1. Общие положения:
1.1 Настоящая Политика в области обработки и обеспечения безопасности персональных данных (далее – «Политика») принята и действует в ООО «АВТОГЕРМЕС-ЗАПАД» ИНН 5032237788 (далее – «Организация»), адрес местонахождения: РФ, 109 444, г. Москва, ул. Сормовская, д. 21А, стр. 9.
1.2 Во исполнение требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», Трудового кодекса РФ, приказов, рекомендаций и инструкций Министерства цифрового развития, связи и массовых коммуникаций, Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора) и Федеральной службы безопасности (ФСБ), других законодательных актов Российской Федерации в области обработки и защиты персональных данных, а также локальных нормативных актов Организации. Организация обеспечивает легитимность обработки и безопасность персональных данных (далее – «ПДн») в своей деятельности.
1.3 Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Организации, в том числе защиты прав нам неприкосновенность частной жизни, личной и семейной тайн.
1.4 Положения Политики распространяются на отношения по обработке и защите персональных данных, полученных Организацией как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите персональных данных, полученных до ее утверждения.
1.5 Организация включена в Реестр операторов, осуществляющих обработку персональных данных. Указанный реестр опубликован на сайте Роскомнадзора в сети «Интернет» по адресу: https://pd.rkn.gov.ru/operators-registry/operators-list/.
1.6 Организация ведет деятельность на территории РФ в соответствии с законодательством РФ, предлагаемые Организацией товары, работы, услуги доступны к получению на территории РФ. Организация не ведет мониторинг потребительского поведения субъектов, находящихся за пределами РФ.
1.7Обработка персональных данных Организацией выполняется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов персональных данных, персональные данные которые обрабатываться Обществом.
1.8 Обработка персональных данных без использования средств автоматизации может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.
1.9 Политика применяется к обработке ПДн Организацией, в том числе, в следующих случаях:
- использование веб-сайтов, мобильных приложений, владельцем которых является Организация;
- любые обращения в Организацию в любой форме, направление жалоб (претензий), комментариев или замечаний и предложений;
- посещение офисов и иных помещений Организации;
- продажа автомобилей и иных товаров, проведение работ (включая сервисное обслуживание автомобилей), оказание услуг (включая информационные услуги с использованием веб-сервисов);
- взаимодействие с контрагентами, деловыми партнерами Организации при осуществлении оперативной деятельности Организации;
- в иных случаях прямо разрешенных действующим законодательством РФ.
1.10 Субъектами, чьи ПДн обрабатываются в соответствии с Политикой, могут являться:
- клиенты (в том числе потенциальные клиенты)ихи представители, в том числе посетители дилерских и сервисных предприятий Организации, чьи ПДн могут быть переданы Организации в соответствии с договорами при условии обеспечения предприятиями законности такой передачи и обработки ПДн, и чьи ПДн могут быть переданы Организацией её партнёрами с целью исполнения заявок/запросов клиентов, а также лица, получающие (собирающиеся получить) услуги, оказываемые Организацией, лицо, обращающиеся к Организации, в том числе посредством чат-бота на сайте, контакт-центра, формы обратной связи;
- контрагенты или бизнес-партнеры (потенциальные контрагенты или бизнес-партнеры) Организации и их представители и работники;
· работники Организации, соискатели вакансий, уволенные сотрудники, их родственники.
1.11 Принципами обработки ПДн в Организации являются:
- обработка ПДн осуществляется на законной и справедливой основе;
- обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается обработка ПДн, несовместимая с целями сбора ПДн;
- не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только ПДн, которые отвечают целям их обработки;
- содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки;
- при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн, принимаются необходимые меры по удалению или уточнению неполных или неточных ПДн;
- хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, согласием на обработку ПДн, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
- обрабатываемые ПДн уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
- обработка ПДн не используется в целях причинения имущественного и/или морального вреда субъектам ПДн, затруднения реализации их прав и свобод.
2. Состав и цели обработки персональных данных:
2.1. В соответствии с принципами обработки ПДн в Организации определены состав обрабатываемых ПДн и цели их обработки. В частности, но не ограничиваясь, целями обработки ПДн в Организации в соответствии с Политикой являются:
В Организации выделены следующие группы категорий субъектов ПДн:
Кадры:
- сотрудники;
- сотрудники пользователи мобильных приложений, владельцем которых является Организация;
- уволенные сотрудники;
- члены семей сотрудников;
- соискатели вакансий.
