(831) 257-60-50
перезвоните мне

Перезвоните мне

Отправляя данную форму вы принимаете условия политики конфиденциальности и положения об обработке персональных данных



Положение об обработке персональных данных







ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ

Для целей настоящего Положения об обработке персональных данных (далее – настоящий документ) используются следующие понятия, определения и сокращения:

Общество – Общество с ограниченной ответственностью «ТСС НН».

Обработка Персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств Обществом с Персональными данными.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому Субъекту Персональных данных.

Субъект Персональных данных – физическое лицо - обладатель уникального набора Персональных данных, в том числе:

  • работники Общества – физические лица, с которыми Общество намеревается или заключило трудовой договор (контракт);
  • клиенты (контрагенты) Общества – физические лица, с которыми планируется или заключен договор Обществом;
  • иные лица – лица, к которым относятся:
    • физические лица - представители, в том числе законные представители, физических, юридических лиц, индивидуальных предпринимателей и иных лиц, занимающихся частной практикой, действующие на основании документов, оформленных согласно законодательству Российской Федерации;
    • физические лица - выгодоприобретатели по договорам, заключаемым между клиентами и Обществом;
    • физические лица - руководители, члены органов управления, акционеры, участники, представители контрагентов Общества, действующие на основании документов, оформленных согласно законодательству Российской Федерации, данные которых предоставляются в целях заключения и исполнения договоров с Обществом;
    • физические лица, не являющиеся работниками Общества: члены органов управления Общества, аффилированные лица, иные физические лица, обязанность раскрытия информации о которых возложена на Общество законодательством Российской Федерации;
    • иные физические лица, доступ к Персональным данным которых Общество получило на законных основаниях в процессе ведения своей деятельности. 

Информационные системы – совокупность содержащихся в базах данных Персональных данных и обеспечивающих Обработку Персональных данных информационных технологий и технических средств.

2. ОБЩИЕ ПОЛОЖЕНИЯ

2.1. Настоящий документ разработан в целях:

  • определения в Обществе порядка Обработки Персональных данных Субъектов Персональных данных;
  • обеспечения защиты прав и свобод Субъектов Персональных данных при Обработке Персональных данных Обществом;
  • установления ответственности работников Общества, имеющих доступ к Персональным данным Субъектов Персональных данных, за невыполнение требований норм, регулирующих Обработку Персональных данных, установленных законодательством Российской Федерации, настоящим документом и иными внутренними документами Общества.

2.2. Порядок Обработки и защиты Персональных данных регламентируется следующими нормативными документами:

  • Конвенцией Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» от 28 января 1981 года, ETS № 108 (далее – Конвенция ETS № 108);
  • Конституцией Российской Федерации;
  • Гражданским кодексом Российской Федерации;
  • Трудовым кодексом Российской Федерации;
  • Федеральным законом «О персональных данных» от 27 июля 2006 года № 152-ФЗ (с последующими изменениями и дополнениями) (далее – Федеральный закон № 152-ФЗ);
  • Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства Российской Федерации № 687 от 15 сентября 2008 года;
  • Требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, утвержденных Постановлением Правительства Российской Федерации №512 от 6 июля 2008 года (ред. от 27.12.2012);
  • Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства Российской Федерации №1119 от 1 ноября 2012 года.

2.3. В случае принятия новых или изменения действующих законодательных и нормативно-правовых актов, регламентирующих порядок Обработки Персональных данных, настоящий документ до внесения соответствующих изменений и дополнений действует в части, им не противоречащей.

2.4. При Обработке Персональных данных Общество в соответствии с законодательством Российской Федерации осуществляет функции оператора Персональных данных.

2.5. Хранение и защита Персональных данных Субъектов Персональных данных от неправомерного их использования или утраты обеспечивается Обществом за счет своих средств в порядке, установленном законодательством Российской Федерации.

2.6. Обработка Персональных данных осуществляется работниками Общества в пределах выполняемых ими должностных обязанностей и компетенций.

2.7. Действие настоящего документа распространяется на всех работников Общества, имеющих право доступа к Персональным данным Субъектов Персональных данных, в силу выполняемых ими должностных обязанностей.

