Политика ООО «Ставрополь-Авто» в отношении обработки персональных данных



Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана и опубликована в соответствии с п. 2 ст. 18.1 Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 года, Трудовым кодексом Российской федерации и действует в отношении всех персональных данных (далее – ПДн), которые ООО «Ставрополь-Авто» (далее – Общество) может получить от субъекта персональных данных, являющегося пользователем официального сайта Общества, стороной, выгодоприобретателем, поручителем (их представителем) по договору (заключаемому договору) с Обществом (далее – Клиента), или от субъекта персональных данных, состоящего с Обществом в трудовых отношениях (далее – Работника).
Политика распространяется на персональные данные, полученные как до, так и после издания настоящей Политики.

1. Цели обработки персональных данных.

1.1. Обработка ПДн осуществляется Обществом для достижения конкретных, заранее определенных, законных целей.
1.2. Общество осуществляет обработку ПДн в следующих целях:
· В целях исполнения договора (в том числе трудового), стороной, выгодоприобретателем, поручителем (или их представителем) по которому является субъект ПДн;
· В целях извлечения клиентами полезных свойств от существования сервисов, размещенных на официальном сайте Общества;
· Обработку ПДн в статистических или иных исследовательских целях;
· Обработку ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с клиентами (потенциальными клиентами) с помощью средств связи.
1.3. Общество, с согласия субъекта ПДн, вправе осуществлять обработку его ПДн в целях, не указанных в п.1.2. Политики. В таком случае цель обработки ПДн указывается в согласии субъекта ПДн.

2. Персональные данные, обрабатываемые Обществом

2.1. В процессе своей деятельности Общество вправе обрабатывать следующие категории ПДн:
· Общедоступные ПДн работников и общедоступные ПДн клиентов (менее 100 000 субъектов ПДн);
· Специальные ПДн работников о состоянии их здоровья, относящиеся к вопросу о возможности выполнения работником трудовой функции;
· Иные категории ПДн работников и ПДн клиентов.

3. Срок хранения

3.1. Срок хранения ПДн — до достижения указанных целей обработки персональных данных.

4. Принципы обработки персональных данных

· законности и справедливости обработки ПДн;
· соответствия обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также правам и обязанностям Общества;
· соответствия объема и характера обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;
· достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;
· недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих ПДн;
· хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодопреобретателем или поручителем по которому является субъект ПДн;
· уничтожения или обезличивания ПДн по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено федеральным законом.

5. Способы обработки персональных данных

5.1. Общество вправе осуществлять автоматизированную обработку ПДн, обработку ПДн в информационных системах ПДн, неавтоматизированную обработку ПДн или поручить обработку ПДн другому лицу.
5.2. Автоматизированная обработка ПДн (с помощью средств вычислительной техники) осуществляется Обществом при непосредственном участии человека (сотрудника Общества). Исключительно автоматизированная обработка ПДн в Обществе не осуществляется.

6. Условия обработки персональных данных.

6.1. Обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн. Обработка ПДн без согласия субъекта ПДн осуществляется только в случаях, предусмотренных законодательством РФ.
6.2. Общество вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение Общества). Лицо, осуществляющее обработку ПДн по поручению Общества, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом «О персональных данных». В поручении Общества определяются перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также указываются требования к защите обрабатываемых ПДн.
6.3. Лицо, осуществляющее обработку ПДн по поручению Общества, не обязано получать согласие субъекта ПДн на обработку его ПДн.
6.4. В случае, если Общество поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Общество. Лицо, осуществляющее обработку ПДн по поручению Общества, несет ответственность перед Обществом.

7. Конфиденциальность

Общество и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

8. Согласие субъекта персональных данных на обработку своих персональных данных

8.1. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме (подписание отдельного бланка, подписание документа, содержащего пункт об обработке персональных данных, и т.п), если иное не установлено федеральным законом. Кроме того, согласие на обработку ПДн может быть предоставлено субъектом ПДн в конклюдентной форме, путем совершения субъектом ПДн действий к заключению с Обществом договора (соглашения), в том числе действий по выбору товара, действий по размещению ПДн субъектом ПДн в соответствующих сервисах официального сайта Общества. Согласием в конклюдентной форме признается, в том числе, предоставление ПДн их субъектом (предоставление документов, содержащих ПДн для копирования или предоставление их копий) в процессе подготовки к заключению договора (соглашения), тест-драйва, заполнения анкет, запись на прием, и т.д. Факт получения Обществом согласия на обработку ПДн подтверждается фактом получения указанных документов, анкеты, заявки и т.п.
8.2. Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн Общество вправе продолжить обработку ПДн без согласия субъекта лишь в случаях и в пределах, предусмотренных законодательством о защите ПДн.