Целями обработки ПДн группы категорий субъектов ПДн «Кадры» являются:
- заключение, исполнение, изменение и расторжение трудового договора, в рамках которого Организация оказывает содействие в трудоустройстве, обучение и продвижение по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
- достижение целей, предусмотренных законом РФ, осуществление и выполнение возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
- предоставление дополнительных гарантий, компенсаций и льгот, обеспечение возможности беспрепятственной работы в Организации;
- содействие в трудоустройстве в Организацию, в том числе, проведение собеседований, принятие решение о приеме / отказе в приеме на работу в Организацию.
Для целей обработки ПДн категорий субъектов «Кадры» обрабатываются следующие персональные данные:
- Данные, не являющиеся специальными или биометрическими: фамилия, имя, отчество; сведения о прежних фамилии, имени, отчестве; адрес по месту регистрации и фактический адрес; дата и место рождения; номер домашнего телефона, номер рабочего телефона и номер мобильного телефона; адреса личной электронной почты и рабочей электронной почты; иная контактная информация, включая контактную информацию для экстренных случаев; паспортные данные; данные водительского удостоверения; информация о наличии ученой степени; информация о знаниях иностранных языков; информация о профессиональной деятельности; номер страхового свидетельства Пенсионного фонда Российской Федерации и индивидуальный номер налогоплательщика; сведения, содержащиеся в трудовой книжке или в сведениях о трудовой деятельности; сведения, содержащиеся в документах воинского учета; сведения об основном образовании; сведения о дополнительном образовании; сведения о текущем статусе работника (должность, департамент, отдел, повышение квалификации, результаты прохождения тренингов и т.д.); сведения о прохождении медицинских осмотров, о полной, частичной или временной нетрудоспособности, сведения о составе и размере заработной платы, данные о социальных льготах и необходимые для предоставления льгот, сведения о доходах и обязательствах имущественного характера; сведения о банковских счетах, на которые Организацией/Работодатель перечисляется заработная плата; сведения о результатах прохождения внутренних оценок персонала; сведения о наградах, вознаграждениях и дисциплинарных взысканиях; сведения о личных качествах; сведения об опыте работы с компьютером; сведения о семейном положении, составе семьи и ближайших родственниках; сведения, содержащиеся в характеристиках и автобиографии (в частности, дата приема на работу); фотографии, в том числе сделанные во время корпоративных мероприятий; состояние в браке; сведения документов, связанных с трудовой деятельностью иностранного гражданина на территории Российской Федерации, а именно: - данные разрешения на осуществление трудовой деятельности; - данные документов, подтверждающих миграционный учет; - данные регистрации по месту пребывания/проживания/вид на жительство;
- визовые данные.
- Биометрические персональные данные: фотография (для обеспечения пропускного режима);
- Специальные категории персональных данных: сведения о состоянии здоровья, относящиеся к возможности исполнения трудовой функции, сведения об отпуске по беременности и родам, сведения о состоянии здоровья, передаваемые Организации/Работодателю в соответствии с положениями трудового законодательства, сведения о медицинском освидетельствовании на предмет отсутствия инфекционных заболеваний либо о проведении вакцинации как составной части иммунопрофилактики инфекционных болезней согласно миграционному законодательству.
Клиенты:
- клиенты и представители Организации;
- клиенты и представители Организации, которые используют мобильные приложения, владельцем которых является Организация;
- контактные лица покупателей юридических лиц;
- посетители сайта.
Целями обработки ПДн группы категорий субъектов ПДн «Клиенты» являются:
- обеспечение (организация) продажи товаров и предоставления услуг Организацией в соответствии с требованиями Постановление Правительства РФ от 31.12.2020 N 2463 “Об утверждении Правил продажи товаров по договору розничной купли-продажи, перечня товаров длительного пользования, на которые не распространяется требование потребителя о безвозмездном предоставлении ему товара, обладающего этими же основными потребительскими свойствами, на период ремонта или замены такого товара, и перечня непродовольственных товаров надлежащего качества, не подлежащих обмену, а также о внесении изменений в некоторые акты Правительства Российской Федерации” и Постановления Правительства РФ от 11.04.2001 № 290 (ред. от 31.01.2017) «Об утверждении Правил оказания услуг (выполнения работ) по техническому обслуживанию и ремонту автомототранспортных средств»;
- а также самой Организацией в соответствии с законодательством РФ, а том числе, обеспечение взаимодействия с субъектом персональных данных, включая удовлетворение его запросов, предоставление обратной связи по его вопросам, а также контроль качества предоставленных услуг и консультаций;
- продвижение товаров и услуг, а также их, в том числе, направление рекламных рассылок и сообщений;
- анализ посещения сайта, обработка Cookie (КУКИ) согласно Политики использования Cookies(КУКИ) Организации.
