ПОЛИТИКА В ОБЛАСТИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО «АВТОМАРТ-С»
УТВЕРЖДЕНО:
Приказом директора
ООО «АВТОМАРТ-С»»
№ 03 от «01» июня 2017 г.
- ОБЩИЕ ПОЛОЖЕНИЯ
- Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с п. 2 ст. 18.1 Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 года, а также иных нормативно-правовых актов Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее Данных), которые ООО «АВТОМАРТ-С» (далее – Компания, Оператор) может получить от субъектов персональных данных – работников Компании в связи с реализацией трудовых отношений, Клиентов и контрагентов Компании в связи с осуществлением Компании уставной деятельности, в качестве Оператора в соответствие с основными терминами и понятиями, определенными ФЗ «О персональных данных».
- Важнейшим условием реализации целей Компании, является обеспечение необходимого и достаточного уровня информационной безопасности, к которым в том числе относятся персональные данные и технологические процессы, в рамках которых они обрабатываются.
- Обеспечение безопасности персональных данных является одной из приоритетных задач Компании. В Компании введен в действие комплекс локальных документов Компании в отношении персональных данных, который является обязательным для исполнения. Обработка и обеспечение безопасности информации, отнесенной к персональным данным, в Компании осуществляется в соответствии с комплексом локальных документов Компании в отношении персональных данных, что позволяет обеспечить защиту персональных данных, обрабатываемых как в информационных системах персональных данных, так и в иных информационных системах, в которых персональные данные обрабатываются совместно с информацией, защищаемой в соответствии с требованиями, установленными для этой информации.
- Настоящая Политика определяет принципы, порядок и условия обработки персональных данных работников, клиентов и контрагентов Компании, чьи персональные данные обрабатываются Компанией, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность работников Компании, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
- Политика определяет стратегию защиты персональных данных, обрабатываемых в Компании и формулирует основные принципы и механизмы защиты персональных данных.
- Политика является основным руководящим документом Компании, определяющим требования, предъявляемые к обеспечению безопасности персональных данных. Безопасность персональных данных достигается путем исключения несанкционированного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, иные несанкционированные действия. Безопасность персональных данных при их обработке обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в информационной системе информационные технологии. Персональные данные являются конфиденциальной информацией и на них распространяются все требования, установленные внутренними документами Компании к защите конфиденциальной информации.
- При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Компания обязана обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных».
- Обработка персональных данных необходима для исполнения договора, стороной которого, либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе, в случае реализации Компанией своего права на уступку права (требования) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
- Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в Компании вопросы обработки и защиты персональных данных работников Компании, Клиентов и контрагентов Компании и других субъектов персональных данных.
- Действие Политики распространяется на все персональные данные субъектов, обрабатываемые Компанией с применением средств автоматизации и без применения таких средств.
- Настоящая Политика вводится в действие приказом (директора/генерального директора) Компании.
- ПЕРЕЧЕНЬ ЗАКОНОДАТЕЛЬНЫХ И ИНЫХ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ, РЕГЛАМЕНТИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМПАНИИ
2.1. Политика обработки и защиты персональных данных в Компании определяется в соответствии со следующими нормативными правовыми актами:
- Конституцией Российской Федерации от 12.12.1993;
- Трудовым Кодексом Российской Федерации от 30.12.2001 № 197‑ФЗ;
- Гражданским кодексом Российской Федерации от 30.11.1994 № 51‑ФЗ;
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Законом Российской Федерации от 07.02.1992 № 2300-1 «О защите прав потребителей»;
- Федеральным законом от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
- постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказом Министерства здравоохранения и социального развития Российской Федерации (Минздравсоцразвития России) от 12.04.2011 № 302н «Об утверждении перечней вредных и (или) опасных производственных факторов и работ, при выполнении которых проводятся обязательные предварительные и периодические медицинские осмотры (обследования), и Порядка проведения обязательных предварительных и периодических медицинских осмотров (обследований) работников, занятых на тяжелых работах и на работах с вредными и (или) опасными условиями труда»;
- Приказом Минкультуры Российской Федерации от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»;
- Уставом Компании;
- иными федеральными и ведомственными нормативными правовыми актами и локальными актами Компании.
2.2. Для регламентирования процедур и процессов обработки персональных данных Компания вправе издавать внутренние нормативные документы, содержащие требования по защите и порядку обработки персональных данных.
- ОСНОВНЫЕ ПОНЯТИЕ И ТЕРМИНЫ
- Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
- Информация— сведения (сообщения, данные) независимо от формы их представления.
