующим дополнительным профессиональным программам;

2.1.4. Осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленными законодательством Российской Федерации в сфере персональных данных;

2.1.5. Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

2.1.6. Обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.

III. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. В ООО «Эгида» персональные данные клиентов могут обрабатываться для:

3.1.1. Обеспечения соблюдения законов и иных нормативных правовых актов;

3.1.2. Установление процедуры обработки личных сведений каждого клиента ООО «Эгида», чьи данные необходимо обрабатывать;

3.1.3. Защита прав, свобод человека во время выполнения операций с его персональными данными;

3.1.4. Определение ответственности работников ООО «Эгида», владеющих доступом к персональным данным, в случае невыполнения ими законодательства по обработке и защите персональных данных;

3.1.5. Для внесения в базу данных клиентов для рекламной рассылки (в случае согласия на эту рассылку), для участия клиента в бонусных программах, программах лояльности;

3.1.6. Осуществления других целей, предусмотренных законодательством Российской Федерации.

3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.

3.3. Обработка персональных данных, несовместимых с целями сбора персональных данных, указанными в пункте 3.1 Положения, не допускается.

3.4. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным в пункте 3.1 Положения целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

IV. УСЛОВИЯ И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ

4.1. В ООО «Эгида» могут обрабатываться следующие категории персональных данных:

4.1.1. Фамилия, имя, отчество, дата и место рождения, гражданство;

4.1.2. Прежние фамилия, имя, отчество, дата, место рождения (в случае изменения);

4.1.9. Адрес регистрации и фактического проживания, дата регистрации по месту жительства;

4.1.10. Вид, серия, номер документа, удостоверяющего личность на территории Российской Федерации, наименование органа, выдавшего его, дата выдачи;

4.1.11. Паспорт, удостоверяющий личность гражданина Российской Федерации за пределами Российской Федерации (серия, номер, кем и когда выдан);

4.1.12. Номер контактного телефона или сведения о других способах связи;

4.1.13. Иные персональные данные, необходимые для достижения целей, указанных в пункте 3.1 Положения.

4.2. Обработка персональных данных клиентов ООО «Эгида» осуществляется при условии получения согласия указанных лиц в следующих случаях:

4.2.1. При передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных трудовым законодательством;

4.2.2. При принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

4.3. В случаях, предусмотренных пунктом 4.5 Положения, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом «О персональных данных».

4.4. Обработка персональных данных клиентов ООО «Эгида» осуществляется уполномоченными работниками ООО «Эгида» (далее – уполномоченные лица) и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

4.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных клиентов ООО «Эгида» осуществляется путем:

4.5.1. Копирования оригиналов документов;

4.5.2. Внесения персональных данных в информационные системы (при наличии);

4.5.3. Получения персональных данных непосредственно от клиентов ООО «Эгида» путем заполнения анкеты клиента либо иных заявлений.

4.6. В случае возникновения необходимости получения персональных данных клиентов ООО «Эгида» у третьей стороны следует известить об этом заранее клиента ООО «Эгида», получить письменное согласие и сообщить о целях и способах получения персональных данных.

4.7. Запрещается получать, обрабатывать и приобщать к карточке клиента персональные данные, не предусмотренные пунктом 4.1 Положения, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

4.8. При сборе персональных данных уполномоченные лица, осуществляющие сбор (получение) персональных данных непосредственно от клиентов ООО «Эгида», обязаны разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные, если предоставление персональных данных является обязательным в соответствии с федеральным законом.

4.9. Передача (распространение, предоставление) и использование персональных данных клиентов ООО «Эгида», осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

4.10. Персональные данные клиентов ООО «Эгида» заносятся в базу данных «1С:Бухгалтерия».

V. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Сроки обработки и хранения персональных данных клиентов ООО «Эгида», определяются в соответствии с законодательством Российской Федерации. С учетом положений законодательства Российской Федерации устанавливаются следующие сроки обработки и хранения персональных данных:

5.1.1. Персональные данные, содержащиеся в карточке клиента «1С:Бухгалтерия», подлежат хранению в течение 10 лет в порядке, предусмотренном законодательством Российской Федерации;

5.2. Если сроки хранения персональных данных не установлены законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, то обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели их обработки и хранения.