Для целей обработки ПДн категорий субъектов «Клиенты» обрабатываются следующие персональные данные:
- Данные, не являющиеся специальными или биометрическими: фамилия, имя, отчество; паспортные данные или данные документа, удостоверяющего личность; адрес места жительства; адрес электронной почты; номер мобильного телефона; дата рождения; пол; место рождения; поведение на сайте и в Интернете; IP-адрес, браузер.
- Биометрические персональные данные – не обрабатываются.
- Специальные категории персональных данных – не обрабатываются.
Контрагенты:
- контрагенты - ФЛ и ИП;
- контактные лица партнеров ЮЛ;
- контактные лица кандидатов в партнеры;
- взыскатели по исполнительным листам.
Целью обработки ПДн группы категорий субъектов ПДн «Контрагенты» является:
- заключение, исполнение, изменение, расторжение гражданско-правовых договоров;
- осуществление и выполнение возложенных законодательством РФ на оператора функций, полномочий и обязанностей.
Для целей обработки ПДн категорий субъектов «Контрагенты» обрабатываются следующие персональные данные:
- Данные, не являющиеся специальными или биометрическими: фамилия, имя, отчество; сведения о должности и структурном подразделении; номер телефона; адрес электронной почты; паспортные данные или данные документа, удостоверяющего личность; адрес места жительства; дата регистрации по месту жительства; дата рождения; место рождения; пол; гражданство; данные документа, подтверждающего полномочия представлять юридическое лицо.
- Биометрические персональные данные – не обрабатываются.
- Специальные категории персональных данных – не обрабатываются.
Конкретные персональные данные, обрабатываемые Организацией для каждой цели, указываются в конкретных согласиях на обработку персональных данных.
Для указанных целей обработки Пдн субъектов в Организации действуют следующие условия:
Способ обработки указанных ПДн – смешанная.
Хранение ПДн осуществляется в порядке, исключающем к ним доступ неуполномоченных лиц, их утрату или их неправомерное использование. Документы передаются на архивное хранение по достижении целей обработки. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения. Сроки хранения бумажных материальных носителей персональных данных определяются в соответствии со сроком действия договоров с субъектами ПДн и законодательством РФ.
Сроки обработки – с моменты дачи согласия на обработку ПДн до момента отзыва согласия с учетом положений законодательства о прекращении обработки ПДн.
Уничтожение документов, содержащих ПДн, производится:
- по достижении целей их обработки;
- по окончании срока хранения ПДн, оговоренного в соответствующем соглашении заинтересованных сторон;
- в случае выявления неправомерной обработки ПДн в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки ПДн.
ПДн на бумажных носителях: основанием для уничтожения документов является:
- достижение целей обработки;
- отзыв согласия субъекта на обработку его ПДн;
- получение соответствующего запроса от субъекта ПДн;
- получение соответствующего указания от уполномоченного органа по защите прав субъектов.
Локальные документы, содержащие ПДн, уничтожаются по мере необходимости.
Уничтожение носителей производится путем их физического разрушения с предварительным уничтожением содержащейся на них ПДн, если это позволяют физические принципы работы носителя в присутствии комиссии. Уничтожение ПДн из информационных систем производится путем их удаления из соответствующих систем. Об уничтожении ПДн Организация уведомляет субъектов ПДн в порядке, установленном законодательством РФ.
3. Правила обработки персональных данных
3.1. Обработка ПДн осуществляется Организацией на законной основе. В случаях, предусмотренных действующим законодательством РФ, Организация осуществляет получение согласия (письменного согласия) субъекта на обработку его ПДн в установленным действующим законодательством РФ порядке. Если Организация получает ПДн от третьего лица, то она требует подтверждения от этого лица, что оно имеет необходимые основания для передачи ПДн в Организацию.
Организация осуществляет, в том числе, следующие действия с ПДн: сбор, запись, систематизация, обезличивание, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение.
При сборе персональных данных Организация обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных».
3.1.1 При сборе ПДн посредством информационно-телекоммуникационной сети Интернет, Организация обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн с использованием баз данных, находящихся на территории РФ.
3.1.2 Получения согласия на сбор и обработку ПДн осуществляется в случае предоставления любых личных данных с использованием электронной формына сайте Организации.
3.1.3 Сайт Организации использует Сookie (КУКИ)и собирает сведения, в том числе с использованием сторонних сервисов: «Яндекс.Метрика» о пользователях, которые необходимы Организации в целях анализа эффективности и улучшения работы сервисов сайте на котором расположены настоящие Правила.
3.1.4 При посещение сайта, Организация информирует пользователя о сборе и использовании файлов «cookie».
3.2. Организация в ходе своей деятельности вправе поручать обработку и/или передавать ПДн (предоставлять доступ к ПДн) третьему лицу, если иное не предусмотрено действующим законодательством РФ.
При этом обязательным условием поручения обработки и/или передачи ПДн третьему лицу является:
- обязанность по соблюдению таким лицом принципов и правил обработки ПДн, предусмотренных действующим законодательством, по соблюдению конфиденциальности и обеспечению безопасности и защиты ПДн при их обработке, обеспечению прав субъектов ПДн;
- обязательство третьего лица использовать данные исключительно определенные в поручении данные в заранее определенных целях и объемах;
- обязательство третьего лица исполнять обязанности, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона «О персональных данных»;
- обязанность предоставлять документы и информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Организации требований, установленных статьей 6 Федерального закона «О персональных данных» по запросу Организации (до и во время исполнения поручения);
- обеспечивать безопасность персональных данных при их обработке;
- соблюдать требования к защите персональных данных, установленные статьей 19 Федерального закона «О персональных данных»;
- в установленном в поручении порядке информировать Организацию о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов персональных данных;
- обязательство соблюдать иные условия обработки и защиты ПДн, которые были указаны/сообщены/согласованы с субъектом ПДн Организацией третьими лицами. К подобным третьим лицам относятся, в частности, контрагенты Организации (включая организации, оказывающие услуги колл-центра, услуги проверки и аудита сделок, услуги проведения статистических исследований, услуги поддержки используемых информационных систем) и иные, если указано/сообщено/согласовано с субъектом ПДн в соответствии с законодательством РФ;
- если обработка персональных данных будет поручена иностранному лицу, ответственность перед субъектом ПДн будет нести и Организация, и такое иностранное лицо.
3.3. При поручении обработки или передаче (предоставлении доступа к) ПДн третьему лицу возможны случаи осуществления трансграничной передачи. В этом случае Организация следует требованиям законодательства РФ и осуществляет передачу только на территорию иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или на территорию государства обеспечивающих адекватную защиту прав субъектов ПДн, а также на территорию стран, обеспечивающих адекватную защиту прав субъектов ПДн.
3.4. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3.5. В Организации НЕ обрабатываются ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
3.6. Обработка биометрических ПДн (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Организацией для установления личности субъекта ПДн) в Организации осуществляется исключительно в случаях, когда такая обработка объективно необходима (например, для изготовления пропусков работникам Организации. Однако при предъявлении субъектами ПДн паспортов или иных документов, содержащих фотографию субъекта, Организация не использует данную фотографию для установления личности субъекта ПДн (идентификация), а использует для удостоверения тождественности лица, предъявившего документ, с лицом, изображенным на фотографии в этом документе (аутентификация).
3.7. Организация НЕ размещает ПДн субъекта ПДн в общедоступных источниках без его согласия, однако субъект ПДн вправе дать согласие на распространение его персональных данных в порядке, установленном статьей 10.1 Федерального закона «О персональных данных», с запретами и условиями их обработки или без таковых.
3.8. Организация организовывает процессы взаимодействия с субъектами ПДн таким образом, чтобы субъект мог обратиться в Организацию по всем предусмотренным в законодательстве РФ вопросам, связанным с обработкой его ПДн (информация об обрабатываемых ПДн, о третьих лицах, о способах исполнения Организацией обязанностей, установленных статьей 18.1 Федерального закона «О персональных данных», запросы на уточнение, прекращение обработки, блокировку и уничтожение), по адресу электронной почты: info@avtogermes.ru либо путем направления письменного запроса заказным почтовым отправлением с описью вложения или курьерской службой по адресу нахождения Организации.
