Политика ООО «Авто Перекресток» в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с пунктом 2 статьи 18.1 Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г., а также иными нормативными правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – данные), которые Организация

(далее – Оператор, Общество) может получить от субъекта персональных данных, являющегося стороной по гражданско-правовому договору, от пользователя сети Интернет (далее – Пользователь) во время использования им любого из сайтов, сервисов, служб, программ, продуктов или услуг ООО «Авто Перекресток», а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее Работник).

1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального  закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

1.3. Оператор вправе вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.

1.4. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.

2. Термины и принятые сокращения

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Персональные данные, сделанные общедоступными субъектом персональных данных, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является ООО «Авто Перекресток», расположенное по адресу:  620142, Свердловская область, г. Екатеринбург, ул. Цвиллинга, д.6, к.97.

3. Обработка персональных данных

3.1. Обработка организована Оператором на принципах:

• законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• обработки только персональных данных, которые отвечают целям их обработки;
• соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
• недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
• обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
• хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

3.2. Получение персональных данных.

3.2.1. Все персональные данные должны быть получены от самого субъекта. Если персональные данные субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом и от него должно быть получено согласие на обработку его персональных данных.

3.2.2. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных, перечне действий с персональными данными, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.

3.2.3. Документы, содержащие персональные данные, создаются путем:

• получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
• получения персональных данных из общедоступных источников;
• внесения персональных данных в журналы, реестры и информационные системы Оператора;
• использования иных способов обработки персональных данных
• копирования оригиналов документов (паспорт, водительское удостоверение, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);
• получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).

3.3. Обработка персональных данных.

3.3.1. Обработка персональных данных осуществляется:

• с письменного согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено действующим законодательством РФ;
• в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;
• в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).

3.3.2. Цели обработки персональных данных:

• обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
• осуществление своей деятельности в соответствии с уставом и видами деятельности Оператора;
• ведение кадрового делопроизводства;
• привлечение и отбор кандидатов на работу у Оператора;
• организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
• ведение бухгалтерского учета;
• осуществление гражданско-правовых отношений;
• продвижение товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с потенциальным потребителем, в том числе с помощью средств связи, через сайт jaecoo-okami.ru;
• для идентификации пользователей (посетителей) сайта jaecoo-okami.ru, для связи с пользователем, в том числе направление уведомлений, запросов и информации, касающихся использования сайта, исполнения соглашений и договоров, а также обработки запросов и заявок от пользователя.
• обезличивания персональных данных для получения обезличенных статистических данных, которые передаются третьему лицу для проведения исследований, выполнения работ или оказания услуг по поручению магазина.

3.3.3. Категории субъектов персональных данных.

• физические лица - работники и бывшие работники Оператора;
• физические лица, являющиеся кандидатами на работу;
• физические лица, состоящие с Оператором в гражданско-правовых отношениях;
• физические лица, являющиеся пользователями сайта;
• физические лица, являющиеся клиентами и контрагентами Оператора;
• физические лица, являющиеся Представителями (работниками) клиентов и контрагентов Оператора (юридических лиц).

3.3.4. Персональные данные, обрабатываемые Оператором:

• данные, полученные при осуществлении трудовых отношений;
• данные, полученные для осуществления отбора кандидатов на работу;
• данные, полученные при осуществлении гражданско-правовых отношений;
• данные, полученные при обращении клиентов к Оператору;
• данные, полученные от пользователей сайта jaecoo-okami.ru.

3.3.5. Обработка персональных данных ведется:

• с использованием средств автоматизации;
• без использования средств автоматизации.

3.4. Хранение персональных данных.

3.4.1. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

3.4.2. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа и в соответствие с требованиями действующего законодательства РФ.

3.4.3. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках в соответствие с требованиями действующего законодательства РФ.

3.4.4. Не допускается хранение и размещение документов, содержащих персональных данных, в открытых электронных каталогах (файлообменниках) в ИСПД.

3.4.5. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.5. Уничтожение персональных данных.

3.5.1. Уничтожение персональных данных производится в случаях:

• выявление неправомерной обработки персональных данных, в том числе по обращению субъекта персональных данных или его представителя либо запросу уполномоченного органа по защите прав субъектов персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
• требования субъекта персональных данных, если его персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отзыва субъектом персональных данных согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных;
• достижения цели обработки персональных данных или утраты необходимости в достижении этих целей;
• истечения сроков хранения персональных данных, установленных нормативно-правовыми актами Российской Федерации;
• признания недостоверности персональных данных или получения их незаконным путем по требованию уполномоченного органа по защите прав субъектов персональных данных;
• в иных установленных законодательством случаях.

3.5.2. Уничтожение персональных данных может быть осуществлено двумя способами в зависимости от типа носителя информации (бумажный или электронный):

• физическое уничтожение носителя (уничтожение через шредерование, сжигание, химического разложения);
• уничтожение информации с носителя (многократная перезапись в секторах магнитного диска, стирание, форматирование носителя).

3.5.3. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей.

3.6. Передача персональных данных.

3.6.1. Оператор передает персональные данные третьим лицам в следующих случаях:

• субъект выразил свое согласие на такие действия;
• передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.

3.6.2. Перечень лиц, которым передаются персональные данные.

• Пенсионный фонд РФ для учета (на законных основаниях);
• налоговые органы РФ (на законных основаниях);
• Фонд социального страхования РФ (на законных основаниях);
• территориальный фонд обязательного медицинского страхования (на законных основаниях);
• страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);
• банки (на законных основаниях);
• дистрибьюторы, дилеры;
• органы МВД России в случаях, установленных законодательством;
• обезличенные персональные данные Пользователей сайта jaecoo-okami.ru передаются контрагентам Оператора.

4. Защита персональных данных

4.1. Для эффективной защиты персональных данных обеспечивается:

4.1.1. Соблюдение порядка получения, учета и хранения персональных данных.

4.1.2. Применение технические средства охраны, сигнализации.

4.1.3. Привлечение к дисциплинарной ответственности сотрудников, виновных в нарушении норм, регулирующих получение, обработку и защиту персональных данных.

4.3. Допуск к персональным данным сотрудников Оператора, не имеющих надлежащим образом оформленного доступа, запрещается.

4.4. Документы, содержащие персональные данные, хранятся в помещениях Оператора, обеспечивающих защиту от несанкционированного доступа.

4.5. Защита доступа к электронным базам данных, содержащим персональные данные, обеспечивается:

• использованием лицензионных программных продуктов, предотвращающих несанкционированный доступ третьих лиц к персональным данным;
• системой паролей. Пароли устанавливаются системным администратором и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным.

5. Основные права и обязанности Субъекта  персональных данных и Оператора

5.1. Основные права субъекта персональных данных.

Субъект имеет право на доступ к его персональным данным и следующим сведениям:

• подтверждение факта обработки персональных данных Оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Оператором способы обработки персональных данных;
• наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональных данных или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
• наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
• обращение к Оператору и направление ему запросов;
• обжалование действий или бездействия Оператора.

5.2. Оператор имеет право:

• самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
• поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;
• в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

5.3. Оператор обязан:

• организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
• отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
• сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса.