Великий Новгород
Колмовская наб., 11а
Автосалон
+7 (921) 695-12-34
Сервис
+7 (921) 695-12-34
Выберите офис
Выберите офис
  • Колмовская наб., 11а
Выберите офис
Выберите офис
  • АВТОЦЕНТРГАЗ РУС-АВТО ТРЕЙД (Колмовская наб., 11а)

Приложение № 1

к приказу № 4 от 01.08.2019г.

«Утверждаю»

Генеральный директор

ООО «РУС-Авто Трейд»


______________ Г.Т. Колбая

«____»______________ 2019 г.

Политика защиты и обработки персональных данных

в ООО «РУС-Авто Трейд»»


1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных оператором ООО «РУС-Авто Трейд» (далее - Оператор).

1.2. Политика разработана на основе и в соответствии с требованиями:

- Конституции Российской Федерации;

- Трудового кодекса Российской Федерации;

- Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

- Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

- иных нормативных правовых актов Российской Федерации и нормативные документы уполномоченных органов государственной власти,

и действует в отношении всех персональных данных (далее – ПД), которые Оператор может получить от субъекта персональных данных, являющегося стороной по гражданско-правовому договору (далее – клиент), а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством.

1.3. Оператор обеспечивает защиту обрабатываемых ПД от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

2. Термины и принятые сокращения

Персональные данные (ПД) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных (ИСПД) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Персональные данные, сделанные общедоступными субъектом персональных данных, - ПД, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Оператор - организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является ООО «РУС-Авто Трейд», расположенное по адресу: 173002, г.Великий Новгород, ул.Германа, д.21а.

Пользователь сайта (пользователь) - человек, посетивший данный сайт, а также пользующийся его программами и продуктами.

Cookies - короткий фрагмент данных, пересылаемый веб-браузером или веб-клиентом веб-серверу в HTTP-запросе, всякий раз, когда Пользователь пытается открыть страницу сайта Оператора. Фрагмент хранится на компьютере Пользователя.

IP-адрес - уникальный сетевой адрес узла. в компьютерной сети, построенной по протоколу TCP/

2. Политика конфиденциальности

2.1. Согласно проводимой Политике администрация сайта Оператора обязана не разглашать ПД, сообщаемые пользователями, регистрирующимися на сайте Оператора, а также обеспечивать этим данным абсолютную конфиденциальность.

4.2. Чтобы сообщить ПД, пользователь заполняет расположенные на сайте электронные формы. Персональными данными пользователя, которые подлежат обработке, являются:

- его фамилия, имя, отчество;

- его контактный телефон;

- данные о его автомобиле, в некоторых случаях.

4.3. Защита данных, автоматически передаваемых при просмотре рекламных блоков и посещении страниц с установленными на них статистическими скриптами системы (пикселями) осуществляется сайтом. Перечень этих данных:

- IP-адрес;

- сведения из cookies;

- сведения о браузере (либо другой программе, через которую становится доступен показ рекламы);

- время посещения сайта;

- адрес страницы, на которой располагается рекламный блок;

- реферер (адрес предыдущей страницы).

4.4. Последствием отключения cookies может стать невозможность доступа к некоторым разделам сайта.

4.5. Сайт собирает статистику об IP-адресах всех посетителей. Данные сведения нужны, чтобы выявить и решить технические проблемы и проконтролировать, насколько законным будет проведение финансовых платежей.

4.6. Любые другие неоговорённые выше персональные сведения надёжно хранятся и не распространяются. Исключение предусматривается для случаев, описанных в п.3.2.1 Политики.

3. Обработка персональных данных

3.1. Получение персональных данных.

3.1.1. Все персональные данные субъекта ПД получаются у него лично с его письменного согласия либо в электронном виде, после прочтения согласия и нажатия соответствующей кнопки, кроме случаев, предусмотренных законами РФ.

Согласие субъекта ПД на использование его ПД хранится у Оператора в бумажном и/или электронном виде.

Согласие субъекта ПД действует в течение всего срока действия договора, а также в течение 10 лет с даты прекращения действия договорных отношений субъекта ПД с Оператором. По истечении указанного срока действие согласия считается продленным на каждые следующие пять лет при отсутствии сведений о его отзыве.

3.1.2. Все ПД следует получать от самого субъекта. Если ПД субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.

3.1.3. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПД, характере подлежащих получению ПД, перечне действий с ПД, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.

3.2. Обработка персональных данных.

3.2.1. Обработка ПД субъектов ПД без их согласия осуществляется в следующих случаях:

- персональные данные являются общедоступными;

- по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом;

- на основании федерального закона, устанавливающего цель обработки ПД, условия получения ПД и круг субъектов, ПД которых подлежат обработке, а также определяющего полномочия Оператора;

- в целях заключения и исполнения договора, одной из сторон которого является субъект ПД (клиент);

- для статистических целей при условии обязательного обезличивания ПД;

- в иных случаях, предусмотренных законом.

3.2.2. Цели обработки персональных данных.

ПД обрабатываются Оператором в следующих целях:

1.) осуществление и выполнение возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, в частности:

- выполнение требований законодательства в сфере труда и налогообложения;

- ведение текущего бухгалтерского и налогового учёта, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической отчётности;

- выполнение требований законодательства по определению порядка обработки и защиты ПД граждан, являющихся клиентами или контрагентами Оператора;

2.) осуществление прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Оператора, в частности:

- автоматизации, оптимизации операционной деятельности Оператора;

- использования для автоматизации процессов формирования первичных документов (договоров, счетов на оплату, универсальных передаточных документов, различных актов, паспортов транспортных средств, наряд-заказов, предварительных наряд-заказов, накладных и т.п.);

- идентификации клиента при его обращении к Оператору по телефону и/или электронным средствам связи, при осуществлении основных видов деятельности Оператора;

- использования для автоматизации процессов документарного оформления бизнес–процессов при продаже автомобилей, оказании услуг (выполнения работ) по ремонту и техническому обслуживанию автомобилей и формирования отчетов, при продаже запчастей, аксессуаров;

- формирования единой клиентской базы покупателей автомобилей для автоматизации задач послепродажного обслуживания и маркетинга;

- обеспечения рекламной деятельности Оператора;

- использования для автоматизации процессов формирования отчетных документов по деятельности страховых агентов;

- ведения и актуализации клиентской базы;

- получения и исследования статистических данных об объемах продаж и качестве оказываемых услуг;

- изучения конъюнктуры рынка автомобилей, автомобильных запасных частей и аксессуаров, услуг по ремонту автомобилей;

- проведению опросов и исследований, направленных на выявление удовлетворенности / неудовлетворенности клиентов, постоянного совершенствования уровня предоставляемых услуг;

- реализации страховых продуктов, в том числе, но не ограничиваясь, оформление полисов КАСКО, ОСАГО и т.д.;

- технической поддержки при обработке информации, документации и ПД с использованием средств автоматизации и без такого использования.

3) в иных законных целях.

3.2.3. Категории субъектов персональных данных.

Обработке Оператором подлежат ПД следующих субъектов ПД:

- сотрудники Оператора;

- клиенты Оператора;

- контрагенты Оператора;

- физические лица, обратившиеся к Оператору в порядке, установленном Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации».

Состав ПД каждой из перечисленных в настоящем пункте категории субъектов определяется согласно нормативным документам, перечисленным в п.1.2 Политики, а также нормативным документом Оператора, изданным для обеспечения их исполнения.

3.2.4. Оператор обеспечивает соответствие содержания и объема обрабатываемых ПД заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

5.5. Обработка специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в ООО «РУС-Авто Трейд» не осуществляется.

3.2.5. Обработка ПД ведется следующим способами:

- не автоматизированная обработка персональных данных;

- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

- смешанная обработка персональных данных.

3.2.6. Субъект ПД может в любой момент отозвать свое согласие на обработку сведений.

3.3. Хранение персональных данных.

3.3.1. Персональные данные субъектов ПД могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

3.3.2. Персональные данные субъектов ПД на бумажных носителях хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.

3.3.3. Персональные данные субъектов ПД в электронном виде хранятся в локальной компьютерной сети Оператора, в электронных папках и файлах на сервере Оператора.

Защита доступа к электронным базам данных, содержащим ПД субъектов ПД, обеспечивается:

- разграничением прав доступа с использованием учетной записи;

- системой паролей: на уровне локальной компьютерной сети. Пароли устанавливаются системным администратором Оператора и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным субъектов ПД.

3.3.4. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.

3.3.5. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Исключения составляют:

- персональные данные, которые должны храниться длительное время в силу требований нормативных правовых актов;

- кандидат на работу желает остаться в кадровом резерве.

3.4. Уничтожение персональных данных.

3.4.1. Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

3.4.2. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.

3.5. Передача персональных данных.

3.5.1. Оператор передает ПД третьим лицам в следующих случаях:

- субъект выразил свое согласие на такие действия;

- передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.

3.5.2. Перечень лиц, которым передаются ПД:

- лица, в отношении которых субъект ПД дал своё согласие;

- Пенсионный фонд РФ для учета (на законных основаниях);

- налоговые органы РФ (на законных основаниях);

- иные государственные органы (на законных основаниях);

- банки для начисления заработной платы (на основании договора);

- органы МВД России в случаях, установленных законодательством.

4. Защита персональных данных

4.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.

4.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.

4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.

4.5. Основными мерами защиты ПД, используемыми Оператором, являются:

- назначение лица, ответственного за обработку ПД.

Доступ к ПД имеют только те сотрудники Оператора, кому это необходимо для исполнения должностных обязанностей. Они проходят процедуру допуска, в процессе которой обучаются методам и способам безопасной обработки персональных данных.

Права, обязанности и ответственность сотрудников Оператора, обрабатывающих ПД, закрепляются в их трудовых договорах, должностных инструкциях. Они дают отдельное письменное обязательство о неразглашении конфиденциальных сведений, в т. ч. после увольнения их из ООО «РУС-Авто Трейд».

- определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мер и мероприятий по защите ПД;

- установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД;

- установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;

- применение сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами;

- соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ;

- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер. Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- осуществление внутреннего контроля и аудита.

5. Основные права субъекта ПД и обязанности Оператора

5.1. Основные права субъекта ПД.

5.1.1. Субъект имеет право на доступ к его персональным данным и следующим сведениям:

- подтверждение факта обработки ПД Оператором;

- правовые основания и цели обработки ПД;

- цели и применяемые Оператором способы обработки ПД;

- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона;

- сроки обработки персональных данных, в том числе сроки их хранения;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту Пдн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- порядок осуществления субъектом ПД прав, предусмотренных настоящим Федеральным законом;
- наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Оператора, если обработка поручена или будет поручена такому лицу;

- обращение к Оператору и направление ему запросов;

- обжалование действий или бездействия Оператора.

5.1.2. Субъект ПД вправе требовать от Оператора уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5.1.3. Сведения предоставляются субъекту ПД или его представителю Оператором при обращении либо при получении запроса субъекта ПД или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПД или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПД в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПД Оператором, подпись субъекта ПД или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.

Оператор вправе отказать субъекту ПД в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.

5.2. Обязанности Оператора. Оператор обязан:

- при сборе ПД предоставить информацию об обработке ПД;

- в случаях если ПД были получены не от субъекта ПД, уведомить субъекта;

- при отказе в предоставлении ПД субъекту разъясняются последствия такого отказа;

- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;

– принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;

– давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.

6. Заключительные положения

6.1. Работодатель обязан ознакомить работников с настоящим Положением, а также с внесенными в него изменениями и дополнениями под роспись с указанием даты

6.2. Изменения и дополнения в настоящее Положение вносятся в порядке, установленном ст. 372 ТК РФ для принятия локальных нормативных актов.