Согласие на обработку ПДн может быть отозвано субъектом путем направления письменного уведомления, подписанного субъектом ПДн, на адрес электронной почты: info@avtogermes.ru либо в адрес Организации заказным почтовым отправлением с описью вложения или курьерской службой.
В случае отзыва субъектом ПДн согласия на обработку его ПДн Организация прекратит их обработку или обеспечит прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) и в случае, если сохранение персональных данных более не требуется для целей обработки ПДн, уничтожит персональные данные или обеспечит их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Организацией и субъектом ПДн либо если Организация не вправе осуществлять обработку ПДн без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами. Организация при этом вправе продолжить обработку ПДн в случаях, установленных действующим законодательством РФ, или если ПДн обрабатываются в соответствии с иным законным основанием (в частности, в соответствии с принятыми условиями предоставления услуг).
3.9. При наличии подписок на получение информационных и рекламных коммуникаций, субъект может обратиться к Организации с просьбой об отписке от таких коммуникаций следующими способами:
- путем обращения в контактный центр Организации по телефону +7(495)737-72-72;
- путем обращения с соответствующим запросом по адресу электронной почты: info@avtogermes.ru либо по адресу местонахождения Организации.
3.10. Организация может запрашивать согласие субъекта ПДн неоднократно при каждом обращении субъекта. В случае если при последующих запросах Организацией согласия (например, при заполнении веб-форм с соответствующим полем для проставления галочки о согласии) таковое не будет дано, ранее данное согласие не будет автоматически признаваться отозванным и продолжит действовать в течение указанного в согласии срока.
3.11. Предоставление ПДн органам государственной власти и местного самоуправления, в суды, правоохранительные органы, а также иным надзорным органам осуществляется Организацией в случаях и в порядке, предусмотренных законодательством РФ.
3.12. Субъект ПДн имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
-
подтверждение факта обработки персональных данных;
-
правовые основания и цели обработки ПДн;
-
цели и применяемые оператором способы обработки ПДн;
-
наименование и место нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к ПДн или которым могут быть раскрыты Пдн на основании договора с Организаций или на основании федерального закона;
-
обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
-
сроки обработки ПДн, в том числе сроки их хранения;
-
порядок осуществления субъектом ПДн прав, предусмотренных настоящим Федеральным законом;
-
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
-
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Организации, если обработка поручена или будет поручена такому лицу;
9.1) информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона «О персональных данных»
- иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
Указанное право может быть ограничено в соответствии с федеральными законами, в том числе в случаях, предусмотренных частью 8 статьи 14 Федерального закона «О персональных данных».
В целях обеспечения защиты своих ПДн субъект имеет право:
- получать полную информацию о своих ПДн и обработке этих данных (в том числе автоматизированной);
- осуществлять свободный бесплатный доступ к своим ПДн, включая право получать копии любой записи, содержащей ПДн, за исключением случаев, предусмотренных Федеральным законом;
- требовать уточнения его ПДн, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, прекращения обработки (Субъект ПДн, при отказе Организации или ее уполномоченного лица исключить или исправить ПДн, имеет право заявить в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие; ПДн оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения);
- требовать от Организации или ее уполномоченного лица уведомления всех лиц, которым ранее были сообщены неверные или неполные ПДн, обо всех произведенных в них изменениях или исключениях из них;
- обжаловать в суде любые неправомерные действия или бездействие руководителя организации или уполномоченного им лица при обработке и защите ПДн;
- вносить предложения по мерам защиты ПДн.
3.13. Запрос субъекта ПДн должен соответствовать части 3 статьи 14 Федерального закона «О персональных данных».
3.14. Организация отвечает на запросы и обращения субъектов ПДн и/или их представителей в сроки и в порядке, установленные в ст.ст. 14, 20, 21 Федерального закона «О персональных данных».
4. Установление правил и порядок обработки персональных данных
4.1. В соответствии с требованиями, указанными в п.1.2 настоящего документа, в Организации во внутренних документах, обязательных для исполнения всеми работниками Организации, а также в соответствующих соглашениях с партнерами, контрагентами и прочими третьими лицами.