5.3. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

5.4. Уполномоченные лица ООО «Эгида» обеспечивают раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных Положением.

5.5. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют ответственные лица в соответствии с компетенцией, возложенной на них.

VI. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ДОСТИЖЕНИИ ЦЕЛЕЙ ОБРАБОТКИ ИЛИ ПРИ НАСТУПЛЕНИИ ИНЫХ ЗАКОННЫХ ОСНОВАНИЙ

6.1. Структурным подразделением и ответственным лицом за документооборот, осуществляется систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.

6.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании специальной комиссии ООО «Эгида», состав которой утверждается приказом организации. По итогам заседания составляются протокол и акт о выделении к уничтожению документов с указанием уничтожаемых дел и их количества, проверяется их комплектность, акт подписывается председателем и членами комиссии и утверждается руководителем ООО «Эгида».

6.3. Должностное лицо ООО «Эгида», ответственное за архивную деятельность, организует работу по уничтожению документов, содержащих персональные данные.

6.4. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

6.5. По итогам уничтожения дел (на бумажном и (или) электронном носителях) в акт о выделении к уничтожению документов вносится соответствующая запись.

VII. РАССМОТРЕНИЕ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ

7.1. Клиенты ООО «Эгида» имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

7.1.1. Подтверждение факта обработки персональных данных;

7.1.2. Правовые основания и цели обработки персональных данных;

7.1.3. Применяемые способы обработки персональных данных;

7.1.4. Наименование и местонахождение отдела или структурного подразделения ООО «Эгида», сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании федерального закона;

7.1.5. Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

7.1.6. Сроки обработки персональных данных, в том числе сроки их хранения;

7.1.7. Порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;

7.1.8. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных, если обработка поручена или будет поручена такому лицу;

7.1.9. Иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.

7.2. Субъекты персональных данных, указанные в пункте 7.1 Положения, вправе требовать уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.3. Сведения, указанные в подпунктах 7.1.1 - 7.1.9 пункта 7.1 Положения, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

7.4. Сведения, указанные в подпунктах 7.1.1 - 7.1.9 пункта 7.1 Положения, предоставляются субъекту персональных данных или его представителю уполномоченным должностным лицом ООО «Эгида», осуществляющего обработку соответствующих персональных данных, при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать:

7.4.1. Номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

7.4.2. Сведения, подтверждающие участие субъекта персональных данных в правоотношениях с ООО «Эгида», подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

7.5. В случае, если сведения, указанные в подпунктах 7.1.1 - 7.1.9 пункта 7.1 Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в ООО «Эгида» или направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

7.6. Субъект персональных данных вправе обратиться повторно в орган или подведомственную организацию или направить повторный запрос в целях получения сведений, указанных в подпунктах 7.1.1 - 7.1.9 пункта 7.1 Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 7.5 Положения, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 7.4 Положения, должен содержать обоснование направления повторного запроса.

7.7. ООО «Эгида» вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 7.5 и 7.6 Положения с мотивированным указанием причин отказа.

7.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

XIII. ПРАВИЛА ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Целью осуществления внутреннего контроля соответствия обработки персональных данных в структурных подразделениях ООО «Эгида» и магазинах «Эталон Gold» требованиям к защите персональных данных (далее - внутренний контроль) является соблюдение в отделах и структурных подразделениях законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных.

8.2. Внутренний контроль подразделяется на плановый и внеплановый.

8.3. Внутренний контроль осуществляется лицом, ответственным за организацию обработки персональных данных, либо комиссией, образуемой приказом ООО «Эгида», в состав которой входят: лицо, ответственное за организацию обработки персональных данных; лица, уполномоченные на обработку персональных данных. Также в комиссию может входить лицо, обладающее специальными познаниями, умениями и навыками в сфере контроля обработки персональных данных, не являющее работником ООО «Эгида».