2.8. Обработка Персональных данных может включать в себя следующие действия (операции) с Персональными данными, в том числе:

  • сбор – действия (операции), направленные на получение Персональных данных Субъектов Персональных данных;
  • запись – действия (операции), направленные на фиксирование Персональных данных на материальных носителях и в Информационных системах;
  • систематизация – действия (операции) по группировке Персональных данных; накопление – действия (операции) по сбору Персональных данных и формированию баз данных Персональных данных;
  • хранение – действия (операции) с Персональными данными, направленные на создание условий для сохранности Персональных данных, включая их защиту от несанкционированного доступа до момента, когда Персональные данные должны быть уничтожены;
  • извлечение – действия (операции), направленные на выборку Персональных данных из других сведений;
  • уточнение (обновление, изменение) – действия (операции) с Персональными данными, совершаемые в целях их актуализации в случае изменения Персональных данных;
  • использование – действия (операции) с Персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении Субъекта Персональных данных или других лиц либо иным образом затрагивающих права и свободы Субъекта Персональных данных или других лиц; передачу:
    • распространение – действия, направленные на раскрытие Персональных данных неопределенному кругу лиц, в том числе обнародование Персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к Персональным данным каким-либо иным способом;
    • трансграничная передача – передача Персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
    • предоставление – действия, направленные на раскрытие Персональных данных определенному лицу или определенному кругу лиц;
    • доступ – действия, направленные на предоставление доступа к Персональным данным;
  • обезличивание – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность Персональных данных конкретному Субъекту Персональных данных;
  • блокирование – действия, направленные на временное прекращение Обработки Персональных данных (за исключением случаев, если Обработка Персональных данных необходима для уточнения Персональных данных);
  • удаление, уничтожение – действия, в результате которых становится невозможным восстановить содержание Персональных данных в Информационных системах и/или в результате которых уничтожаются материальные носители Персональных данных.

2.9. Обработка Персональных данных Субъектов Персональных данных может осуществляться Обществом:
2.9.1. в целях соблюдения требований, устанавливаемых законодательством Российской Федерации, Устава и внутренних нормативных документов Общества, а также в целях осуществления прав и законных интересов Общества и обеспечения деятельности Общества;
2.9.2. в целях установления и выполнения договорных отношений между Обществом и Субъектом Персональных данных, в частности:

  • Персональные данные работников Общества обрабатываются Обществом в целях учета работников для содействия им в трудоустройстве, обучении, продвижении по службе, контроля количества и качества выполняемой им работы (то есть в случаях, непосредственно связанных с вопросами трудовых отношений между работником и Обществом), пользования различного вида льготами, а также обеспечения личной безопасности работников, обеспечения сохранности их имущества и имущества Общества;
  • Персональные данные клиентов (контрагентов) Общества и иных лиц обрабатываются Обществом в целях заключения и исполнения обязательств сторон по заключенным с клиентами (контрагентами) договорам, продвижения услуг и товаров Общества на рынке путем осуществления прямых контактов с потенциальным потребителем – Субъектом Персональных данных с помощью средств связи.

2.9.3. Для каждого ресурса Персональных данных обеспечивается:

  • определение цели обработки Персональных данных;
  • ограничение обработки Персональных данных достижением цели их обработки;
  • соответствие содержания и объема обрабатываемых Персональных данных целям их обработки;
  • точность, достаточность и актуальность Персональных данных, в том числе по отношению к целям их обработки;
  • обработка с использованием отдельных съемных носителей Персональных данных, цели обработки которых заведомо не совместимы;
  • прекращение обработки и уничтожение либо обезличивание Персональных данных после достижения цели их обработки по требованию субъекта Персональных данных в случаях, предусмотренных Федеральным законом «О персональных данных», в том числе при отзыве субъектом Персональных данных согласия на обработку его Персональных данных».

2.10. Обработка Персональных данных Субъектов Персональных данных осуществляется Обществом на основе следующих принципов:
2.10.1. обработка Персональных данных осуществляется на законной и справедливой основе;
2.10.2. обработка Персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается Обработка Персональных данных, несовместимая с целями сбора Персональных данных;
2.10.3. обработке подлежат только Персональные данные, которые отвечают целям их Обработки;
2.10.4. содержание и объем обрабатываемых Персональных данных соответствуют заявленным целям Обработки Персональных данных. Обрабатываемые Персональные данные не являются избыточными по отношению к заявленным целям их Обработки;
2.10.5. при Обработке Персональных данных обеспечиваются точность Персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям Обработки Персональных данных. Общество принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
2.10.6. хранение Персональных данных осуществляется в форме, позволяющей определить Субъекта Персональных данных, не дольше, чем этого требуют цели Обработки Персональных данных, если срок хранения Персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект Персональных данных. Обрабатываемые Персональные данные подлежат уничтожению либо обезличиванию по достижении целей Обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.11. Контроль за соответствием Обработки Персональных данных Субъектов Персональных данных заявленным целям возлагается на руководителей структурных подразделений Общества, осуществляющих Обработку Персональных данных.

2.12. В целях исполнения требований законодательства Российской Федерации в Обществе приказом Директора Общества назначается должностное лицо, ответственное за организацию Обработки Персональных данных (далее – Ответственный работник). Обязанности Ответственного работника определяются Федеральным законом № 152-ФЗ.

3. ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. К Персональным данным, которые Общество может обрабатывать в своей деятельности, относится любая совокупность следующих данных:

  • личные данные Субъектов Персональных данных:
    • фамилия, имя, отчество;
    • год, месяц и дата рождения;
    • место рождения;
    • фотография Субъекта Персональных данных;
    • специальные категорий персональных данных, касающиеся состояния здоровья обрабатываемых Обществом для осуществления и выполнения возложенных законодательством Российской Федерации на него функций, полномочий и обязанностей, а также в пределах предоставляемых услуг;
    • гражданство;
    • реквизиты документа удостоверяющего личность;
    • реквизиты иного документа (водительское удостоверение, общегражданский заграничный паспорт и т.д.);
    • адрес регистрации по месту жительства и адрес фактического проживания;
    • образование; отношение к воинской службе;
    • семейное положение, количество несовершеннолетних детей; 
  • сведения о трудовой деятельности субъектов персональных данных:
    • временная/постоянная работа;
    • наименование должности;
    • стаж работы (общий и на последнем месте работы);
    • предыдущее место работы (должность, продолжительность работы); 
  • информация об имущественном положении субъектов персональных данных:
    • доходы и/или расходы субъектов персональных данных;
    • финансовые обязательства субъекта персональных данных;
    • информация об имуществе субъектов персональных данных.

3.2. Персональные данные в соответствии с законодательством Российской Федерации могут относиться к одной из следующих категорий:
3.2.1. специальная категория Персональных данных – сведения о расовой, национальной, языковой принадлежности Субъекта Персональных данных, его политических взглядах, религиозных или философских убеждениях, социальном происхождении, членстве в общественных объединениях или профсоюзной деятельности, состояния здоровья, интимной жизни;
3.2.2. биометрические Персональные данные – сведения, которые характеризуют физиологические и биологические особенности Субъекта Персональных данных, на основании которых можно установить его личность и которые используются для установления личности Субъекта Персональных данных;
3.2.3. Персональные данные, сделанные общедоступными Субъектом Персональных данных (далее – общедоступные Персональные данные) – сведения, доступ неограниченного круга лиц к которым предоставлен Субъектом Персональных данных или по его просьбе;
3.2.4. обезличенные Персональные данные – сведения, определить принадлежность которых конкретному Субъекту Персональных данных не представляется возможным.
3.2.5. Персональные данные, которые не могут быть отнесены ни к одной из категорий, перечисленных в пунктах 3.2.1 - 3.2.4 настоящего документа. .

4. ОСНОВНЫЕ ТРЕБОВАНИЯ К ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка Персональных данных специальной категории (данные о здоровье Субъекта Персональных данных) осуществляется Обществом в случаях, если:

  • Субъект Персональных данных дал согласие в письменной форме на Обработку своих Персональных данных;
  • Персональные данные сделаны общедоступными Субъектом Персональных данных;
  • Обработка Персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
  • Обработка Персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов Субъекта Персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия Субъекта Персональных данных невозможно;
  • Обработка Персональных данных необходима для установления или осуществления прав Субъекта Персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
  • Обработка Персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

4.2. Общество собирает Персональные данные только в объеме, необходимом для достижения целей, перечисленных в пункте 2.9 настоящего документа. При определении объема и содержания обрабатываемых Персональных данных Общество руководствуется законодательством Российской Федерации.

4.3. Обработка Персональных данных осуществляются Обществом с согласия Субъекта Персональных данных, за исключением случаев, установленных законодательством Российской Федерации, при которых согласия Субъекта Персональных данных на Обработку Персональных данных не требуется (см. раздел 7 настоящего документа).

4.4. В установленных Федеральным законом № 152-ФЗ случаях Общество обязано прекратить Обработку Персональных данных и уничтожить Персональные данные Субъекта Персональных данных (см. раздел 12 настоящего документа).

4.5. Требования к Обработке Персональных данных и их защите распространяются как на бумажные, так и электронные носители информации.

4.6. Общество осуществляет контроль обеспечения безопасности Персональных данных на всех этапах Обработки Персональных данных.

4.7. По возможности Персональные данные, обрабатываемые Обществом, обезличиваются.

4.8. Обработка Персональных данных осуществляется Обществом в порядке, исключающем их утрату, повреждение или неправомерное использование.

4.9. Работники Общества, осуществляющие обработку Персональных данных обязаны:
4.9.1. организовывать и осуществлять учет ресурсов Персональных данных;
4.9.2. осуществлять учет количества экземпляров материальных носителей Персональных данных;
4.9.3. осуществлять учет съемных носителей Персональных данных;
4.9.4. осуществлять присвоение материальному носителю Персональных данных уникального идентификационного номера, позволяющего точно определить наименование Общества;
4.9.5. осуществлять учет количества субъектов Персональных данных (в том числе не являющихся работниками Общества) в каждом ресурсе Персональных данных.
4.9.6. Контроль организации учета ресурсов персональных данных работников Общества осуществляет главный бухгалтер Общества; контроль организации учета ресурсов персональных данных иных категорий субъектов Персональных данных осуществляет администратор автосалона.

5. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Конфиденциальность Персональных данных – обязательное для соблюдения работниками Общества требование не раскрывать третьим лицам и не распространять Персональные данные без согласия Субъекта Персональных данных, если иное не предусмотрено законодательством Российской Федерации.

5.2. Все работники Общества, допущенные к Обработке Персональных данных, при заключении трудового договора подписывают обязательство о неразглашении Персональных данных, форма которого утверждается приказом Директора Общества.

5.3. В случае если Общество поручает на основании договора (в обязательном порядке содержащего условия, указанные в пункте 8.4 настоящего документа) Обработку Персональных данных другому лицу, ответственность перед Субъектом Персональных данных за действия указанного лица, в том числе по соблюдению конфиденциальности Персональных данных, несет Общество. Лицо, осуществляющее Обработку Персональных данных по поручению Общества, несет ответственность перед Обществом.

6. СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Персональные данные могут обрабатываться в Обществе:
6.1.1. автоматизированным способом, при котором Обработка Персональных данных осуществляется с помощью средств вычислительной техники;
6.1.2. неавтоматизированным способом, при котором Обработка Персональных данных осуществляется без использования средств вычислительной техники при непосредственном участии человека.

6.2. К материальным носителям информации (материальные объекты, в которых информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин), на которых могут обрабатываться Персональные данные, относятся:
6.2.1. машинные (машиночитаемые) носители:

  • гибкие магнитные диски;
  • оптические компакт-диски;
  • жесткие (несъемные) магнитные диски;
  • переносные жесткие диски;
  • накопители электронной памяти (флэш);
  • карты памяти;
  • другие устройства хранения информации, имеющие возможность подключения к компьютеру и иным устройствам;

6.2.2. носители на бумажной основе: распечатки текстовой, графической и иной информации на бумажной основе (в том числе специальные разделы или поля заполняемых типовых форм (бланков));

6.3. Персональные данные Субъектов Персональных данных, обрабатываемых Обществом, могут заноситься и храниться в Информационных системах.

6.4. Обработка Персональных данных автоматизированным способом осуществляется Обществом техническими средствами, под которыми понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и Обработки Персональных данных (средства изготовления, тиражирования документов и другие технические средства обработки графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в Информационных системах.

6.5. Регистрация и учет мест хранения материальных носителей Персональных данных организуется в соответствии с приказом Директора Общества, обеспечивая раздельное хранение ресурсов Персональных данных, обработка которых осуществляется с различными целями. При этом осуществляется фиксация категорий обрабатываемых Персональных данных (специальные категории Персональных данных, биометрические Персональные данные, Персональные данные, полученные из общедоступных источников, или иные Персональные данные).
6.5.1. Местом физического хранения Персональных данных в Информационных системах являются сервера и иные устройства, осуществляющие резервное копирование баз данных, расположенные в серверных помещениях, исключающих несанкционированный доступ к информации.
6.5.2. Местом физического хранения Персональных данных, обрабатываемых без использования средств автоматизации и на съемных носителях Персональных данных являются архивные помещения.

6.6. Персональные данные при их Обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях Персональных данных, специальных разделах или на полях форм (бланков) (для Обработки Персональных данных на бумажных носителях).

6.7. При фиксации Персональных данных на материальных носителях не допускается фиксация на одном материальном носителе Персональных данных, цели Обработки которых заведомо не совместимы.

6.8. Для Обработки Персональных данных различных категорий, осуществляемой без использования средств автоматизации, для каждой категории Персональных данных, указанной в пункте 3.2 настоящего документа, используется отдельный материальный носитель.

6.9. При несовместимости целей Обработки Персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять Обработку Персональных данных отдельно от других зафиксированных на том же носителе Персональных данных, принимаются меры по обеспечению раздельной Обработки Персональных данных, в частности: при необходимости использования или распространения определенных Персональных данных отдельно от находящихся на том же материальном носителе других Персональных данных осуществляется копирование Персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование Персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия Персональных данных; при необходимости уничтожения или блокирования части Персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование Персональных данных, подлежащих уничтожению или блокированию.

6.10. При работе со съемными, в том числе машинными, носителями Персональных данных выполняются следующие требования:
6.10.1. каждый съемный носитель Персональных данных закрепляется за конкретным работником Общества, которому он выдан. Учет и выдачу съемных носителей Персональных данных осуществляет администратор автосалона.
6.10.2. хранение съемных носителей Персональных данных осуществляется в запираемых шкафах (ящиках), исключающих несанкционированный доступ к ним. Ответственность за хранение съемных носителей Персональных данных возлагается на работников, которым они выданы;
6.10.3. доступ к съемным, в том числе машинным, носителям Персональных данных предоставляется только работниками допущенными к обработке Персональных данных конкретных субъектов Персональных данных;
6.10.4. контроль хранения и использования съемных носителей Персональных данных и доступа к ним организуется руководителем администратором автосалона.
6.10.5. уничтожение информации на съемных носителях Персональных данных осуществляется в порядке, предусмотренном приказом Директора Общества.