- Оператор— государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
- Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
- Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
3.6. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
3.7. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
3.8. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3.9. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
3.10. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
3.11. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
3.12. Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3.13. Общество – Компания.
3.14. Клиенты – физические лица и юридические лица, с которыми у Компании установлены в настоящее время, ранее уже были установлены гражданско-правовые отношения, либо которые своими действиями выражают намерение установить такие отношения.
3.15. Посетители – физические лица, в отношении которых осуществляются мероприятия по контролю доступа на защищаемые объекты Компании.
3.16. Сотрудники – штатные работники Компании, между которыми и Компанией заключен трудовой договор, либо внештатные совместители на основании гражданско-правовых договоров.
- ПРИНЦИПЫ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ КОМПАНИИ
4.1. Обработка персональных данных в Компании осуществляется на основе следующих принципов:
4.1.1. Законность — защита персональных данных основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты персональных данных;
4.1.2. Системность — обработка персональных данных в Компании осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных;
4.1.3. Комплексность — защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Компании (далее — ИС) и других имеющихся в Компании систем и средств защиты;
4.1.4. Непрерывность — защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных, в том числе при проведении ремонтных и регламентных работ;
4.1.5. Своевременность — меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки;
4.1.6. Преемственность и непрерывность совершенствования — модернизация и наращивание мер и средств защиты персональных данных осуществляется на основании результатов анализа практики обработки персональных данных в Компании с учетом выявления новых способов и средств реализации угроз безопасности персональных данных, отечественного и зарубежного опыта в сфере защиты информации;
4.1.7. Персональная ответственность — ответственность за обеспечение безопасности персональных данных возлагается на Работников в пределах их обязанностей, связанных с обработкой и защитой персональных данных;
4.1.8. Минимизация прав доступа — доступ к персональным данным предоставляется Работникам только в объеме, необходимом для выполнения их должностных обязанностей;
4.1.9. Гибкость — обеспечение выполнения функций защиты персональных данных при изменении характеристик функционирования ИСПДн Компании, а также объема и состава обрабатываемых персональных данных;
4.1.10. Открытость алгоритмов и механизмов защиты — структура, технологии и алгоритмы функционирования системы защиты персональных данных Компании (далее — СЗПДн) не дают возможности преодоления имеющихся в Компании систем защиты возможными нарушителями безопасности персональных данных;
4.1.11. Научная обоснованность и техническая реализуемость — уровень мер по защите персональных данных определяется современным уровнем развития информационных технологий и средств защиты информации;
4.1.12. Специализация и профессионализм — реализация мер по обеспечению безопасности персональных данных и эксплуатация СЗПДн осуществляются Работниками, имеющими необходимые для этого квалификацию и опыт;
4.1.13. Эффективность процедур отбора кадров и выбора контрагентов: кадровая политика Компании предусматривает тщательный подбор персонала и мотивацию Работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности персональных данных; минимизация вероятности возникновения угрозы безопасности персональных данных, источники которых связаны с человеческим фактором, обеспечивается получением наиболее полной информации о контрагентах Компании до заключения договоров;
4.1.14. Наблюдаемость и прозрачность — меры по обеспечению безопасности персональных данных должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;
4.1.15. Непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты персональных данных, а результаты контроля регулярно анализируются.
- СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ КОМПАНИИ
- В Компании происходит обработка, передача, накопление и хранение информации, содержащей персональные данные и в соответствии с действующим законодательством Российской Федерации подлежащей защите.
- Цель обработки информации, содержащей персональные данные — осуществление Компанией своей основной деятельности в соответствии с Уставом.
- Определен следующий перечень обрабатываемых персональных данных:
- Компания обрабатывает следующие категории персональных данных в связи с реализацией трудовых отношений:
— фамилия, имя, отчество;
— дата, месяц, год рождения;
— место рождения;
— адрес места жительства;
— сведения о составе семьи;
— образование;
— сведения о трудовом и общем стаже;
— паспортные данные;
— сведения о воинском учете;
— ИНН; налоговый статус (резидент/нерезидент);
— сведения о заработной плате работника;
— сведения о социальных льготах;
— специальность;
— занимаемая должность;
— телефон;
— место работы или учебы членов семьи и родственников;
— содержание трудового договора;
— состав декларируемых сведений о наличии материальных ценностей;
— содержание декларации, подаваемой в налоговую инспекцию;
— данные водительских удостоверений
— иную, не указанную выше информацию, содержащуюся в личных делах и трудовых книжках сотрудников, информацию, являющуюся основанием к приказам по личному составу;
— информацию, содержащуюся в страховом свидетельстве обязательного пенсионного страхования, свидетельстве о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации, страховом медицинском полисе обязательного медицинского страхования граждан, медицинском заключении установленной формы об отсутствии у гражданина заболевания, препятствующего поступлению на работу в Компанию;
— дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
5.3.2. Для целей осуществления уставной (коммерческой) деятельности в Компании обрабатываются следующие категории персональных данных клиентов и контрагентов:
— фамилия, имя, отчество;
— адрес электронной почты;
— паспортные данные;
— ИНН;
— адрес места жительства;
— телефон;
— данные о принадлежащем клиенту транспортном средстве, марка, государственный регистрационный номер, идентификационные данные
— иные сведения указанные заявителем.
