1. Общие положения
1.1. Настоящая Политика в отношении Обработки персональных данных (далее – Политика) определяет политику ООО «ДМ-авто» Север» (далее – Оператор) в отношении Обработки и обеспечения безопасности Персональных данных, и действует в отношении всех персональных данных, которые Оператор может получить от субъекта персональных данных при его обращению (посредством телефонного звонка, сообщения и т.д.) к Оператору непосредственно (через представителя) и/или посредством сайта Оператора: https://leon-avto.com/ (далее – Сайт), и/или от других операторов, а также в процессе регистрации субъекта персональных данных на сайте и оформлении заказа. Политика также содержит сведенья о реализуемых требованиях к защите персональных данных.
1.2. Политика разработана в целях реализации требований законодательства в области обработки и обеспечения безопасности персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных Оператором.
1.3. Положения Политики распространяются на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению), извлечению, использованию, передаче (распространению, предоставлению доступа), обезличиванию, блокированию, удалению, уничтожению персональных данных, осуществляемые как с использованием средств автоматизации, так и без их использования.
1.4. Положения настоящей Политики являются обязательными для исполнения всеми Работниками Оператора, имеющими доступ к персональным данным.
1.5. Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к Обработке персональных данных в информационной системе персональных данных.
1.6. Действие политики распространяется на Данные, полученные как до, так и после утверждения настоящей Политики.
1.7. Текущая редакция Политики размещается на сайте Оператора в общем доступе и вступает в силу с момента размещения, если иное не будет предусмотрено новой редакцией Политики.
2. Перечень нормативных документов
- Трудовой кодекс Российской Федерации;
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»);
- Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
- иные нормативные правовые акты Российской Федерации и нормативные документы исполнительных органов государственной власти.
3. Термины и определения
В Политике используются термины и определения в соответствии с их значениями, как они определены в ФЗ-152 "О персональных данных":
1) Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
3) Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
4) Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
5) Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
6) Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
7) Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
8) Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
9) Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
10) Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
4. Основные принципы Обработки персональных данных
4.1. Обработка Персональных данных Оператором осуществляется на основе принципов:
-законности целей и способов Обработки персональных данных;
-добросовестности Оператора Персональных данных, что достигается путем выполнения требований законодательства Российской Федерации в отношении Обработки персональных данных;
-соответствия состава и объема обрабатываемых Персональных данных, а также способов Обработки Персональных данных заявленным целям Обработки;
-точности и достаточности, а в необходимых случаях и актуальности Персональных данных по отношению к заявленным целям их Обработки;
-Уничтожения Персональных данных по достижении целей Обработки способом, исключающим возможность их восстановления;
-недопустимости объединения баз данных, содержащих Персональные данные, Обработка которых осуществляется в целях, несовместимых между собой.
4.2. Работники Оператора, допущенные к Обработке персональных данных, обязаны:
a) Знать и неукоснительно выполнять положения:
-законодательства Российской Федерации в области Персональных данных; настоящей Политики;
-локальных актов Оператора по вопросам Обработки и обеспечения безопасности Персональных данных;
b) Обрабатывать Персональные данные только в рамках выполнения своих должностных обязанностей;
c) Не разглашать Персональные данные, обрабатываемые Оператором;
d) Сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики;
e) Сообщать об известных фактах нарушения требований настоящей Политики Ответственному за организацию Обработки персональных данных у Оператора.
4.3. Безопасность Персональных данных обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности Персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы Информационных систем персональных данных в случае реализации угроз.
5. Цели обработки персональных данных
5.1. Оператор собирает и хранит только ту персональную информацию, которая необходима для предоставления услуг, работ, сервисов или исполнения соглашений и договоров с Субъектом персональных данных, за исключением случаев, когда законодательством предусмотрено обязательное хранение персональной информации в течение определенного законом срока.
5.2. Оператор осуществляет обработку персональных данных в целях:
- осуществления сделок и оказания услуг/ работ в соответствии с Уставом Оператора.
- заключения с Субъектом персональных данных любых договоров и их дальнейшего исполнения;
- проведения Оператором акций, опросов, исследований;
- предоставления Субъекта персональных данных доступа к персонализированным ресурсам Сайта.
- установления с Субъектом персональных данных обратной связи, включая направление уведомлений, запросов, касающихся использования Сайта, оказания услуг, обработку запросов и заявок от Субъекта персональных данных.
- определения места нахождения Субъекта персональных данных для обеспечения безопасности, предотвращения мошенничества.