7. ПОЛУЧЕНИЕ (СБОР), СИСТЕМАТИЗАЦИЯ, НАКОПЛЕНИЕ И ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Обработка Персональных данных, включая их получение (сбор) Обществом без согласия Субъекта Персональных данных возможны в случаях, предусмотренных Федеральным законом № 152-ФЗ, а именно:

  • для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;
  • для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее – исполнение судебного акта);
  • для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект Персональных данных, а также для заключения договора по инициативе Субъекта Персональных данных или договора, по которому Субъект Персональных данных будет являться выгодоприобретателем или поручителем;
  • для защиты жизни, здоровья или иных жизненно важных интересов Субъекта Персональных данных, если получение согласия Субъекта Персональных данных невозможно;
  • для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта Персональных данных;
  • в статистических или иных исследовательских целях, за исключением, когда Обработка Персональных данных осуществляется в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, при условии обязательного обезличивания Персональных данных;
  • если доступ к Персональным данным неограниченного круга лиц предоставлен Субъектом Персональных данных либо по его просьбе (т.е. Персональные данные сделаны общедоступными Субъектом Персональных данных);
  • если Персональные данные, подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.

7.2. В случаях, предусмотренных Федеральным законом № 152-ФЗ, Обработка Персональных данных осуществляется только с согласия в письменной форме Субъекта Персональных данных. Равнозначным содержащему собственноручную подпись письменному согласию Субъекта Персональных данных на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Письменное согласие на Обработку Персональных данных должно содержать все предусмотренные Федеральным законом № 152-ФЗ обязательные реквизиты.

7.3. Согласие на Обработку Персональных данных может быть дано Субъектом Персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Полномочия представителя при этом проверяются Обществом.

7.4. Персональные данные могут быть получены Обществом от лица, не являющегося Субъектом Персональных данных, при условии предоставления Обществу подтверждения наличия оснований, указанных в пункте 7.1 настоящего документа, либо иных оснований, предусмотренных в Федеральном законе № 152-ФЗ.

7.5. В случае недееспособности, включая несовершеннолетие, Субъекта Персональных данных согласие на Обработку Персональных данных данного Субъекта Персональных данных дает в письменной форме законный представитель Субъекта Персональных данных.

7.6. В случае смерти Субъекта Персональных данных согласие на Обработку Персональных данных данного Субъекта Персональных данных дают в письменной форме наследники Субъекта Персональных данных, если такое согласие не было дано Субъектом Персональных данных при его жизни.

7.7. Кандидаты на работу в Обществе выражают свое согласие на Обработку Персональных данных путем подписания и предоставления в Общество анкеты кандидата, включающей пункт о согласии кандидата на Обработку Персональных данных кандидата Общества.

7.8. Согласие на Обработку Персональных данных, необходимых для заключения договора (сделки), запрашивается Обществом у клиентов/иных лиц в виде отдельного документа, утверждаемого приказом Директора Общества либо путем подписания договора (сделки), содержащего пункт о согласии клиента/иного лица на Обработку Персональных данных.

7.9. Согласие на Обработку Персональных данных может быть отозвано Субъектом Персональных данных.

7.10. В случаях недееспособности, включая несовершеннолетие, Субъекта Персональных данных согласие отзывается законным представителем Субъекта Персональных данных.

7.11. В случае отзыва Субъектом Персональных данных согласия на Обработку Персональных данных Общество вправе продолжить Обработку Персональных данных без согласия Субъекта Персональных данных при наличии оснований, установленных федеральными законами и иными нормативно-правовыми актами Российской Федерации, при которых Общество вправе осуществлять Обработку Персональных данных без согласия Субъекта Персональных данных.

7.12. Систематизация, накопление и использование Персональных данных осуществляется Обществом с соблюдением требований законодательства Российской Федерации, нормативно-правовых актов, регламентирующих порядок Обработки Персональных данных, настоящего документа и иных внутренних документов Общества.

8. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Передача Персональных данных Субъектов между структурными подразделениями Общества осуществляется только между работниками Общества, имеющими право доступа к направляемой (передаваемой) информации, содержащей Персональные данные, с соблюдением требований, установленных законодательством Российской Федерации, настоящим и иными внутренними документами Общества в области Обработки Персональных данных.

8.2. Правила доступа к Персональным данным, обрабатываемым в Информационных системах, а также обеспечение регистрации и учета всех действий, совершаемых с Персональными данными в Информационных системах осуществляется в соответствии с приказом Директора Общества.