9. Права субъектов персональных данных

9.1. Субъект ПДн имеет право на получение сведений, касающейся обработки его ПДн, в том числе содержащих:
· подтверждение факта обработки Обществом ПДн обратившегося субъекта;
· правовые основания и цели обработки таких ПДн Обществом;
· способы обработки таких ПДн Обществом;
· наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к ПДн или которым они могут быть раскрыты на основании договора с Обществом или на основании федерального закона;
· состав обрабатываемых ПДн субъекта, источник их получения;
· сроки обработки ПДн, в том числе сроки их хранения;
· наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена или будет поручена такому лицу;
· иные сведения, предусмотренные законодательством.
9.2. Субъект ПДн вправе требовать от Общества уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.3. Если субъект ПДн считает, что Общество осуществляет обработку его ПДн с нарушением требований законодательства или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.
9.4. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

10. Обязанности Общества

10.1. Общество обязано принимать меры к уточнению, блокированию и уничтожению ПДн в случае выявления случаев их неточности или неправомерной обработки.
10.2. Общество обязано по обращению субъекта ПДн (или его представителя) сообщить ему в установленном законом порядке информацию о наличии ПДн, относящихся к нему, а также, при соответствующем запросе, в течение тридцати дней с даты его получения предоставить возможность ознакомления с этими ПДн, либо же предоставить в указанный срок мотивированный письменный отказ в предоставлении информации о ПДн.
10.3. Общество по запросу уполномоченного органа по защите прав субъектов ПДн, обязано предоставить в течение тридцати дней, с даты получения такого запроса, запрашиваемую информацию.
10.4. Если предоставление ПДн является обязательным в соответствии с федеральным законом, Общество обязано разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн.