- подтверждения достоверности и полноты персональных данных, предоставленных Субъектом персональных данных.
- уведомления Субъекта персональных данных Сайта.
- предоставления Субъекту персональных данных эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием Сайта.
- осуществления рекламной деятельности с согласия Субъекта персональных данных.
- предоставления Субъекту персональных данных информации об оказываемых Оператором услугах, о разработке Оператором новых продуктов и услуг; об услугах дочерних обществ Оператора;
- информирования Субъекта персональных данных о предложениях по продуктам и услугам Оператора;
- ведения кадровой работы и организации учета Работников Оператора;
- привлечения и отбора Кандидатов на работу у Оператора;
- формирования статистической отчетности и иной отчетности предоставляемой в государственные органы.
- осуществления Оператором Административно-хозяйственной деятельности;
а также для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.
6. Классификация персональных данных и Субъектов персональных данных
6.1. К персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных), обрабатываемая Оператором для достижения заранее определенных целей.
6.2. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни, судимости физических лиц, если иное не установлено законодательством Российской Федерации.
6.3. Оператор осуществляет обработку персональных данных следующих категорий Субъектов персональных данных:
- физические лица, являющиеся Кандидатами;
- физические лица, являющиеся Работниками Оператора;
- физические лица, осуществляющие выполнение работ по оказанию услуг и заключившие с Оператором договор гражданско-правового характера;
- физические лица, входящие в органы управления Оператора;
- физические лица, приобретшие или намеревающиеся приобрести услуги Оператора, услуги третьих лиц при посредничестве Оператора или не имеющие с Оператором договорных отношений при условии, что их персональные данные включены в автоматизированные системы Оператора в связи с оказанием Оператором услуг своим Клиентам и обрабатываются в соответствии с Законодательством о персональных данных;
- физические лица, не относящиеся к Клиентам Оператора, заключившие или намеревающиеся заключить с Оператором договорные отношения в связи с осуществлением Оператором административно-хозяйственной деятельности при условии, что их персональные данные включены в автоматизированные системы Оператора и обрабатываются в соответствии с Законодательством о персональных данных;
- физические лица, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным Законодательством о персональных данных;
- иные физические лица, выразившие согласие на обработку Оператором их персональных данных или физические лица, обработка персональных данных которых необходима Оператору для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
7. Организация системы управления процессом обработки персональных данных
7.1. Обработка персональных данных Субъекта персональных данных осуществляется с его согласия на обработку персональных данных, а также без такового, если Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных, а также для заключения договора по инициативе Субъекта персональных данных или договора, по которому Субъект персональных данных будет являться выгодоприобретателем или поручителем или в иных случаях, предусмотренных Законодательством о персональных данных.
7.2. Оператор вправе поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом. Такая Обработка персональных данных осуществляется только на основании договора, заключенного между Оператором и третьим лицом, в котором должны быть определены:
- перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных;
- цели обработки персональных данных;
- обязанности третьего лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, а также требования к защите обрабатываемых персональных данных.
7.3. Оператор осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.
7.4. Оператор несет ответственность перед Субъектом персональных данных за действия лиц, которым Оператор поручает обработку персональных данных Субъекта персональных данных.
7.5. Доступ к обрабатываемым персональным данным предоставляется только тем Работникам Оператора, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.
7.6. Обработка персональных данных прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного законом, договором, или согласием Субъекта персональных данных на обработку его персональных данных. При отзыве Субъектом персональных данных согласия на обработку его персональных данных Обработка осуществляется только в пределах, необходимых для исполнения заключенных с ним договоров и в целях, предусмотренных законодательством Российской Федерации.
7.7. Обработка персональных данных осуществляется с соблюдением конфиденциальности, под которой понимается обязанность не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
7.8. Оператор обеспечивает конфиденциальность персональных данных Субъекта персональных данных со своей стороны, со стороны своих аффилированных лиц, со стороны своих Работников, имеющих доступ к персональным данным физических лиц, а также обеспечивает использование персональных данных вышеуказанными лицами исключительно в целях, соответствующих закону, договору или иному соглашению, заключенному с Субъектом персональных данных.
7.9. Обеспечение безопасности обрабатываемых персональных данных осуществляется Оператором в рамках единой комплексной системы организационно-технических и правовых мероприятий по защите информации, составляющей коммерческую тайну, с учетом требований Законодательства о персональных данных, принятых в соответствии с ним нормативных правовых актов. Система информационной безопасности Оператора непрерывно развивается и совершенствуется на базе требований международных и национальных стандартов информационной безопасности, а также лучших мировых практик.
8. Права Субъекта персональных данных
8.1. Субъект Персональных данных имеет право на получение информации, касающейся Обработки его Персональных данных, в том числе содержащей:
- подтверждение факта Обработки Персональных данных Оператором;
- правовые основания и цели Обработки Персональных данных;
- цели и применяемые Оператором способы Обработки Персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к Персональным данным или которым могут быть раскрыты Персональные данные на основании договора с Оператором или на основании федерального закона;
- обрабатываемые Персональные данные, относящиеся к соответствующему Субъекту Персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки Обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления Субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
- информацию об осуществленной или о предполагаемой Трансграничной передаче Персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего Обработку Персональных данных по поручению Оператора, если Обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
8.2. Право Субъекта персональных данных на получение информации, касающейся Обработки его Персональных данных, может быть ограничено в случаях, установленных Федеральным законом «О персональных данных».
8.3. Согласие на Обработку Персональных данных может быть отозвано Субъектом Персональных данных. В случае отзыва Субъектом Персональных данных согласия на Обработку Персональных данных Оператор вправе продолжить Обработку Персональных данных без согласия Субъекта Персональных данных при наличии оснований, указанных в Федеральном законе «О персональных данных».
8.4. Субъект Персональных данных имеет также иные права, установленные Федеральным законом «О персональных данных».
9. Обязанности Оператора
9.1. В случаях, установленных законодательством Российской Федерации в области Персональных данных, Оператор обязан предоставить Субъекту Персональных данных или его представителю при обращении либо при получении запроса от Субъекта Персональных данных или его представителя информацию, предусмотренную п. 8.1 настоящей Политики.
9.2. Оператор при сборе Персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение Персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Федеральным законом «О персональных данных».
9.3. Оператор несет иные обязанности, установленные Федеральным законом «О персональных данных».
10. Сведения о реализуемых требованиях к защите персональных данных
10.1. Важнейшим условием реализации целей деятельности Оператора является обеспечение необходимого и достаточного уровня безопасности информационных систем персональных данных, соблюдения конфиденциальности, целостности и доступности обрабатываемых персональных данных и сохранности носителей сведений, содержащих персональные данные на всех этапах работы с ними.
10.2. Созданные Оператором условия и режим защиты информации, отнесенной к персональным данным, позволяют обеспечить защиту обрабатываемых персональных данных.
10.3. Оператором в соответствии с действующим законодательством Российской Федерации разработан и введен в действие комплекс организационно-распорядительных, функциональных и планирующих документов, регламентирующих и обеспечивающих безопасность обрабатываемых персональных данных.
10.4. Введены режим безопасности обработки и обращения с персональными данными, а также режим защиты помещений, в которых осуществляется обработка и хранение носителей персональных данных.
10.5. Назначены ответственный за организацию и обеспечение безопасности персональных данных, администраторы информационных систем персональных данных и администратор безопасности информационных систем персональных данных, им определены обязанности и разработаны инструкции по обеспечению безопасности информации.
10.6. Определены требования к персоналу, степень ответственности работников за обеспечение безопасности персональных данных.
10.7 Проведено ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации по обеспечению безопасности персональных данных и требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. Проводится периодическое обучение указанных работников правилам обработки персональных данных.
10.8 Предприняты необходимые и достаточные технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий:
10.8.1 Введена система разграничения доступа.
10.8.2 Установлена защита от несанкционированного доступа к автоматизированным рабочим местам, информационным сетям и базам персональных данных.
10.8.3 Установлена защита от вредоносного программно-математического воздействия.
10.8.4 Осуществляется регулярное резервное копированием информации и баз данных.
10.8.5. Передача информации по сетям общего пользования осуществляется с использованием средств криптографической защиты информации.
10.9 Организована система контроля за порядком обработки персональных данных и обеспечения их безопасности. Спланированы проверки соответствия системы защиты персональных данных, аудит уровня защищенности персональных данных в информационных системах персональных данных, функционирования средств защиты информации, выявления изменений в режиме обработки и защиты персональных данных.
11. Ответственность
11.1. Контроль исполнения требований настоящей Политики осуществляется Ответственным за организацию Обработки персональных данных.
11.2. Лица, виновные в нарушении норм, регулирующих Обработку персональных данных и защиту обрабатываемых Оператором Персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.