8.3. Работники Общества, получившие доступ к определенным Персональным данным при выполнении трудовых обязанностей, не вправе разглашать и передавать третьим лицам, а также работникам Общества, в трудовые обязанности которых не входит Обработка такой категории Персональных данных, Персональные данные без согласия Субъектов Персональных данных, если необходимость получения такого согласия установлена законодательством.

Передача обрабатываемых Обществом Персональных данных третьему лицу должна осуществляться при наличии письменного согласия Субъекта Персональных данных на передачу Персональных данных третьему лицу, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта Персональных данных, а также в других случаях, предусмотренных законодательством Российской Федерации.

8.4. Передача обрабатываемых Обществом Персональных данных третьему лицу должна осуществляться только на основании договора и соглашения о конфиденциальности В случае заключения договора, по которому Общество поручает Обработку Персональных данных третьему лицу, в качестве обязательных условий в соглашение о конфиденциальности включаются:

  • обязанности лица, осуществляющего Обработку Персональных данных по поручению Общества, соблюдать принципы и правила Обработки Персональных данных, предусмотренные Федеральным законом № 152-ФЗ, соблюдать конфиденциальность Персональных данных и обеспечивать безопасность Персональных данных при Обработке Персональных данных;
  • перечень действий (операций) с Персональными данными, которые будут совершаться лицом, осуществляющего Обработку Персональных данных по поручению Общества, и цели Обработки Персональных данных;
  • требования к защите обрабатываемых Персональных данных, предусмотренные Федеральным законом № 152-ФЗ.

8.5. В случае осуществления трансграничной передачи Персональных данных (передачи Персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу), Общество обязано до начала такой передачи убедиться в том, что иностранным государством, на территорию которого осуществляется передача Персональных данных, обеспечивается адекватная защита прав Субъектов Персональных данных, то есть обеспечивается уровень защищенности не ниже, чем в Российской Федерации.

Трансграничная передача Персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав Субъектов Персональных данных, может осуществляться в случаях:

  • наличия согласия в письменной форме Субъекта Персональных данных;
  • исполнения договора, стороной которого является Субъект Персональных данных;
  • защиты жизни, здоровья, иных жизненно важных интересов Субъекта Персональных данных или других лиц при невозможности получения согласия в письменной форме Субъекта Персональных данных;
  • предусмотренных международными договорами Российской Федерации;
  • предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

9. ПРЕДОСТАВЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПО ЗАПРОСУ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И УПОЛНОМОЧЕННЫХ ОРГАНОВ

9.1. Органом по защите прав Субъектов Персональных данных, на который возлагается обеспечение контроля и надзора за соответствием Обработки Персональных данных требованиям Федерального закона № 152-ФЗ является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (далее – Уполномоченный орган).

9.2. По запросу Субъекта Персональных данных, Уполномоченного органа, а также иных уполномоченных государственных и негосударственных организаций (органов) в пределах их компетенции Общество обязано предоставлять информацию об обработке Персональных данных соответствующего Субъекте Персональных данных в порядке и сроки, установленном Федеральным законом № 152-ФЗ и иными нормативно-правовыми актами.

9.3. В случае обращения Субъекта Персональных данных в Общество по вопросам Обработки Персональных данных Общество обязано выполнить следующие действия:

  • сообщить Субъекту Персональных данных (или его представителю) информацию о наличии в Обществе Персональных данных, а также при необходимости предоставить возможность ознакомления с ними в срок, установленный Федеральным законом № 152-ФЗ;
  • безвозмездно предоставить Субъекту Персональных данных (или его представителю) возможность ознакомления с относящимися к нему Персональными данными (в том числе копию любой записи, содержащей Персональные данные Субъекта Персональных данных), а также внести в них необходимые изменения, уничтожить или блокировать соответствующие Персональные данные в случае предоставления им сведений, подтверждающих, что Персональные данные, которые относятся к нему и Обработку Персональных данных которых осуществляет Общество, являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели Обработки Персональных данных;
  • уведомить о внесенных изменениях и предпринятых мерах Субъекта Персональных данных (или его представителя).

9.4. В случае отказа в предоставлении Субъекту Персональных данных (или его представителю) информации о наличии в Обществе его Персональных данных, а также таких Персональных данных, Общество обязано дать в письменной форме мотивированный ответ, для такого отказа, содержащий ссылку на положение федерального закона, являющегося основанием для отказа, в срок, установленный Федеральным законом № 152-ФЗ.

9.5. При получении обращения Уполномоченного органа по вопросам Обработки Персональных данных Общество обязано сообщить в Уполномоченный орган необходимую информацию в срок, установленный Федеральным законом № 152-ФЗ.

10. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Сроки Обработки Персональных данных, в том числе хранения, определяются в соответствии:

  • со сроком, на который предоставлено согласие Субъекта Персональных данных, при условии не достижения цели обработки Персональных данных до окончания данного срока;
  • со сроком действия договора (соглашения), заключенного Обществом с Субъектом Персональных данных;
  • со сроками хранения документов, содержащих Персональные данные, определенными требованиями законодательства Российской Федерации.