4.2. Меры, направленные на обеспечение выполнения Организацией обязанностей, предусмотренных настоящим Федеральным законом меры по обеспечению безопасности ПДн при их обработке относятся:
-
назначение Организацией ответственного за организацию обработки персональных данных;
-
издание Организацией документов, определяющих политику Организации в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, определяющих для каждой цели обработки ПДн категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
-
применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных»;
-
осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Организации в отношении обработки ПДн, локальным актам Организации;
-
оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам ПДн в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых Организацией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
-
ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Организации в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников.
5. Требование к обеспечению конфиденциальности и безопасности ПДн
5.1 С целью обеспечения безопасности ПДн при их обработке в Организации реализуются требования действующего законодательства РФ в области обработки и обеспечения безопасности ПДн и требования локальных нормативных актов Организации.
5.2. Организация применяет необходимые и достаточные правовые, организационные и технические меры, включающие в себя, в том числе:
-
определением угроз безопасности ПДн при их обработке в информационных системах персональных данных;
-
применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных (далее – «ИСПДн»), необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
-
применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
-
оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
-
учетом машинных носителей ПДн;
-
обнаружением фактов несанкционированного доступа к ПДн и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
-
восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
-
установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
-
контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн, а также:
- разработку внутренних документов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
- защиту ПДн от несанкционированного доступа, неправомерной обработки или передачи, а также от утери, искажения или уничтожения (вне зависимости от того, автоматизированная или неавтоматизированная обработка ПДн осуществляется);
- определение и внедрение перед введением новых процессов обработки ПДн и новых ИСПДн технических и организационных мер, обеспечивающих защиту ПДн, ориентированных на современный уровень техники и необходимую степень защиты ПДн;
5.4. В части обеспечения конфиденциальности обработки Организация предпринимает меры, направленные на предотвращение несанкционированного сбора, обработки или использования ПДн:
- предоставление доступа к ПДн только в случаях и в порядке, предусмотренном законодательством РФ;
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- обеспечение целостности информационной системы и ПДн;
- регистрация событий безопасности;
- антивирусная защита;
- защита технических средств;
- защита информационной системы, ее средств, систем связи и передачи данных;
- ознакомление работников Организации, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Организации в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, требованиями к неавтоматизированной обработке ПДн, и (или) пи необходимости обучение соответствующих работников.
5.5. В Организации назначены лица, ответственные за организацию обработки и обеспечения безопасности ПДн.
5.6. Руководство Организации заинтересовано в обеспечении безопасности ПДн, обрабатываемых в рамках выполнения основной деятельности Организации, как с точки зрения требований действующего законодательства РФ и корпоративных правил, так и с точки зрения минимизации рисков для субъектов ПДн.
5.7. С цель обеспечения безопасности персональных данных при их обработке в Организации введена, функционирует и проходит периодический пересмотр (контроль) системы защиты ПДн.
5.8. Организация также осуществляет взаимодействие с органом, уполномоченным в области обеспечения безопасности, и уполномоченным органом по защите прав субъектов персональных данных в порядке, установленном законодательством РФ.
5.9. Руководство Организации заинтересовано в обеспечении безопасности персональных данных, обрабатываемых в рамках выполнения основной деятельности Организации, как с точки зрения требований нормативных документов РФ, так и с точки зрения оценки рисков для бизнеса.
6. Контроль
6.1. Контроль за выполнением настоящей Политики осуществляется лицами, исполняющими соответствующие роли согласно внутренним распорядительным документам Организации, в соответствии с их функциями, а также руководителями управлений, департаментов, отделов и подразделений Организации – в отношении выполнения положений подчиняющимися ими работниками.
****
7.Заключительные положения
7.1. Настоящая Политика вступает в силу с даты ее утверждения и действует до даты внесения изменений и/или принятия нового документа в соответствии с внутренним порядком Организации.
7.2. Политика может время от времени обновляться или иным образом изменяться Организацией, при этом любые изменения подлежат опубликованию Организацией. Такие изменения вступают в силу с даты их публикации.
7.3. В случае если какое-либо из положений настоящей Политики является или становится недействительным, это не затрагивает действительность остальных положений настоящей Политики.
7.4. В случае изменения нормативно-правовых актов, использованных в настоящей Политике, настоящая Политика продолжает свое действие в части, не противоречащей действующему законодательству. В остальной части Организация руководствуется нормами действующего законодательства РФ.