11. Реализуемые требования к защите персональных данных

11.1. Общество, осуществляя действия по обработке ПДн (включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных), обязано соблюдать требования законодательства, определяющего порядок обработки ПДн. В случаях, не урегулированных законодательством РФ, работники Общества, осуществляющие обработку ПДн, вправе самостоятельно определять порядок выполнения действий по обработке ПДн, руководствуясь установленными Главой 2 ФЗ РФ «О персональных данных» принципами и условиями обработки ПДн.
11.2. Сбор ПДн осуществляется Обществом посредством их получения непосредственно от субъекта ПДн (или его представителя). Допускается сбор ПДн из общедоступных источников.
11.3. Общество осуществляет автоматизированную и неавтоматизированную запись ПДн. Выбор способа записи ПДн определяется в каждом конкретном случае работником Общества, обрабатывающими ПДн и осуществляющим их запись.
11.4. Выбор способа (порядка) систематизации и накопления ПДн осуществляется работниками Общества, обрабатывающими ПДн.
11.5. Хранение ПДн осуществляется Обществом в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если иной срок хранения ПДн не установлен федеральным законом, договором (соглашением), стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.
11.6. Уточнение ПДн, в том числе их обновление и изменение, осуществляется Обществом в случае подтверждения факта неточности или неполноты ПДн, на основании сведений, представленных субъектом ПДн (его представителем) либо уполномоченным органом по защите прав субъектов ПДн., или иных необходимых документов, в течение семи рабочих дней со дня представления таких сведений или документов.
11.7. Извлечение и использование ПДн осуществляется работниками Общества, обрабатывающими ПДн, по мере возникновения необходимости.
11.8. Уничтожение ПДн осуществляется посредством их исключения (обеспечения невозможности восстановления) из информационной системы ПДн, а также уничтожения материальных носителей ПДн, в том числе шредирования, вымарывания, вытравливания, термического воздействия и др. Выбор способа (порядка) уничтожения ПДн осуществляется работниками Общества в зависимости от характера и существа ПДн и их носителя.
11.9. Общество вправе передавать ПДн лицу, которому Обществом поручена обработка ПДн. Общество предоставляет персональные данные по письменному запросу субъекта ПДн (его представителя) или по запросу уполномоченных государственных или муниципальных органов. Общество не осуществляет распространения ПДн.
11.10. Общество осуществляет блокирование ПДн, в случае, если от субъекта ПДн или уполномоченного органа по защите прав субъектов ПДн получены данные о том, что ПДн неправомерно обрабатываются, являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Блокировка ПДн производится на период проверки указанных фактов или, в установленных законом случаях, до момента их уничтожения. Блокировка производится путем прекращения использования ПДн.
11.11. Общество осуществляет уничтожение (удаление) ПДн в следующих случаях:
· в случае предоставления субъектом ПДн или его представителем сведений, подтверждающих обработку Обществом незаконно полученных ПДн или обработку ПДн, не являющихся необходимыми для заявленных целей обработки – в срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем таких сведений;
· в случае выявления неправомерности обработки ПДн, и невозможности обеспечить правомерность их обработки - в срок, не превышающий десяти рабочих дней с даты выявления неправомерности обработки Пдн;
· в случае достижения цели обработки ПДн - в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Обществом и субъектом ПДн, а также в случаях, если Общество не вправе продолжать обработку ПДн без согласия субъекта ПДн на законных основаниях.
11.12. При обработке ПДн Общество обязано принимать необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
11.13. Общество, в предоставленных законодательством пределах, самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения защиты ПДн.
11.14. Общество, в целях защиты ПДн, назначает ответственного за организацию обработки ПДн, подчиняющегося непосредственно генеральному директору Общества. В обязанности ответственного за организацию обработки ПДн входит:
· осуществление внутреннего контроля за соблюдением Обществом и его работниками законодательства о ПДн, в том числе требований к их защите;
· доведение до сведения работников Общества положения законодательства о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
· организация приема и обработки обращений и запросов субъектов ПДн (их представителей) и (или) осуществление контроля за приемом и обработкой таких обращений и запросов.
11.15. Общество, в целях защиты ПДн, обрабатываемых в информационных системах, принимает обязательные меры, предусмотренные действующими нормативными правовыми актами, в частности, следующие меры:
· проводит определение угроз безопасности ПДн при их обработке в информационных системах ПДн;
· применяет организационные и технические меры по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимые для выполнения установленных требований к защите ПДн;
· применяет прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации;
· осуществляет учет машинных носителей ПДн;
· осуществляет обнаружение фактов несанкционированного доступа к ПДн;
· устанавливает правила доступа к ПДн, обрабатываемым в информационной системе ПДн;
· осуществляет контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн;
· принимает меры по идентификации и аутентификации пользователей, являющихся Работниками Общества;
· принимает меры по управлению доступом субъектов доступа к объектам доступа;
· принимает меры по защите машинных носителей ПДн;
· принимает меры по регистрации событий безопасности;
· принимает меры по антивирусной защите;
· принимает меры по контролю (анализу) защищенности ПДн;
· принимает меры по защите среды виртуализации;
· принимает меры по защите технических средств;
· принимает меры по защите информационной системы, ее средств, систем связи и передачи данных;
· принимает меры по управлению конфигурацией информационной системы и системы защиты ПДн.
11.16. Общество, в целях защиты ПДн, принимает и другие меры, к которым, в частности, относятся:
· издание Обществом документов, определяющих политику Общества в отношении обработки ПДн и т.д.;
· проведение оценки вреда, который может быть причинен субъектам ПДн в случае нарушения законодательства РФ, соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством РФ;
· установление перечня работников Общества, имеющих доступ и/или осуществляющих обработку ПДн, содержащихся на материальных носителях, определение мест хранения материальных носителей, содержащих ПДн, исключающих несанкционированный к ним доступ третьих лиц;
· обеспечение сохранности материальных носителей, содержащих ПДн.

12. Ответственность за нарушение требований к обработке персональных данных

12.1. Общество, в случае виновного нарушения требований законодательства о ПДн, в установленном законодательством порядке возмещает причиненный субъекту ПДн вред.