10.2. Срок хранения Персональных данных в Информационных системах совпадает со сроком хранения документов на материальных носителях.

10.3. Хранение документов и иных материальных носителей, содержащих Персональные данные, осуществляется в помещениях/шкафах/сейфах, обеспечивающих их сохранность.

10.4. Срок хранения документов, содержащих Персональные данные, также как и информация о делах, в которых хранятся Персональные данные, указывается в номенклатуре дел, которая составляется при организации хранения таких документов.

10.5. Для каждого ресурса Персональных данных Обеспечено установление и соблюдение сроков хранения Персональных данных и условий прекращения их обработки.

11. УТОЧНЕНИЕ И БЛОКИРОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. В случае выявления недостоверных Персональных данных или неправомерных действий с ними самого Общества (внутренние нарушения) при обращении или по запросу Субъекта Персональных данных или его представителя либо Уполномоченного органа Общество блокирует Персональные данные, относящиеся к соответствующему Субъекту Персональных данных или обеспечивает их блокирование (если Обработка Персональных данных осуществляется другим лицом, действующим по поручению Общества), с момента такого обращения или получения такого запроса на период проверки.

11.2. В случае выявления неточных Персональных данных при обращении Субъекта Персональных данных или его представителя либо по их запросу или по запросу Уполномоченного органа Общество осуществляет блокирование Персональных данных, относящихся к этому Субъекту Персональных данных, или обеспечивает их блокирование (если Обработка Персональных данных осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки, если блокирование Персональных данных не нарушает права и законные интересы Субъекта Персональных данных или третьих лиц.

11.3. В случае подтверждения факта недостоверности Персональных данных Общество на основании документов, представленных Субъектом Персональных данных или его представителем либо Уполномоченным органом, или иных документов обязан уточнить Персональные данные либо обеспечить их уточнение (если Обработка Персональных данных осуществляется другим лицом, действующим по поручению Общества) в сроки, установленные Федеральным законом № 152-ФЗ, и снять их блокирование.

11.4. Уточнение Персональных данных при осуществлении Обработки Персональных данных без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными Персональными данными. Уточнение Персональных данных их Обработке в Информационных системах производится путем обновления или изменения данных в базах данных Информационных систем.

11.5. В случае выявления неправомерной Обработки Персональных данных, осуществляемой Обществом или лицом, действующим по поручению Общества, Общество в срок, установленный Федеральным законом № 152-ФЗ, обязано прекратить неправомерную Обработку Персональных данных или обеспечить прекращение неправомерной Обработки Персональных данных лицом, действующим по поручению Общества. Об устранении допущенных нарушений или об уничтожении Персональных данных Общество обязано уведомить Субъекта Персональных данных или его представителя, а в случае, если обращение Субъекта Персональных данных или его представителя либо запрос Уполномоченного органа были направлены Уполномоченным органом, также указанный орган.

12. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

12.1. Общество прекращает обработку Персональных данных и обеспечивает их уничтожение либо обезличивание, обеспечивает прекращение обработки и уничтожение Персональных данных (если Обработка Персональных данных осуществляется другим лицом, действующим по поручению Общества) в сроки, установленные Федеральным законом №152-ФЗ «О персональных данных»:
12.1.1. в случае достижения цели обработки Персональных данных (если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект Персональных данных, иным соглашением между Обществом и субъектом Персональных данных);
12.1.2. в случае отзыва субъектом Персональных данных согласия на обработку его Персональных данных, и в случае, если их сохранение более не требуется для целей обработки Персональных данных (если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект Персональных данных, иным соглашением между Обществом и субъектом Персональных данных);
12.1.3. в случае если Персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
12.1.4. в случае выявления неправомерной обработки Персональных данных, осуществляемой Обществом или обработчиком, действующим по ее поручению, если обеспечить правомерность обработки Персональных данных невозможно;
12.1.5. в случае выявления неправомерной обработки Персональных данных без согласия субъекта Персональных данных.

12.2. Уничтожение Персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих Персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

12.3. Уничтожение материальных носителей информации, пришедших в негодность или утративших практическую ценность, осуществляется:
12.3.1. в случае материальных носителей на бумажной основе путем в физического уничтожении таких носителей (измельчение до состояние, делающего невозможным прочтение);
12.3.2. в случае машинных (машиночитаемые) носителей информации или других устройств хранения информации путем их физического разрушения. Если позволяют физические принципы работы носителя информации, то с носителей информации до их уничтожения должна быть гарантированно удалена вся информация, содержащая Персональные данные.