8.4. Плановый внутренний контроль проводится на основании плана, утвержденного руководителем органа или подведомственной организации. Периодичность планового внутреннего контроля - не реже одного раза в год. Срок проведения планового внутреннего контроля составляет не менее 10 рабочих дней.

8.5. Внеплановый внутренний контроль проводится по решению лица, ответственного за организацию обработки персональных данных: на основании поступившего в ООО «Эгида» в письменной форме или в форме электронного документа заявления субъекта персональных данных о нарушении законодательства в области персональных данных, а также устного обращения; в связи с проведением в ООО «Эгида» государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. Внеплановый внутренний контроль может проводиться на основании решения Генерального директора ООО «Эгида».

8.6. Внеплановый внутренний контроль должен быть завершен не позднее чем через месяц со дня принятия решения о его проведении.

8.7. Результаты внутреннего контроля оформляются в виде справки.

8.8. При выявлении в ходе внутреннего контроля нарушений в справке отражается перечень мероприятий по устранению выявленных нарушений и сроки их устранения.

8.9. О результатах внутреннего контроля и мерах, необходимых для устранения выявленных нарушений, генеральному директору ООО «Эгида» докладывает лицо, ответственное за организацию обработки персональных данных.

8.10. В отношении персональных данных, ставших известными лицу, ответственному за организацию обработки персональных данных, или членам комиссии в ходе проведения внутреннего контроля, соблюдается конфиденциальность и обеспечивается безопасность при их обработке.

Вниманию покупателей предоставляется следующая информация:

В соответствии со статьей 3 Федерального закона от 07.08.2001 N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма", идентификация – это совокупность мероприятий по установлению определенных в указанном Федеральном законе сведений о клиентах, их представителях, выгодоприобретателях, бенефициарных владельцах и подтверждению достоверности этих сведений с использованием оригиналов документов и (или) надлежащим образом заверенных копий и (или) государственных и иных информационных систем.

Согласно положениям пункта 1.4-2 статьи 7 Федерального закона от 07.08.2001 N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма", идентификация клиента - физического лица, представителя клиента, выгодоприобретателя и бенефициарного владельца проводится в следующих случаях:

- при покупке физическим лицом ювелирных и других изделий из драгоценных металлов и (или) драгоценных камней на сумму, превышающую 60 000 рублей, либо сумму в иностранной валюте, эквивалентно превышающую 60 000 рублей;

- при использовании персонифицированного электронного средства платежа (например, банковская карта, электронный кошелек) для совершения покупки физическим лицом ювелирных и других изделий из драгоценных металлов и (или) драгоценных камней в розницу на сумму, превышающую 400 000 рублей, либо сумму в иностранной валюте, эквивалентно превышающую 400 000 рублей;

- в указанных выше случаях, если сумма покупки равна (или меньше) 60 000 и 400 000 руб. соответственно, но у работников организации (то есть продавца), осуществляющей операции с денежными средствами или иным имуществом, возникают подозрения, что данная операция осуществляется в целях легализации (отмывания) доходов, полученных преступным путем, или финансирования терроризма.

В отношении клиентов – физических лиц организации, осуществляющие операции с денежными средствами или иным имуществом, обязаны устанавливать следующие сведения (абз. 2 подп. 1 п. 1 ст. 7 ФЗ «О противодействии легализации»):

• фамилия, имя, отчество (при наличии);
• дата рождения;
• гражданство;
• реквизиты документа, удостоверяющего личность: серия (при наличии) и номер документа, дата выдачи документа, наименование органа, выдавшего документ, и код подразделения (при наличии);
• данные миграционной карты (для иностранных граждан и лиц без гражданства);
• данные документа, подтверждающего право иностранного гражданина или лица без гражданства на пребывание (проживание) в Российской Федерации;
• адрес места жительства (регистрации) или места пребывания;
• идентификационный номер налогоплательщика (при наличии).

Таким образом, поскольку предоставление указанных данных в установленных законом случаях является обязательным, продавец в силу пункта 2.2. статьи 7 Федерального закона от 07.08.2001 N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма", вправе отказать покупателю в совершении покупки, при отказе покупателя от предоставления своих идентификационных данных.