12.4. В случае отсутствия возможности уничтожения Персональных данных в течение срока, установленного Федеральным законом № 152-ФЗ, Общество должно осуществить блокирование таких Персональных данных или обеспечить их блокирование (если Обработка Персональных данных осуществляется другим лицом, действующим по поручению Общества) и обеспечить уничтожение Персональных данных, которое производится не позднее шести месяцев со дня их блокирования.

12.5. Контроль выполнения мероприятий, связанных с уничтожения Персональных данных работников Общества возлагается на руководителя отдела кадров Общества, контроль выполнения мероприятий, связанных с уничтожения Персональных данных иных категорий субъектов Персональных данных возлагается на администратора автосалона.

13. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

13.1. Защита Персональных данных обеспечивается совокупностью организационных, технических и правовых мероприятий, необходимых для обеспечения уровня безопасности Персональных данных, установленного законодательством Российской Федерации и внутренними документами Общества, в том числе ограничением доступа к Персональным данным и в помещения, в которых осуществляется Обработка Персональных данных.

13.2. Безопасность Персональных данных, обрабатываемых в Информационных системах, обеспечивается, в том числе за счет использования механизмов защиты операционных систем, систем управления базами данных, прикладного программного обеспечения, а также средств защиты информации от несанкционированного доступа.

13.3. Для обеспечения безопасности Персональных данных принимаются следующие меры:

  • обеспечивается и контролируется процедура учета помещений, в которых осуществляется обработка Персональных данных;
  • обеспечивается охрана помещений и размещенных в них технических средств;
  • применяются средства, препятствующие возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
  • обеспечивается хранение информации на бумажных и (или) электронных носителях в сейфах, специально оборудованных хранилищах, специально оборудованных помещениях;
  • разграничен доступ пользователей и обслуживающего персонала (идентификация и аутентификация) к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
  • применяются средства антивирусной защиты, предотвращающие внедрение в информационные системы обработки персональных данных вредоносных программ и программных закладок;
  • осуществляется ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных;
  • проводится внутренний контроль соответствия обработки персональных данных законодательству Российской Федерации о персональных данных;
  • при передаче Персональных данных третьему лицу подписывается соглашение о конфиденциальности.

13.4. Доступ к Персональным данным имеют только работники Общества, которым данный доступ необходим для исполнения их должностных обязанностей.
13.4.1. Директором Общества утверждается Перечень должностных лиц, имеющих доступ к Персональным данным, доступ которых к Персональным данным необходим для выполнения ими должностных обязанностей.

13.5. Основанием для доступа работников Общества и третьих лиц к обрабатываемым Обществом Персональным данным является:

  • для работников Общества – должностная инструкция работника Общества, трудовой договор (договор гражданско-правового характера), настоящий и иные внутренние документы Общества в области Обработки Персональных данных;
  • для третьих лиц – договор, заключенный между Обществом и третьим лицом, либо надлежащим образом оформленный и предоставленный (направленный) в Общество документ, подтверждающий такие полномочия (например, запрос либо акт государственного органа, осуществляющего контроль и надзор за деятельностью Общества).

13.6. Доступ представителей третьих лиц к обрабатываемым Обществом Персональным данным в рамках заключенного с Обществом договора осуществляется только при наличии в договоре с третьим лицом условий, указанных в пункте 8.4 настоящего документа либо при наличии отдельного соглашения о неразглашении (конфиденциальности) сведений, в том числе Персональных данных.

13.7. Основанием для прекращения доступа к обрабатываемым Обществом Персональным данным является:

  • для работников Общества – прекращение трудовых отношений с Обществом, перевод на новое место работы, не предполагающее Обработку Персональных данных, доступ к которым был ему предоставлен на прежнем месте работы;
  • для третьих лиц – прекращение (в том числе расторжение по инициативе Общества) договора, заключенного между Обществом и третьим лицом; отзыв Субъектом Персональных данных согласия на передачу Персональных данных третьему(им) лицу(ам).

14. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ПОРЯДОК ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

14.1. Все работники Общества, в соответствии со своими полномочиями имеющие доступ к обрабатываемым в Обществе Персональным данным, несут ответственность за нарушение порядка и требований к Обработке Персональных данных в соответствии с законодательством Российской Федерации.

14.2. Работник Общества не должен совершать действий либо бездействия, создающих угрозу сохранности материального носителя либо утраты конфиденциальности содержащейся на нем информации и несет ответственность за указанные действия либо бездействие в соответствии с законодательством Российской Федерации.

14.3. Учет и расследование фактов нарушений, в том числе третьими лицами при Обработке Персональных данных, доступ к которым был предоставлен Обществом на основании договора или иных законных оснований, правил Обработки Персональных данных лицами, получившими доступ к обрабатываемым Обществом Персональным данным, проводится комиссией, состоящей из работников Общества, состав которой определяется приказом Директора Общества, после которых разрабатываются и принимаются меры по предотвращению возможных опасных последствий подобных нарушений. Сведения о фактах нарушений и результатах расследований доводятся до Ответственного лица.