- ЦЕЛИ СБОРА, ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ КОМПАНИИ
- Компания осуществляет обработку персональных данных в следующих целях:
— осуществления деятельности, предусмотренной Уставом Компании, действующим законодательством РФ;
— заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическими лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и Уставом Компании;
— обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации Оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
— организации кадрового учета Компании, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также Уставом и локальными актами Компании.
6.2. С согласия субъекта персональных данных, Компания может использовать персональные данные клиентов и контрагентов в следующих целях:
— для связи с клиентами и контрагентами в случае необходимости, в том числе для направления уведомлений, информации и запросов, связанных с оказанием услуг, а также обработки заявлений, запросов и заявок клиентов и контрагентов;
— для улучшение качества услуг, оказываемых Компанией;
— для продвижения услуг на рынке путем осуществления прямых контактов с клиентами и контрагентами;
— для проведения статистических и иных исследований на основе обезличенных персональных данных.
- ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
- Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные работников, клиентов и контрагентов третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.
- Оператор передает персональные данные третьим лицам в следующих случаях:
— субъект персональных данных выразил свое согласие на такие действия;
— передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.
- По мотивированному запросу исключительно для выполнения возложенных законодательством функций и полномочий персональные данные субъекта персональных данных без его согласия могут быть переданы:
— в судебные органы в связи с осуществлением правосудия;
— в органы государственной безопасности;
— в органы прокуратуры;
— в органы полиции;
— в следственные органы;
— в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.
- Работники Компании, ведущие обработку персональных данных, не отвечают на вопросы, связанные с передачей персональных данных по телефону или факсу.
- УСЛОВИЯ ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ
- Компания вправе поручить обработку персональных данных третьим лицам, только если это необходимо для достижения целей обработки персональных данных и существенным условием договора является обязанность обеспечения третьей стороной конфиденциальности персональных данных и безопасности персональных данных при их обработке.
- Поручение обработки персональных данных третьим лицам без юридических обязательств третьего лица по соблюдению конфиденциальности и применению мер технической защиты персональных данных в соответствии с требованиями ст.19 №152-ФЗ «О персональных данных» не допускается.
- Поручение обработки Компанией персональных данных третьим лицам производится с согласия субъектов персональных данных, а также на иных законных основаниях.
- Третьи лица, которым передаются ПД:
— Пенсионный фонд РФ для учета (на законных основаниях);
— Налоговые органы РФ (на законных основаниях);
— Фонд социального страхования (на законных основаниях);
— Территориальный фонд обязательного медицинского страхования (на законных основаниях);
— Страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);
— Банки для начисления заработной платы (на основании договора);
— Органы МВД в случаях, установленных законодательством.
- СУБЪЕКТЫ И КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- В Компании обрабатываются персональные данные следующих категорий субъектов персональных данных:
— физические лица, состоящие с Компанией в трудовых отношениях,
— физические лица, являющиеся близкими родственниками сотрудников Компании;
— физические лица, уволившиеся из Компании;
— физические лица, являющиеся кандидатами на работу;
— физические лица, состоящие в договорных и иных гражданско-правовых отношениях с Компанией
— физические лица – работники сторонних организаций, работающие по договорам гражданско-правового характера;
— физические лица — клиенты Компании;
— физические лица: потенциальные клиенты Компании, предоставившие согласие на обработку их персональных данных, в том числе предоставившие согласия на получение рекламы и информационных рассылок по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи в письменной или электронной форме, подписанной электронной подписью;
— пользователи официального сайта Компании (сервисов «Личный кабинет» и подсайтов Компании), являющиеся стороной пользовательского соглашения с Компанией либо предоставившие согласие на обработку их персональных данных.
- ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Период обработки и хранения персональных данных определяется в соответствии с №152-ФЗ «О персональных данных».
- Получение персональных данных:
10.2.1 Все персональные данные необходимо получать от самого субъекта персональных данных. Если персональные данные субъекта можно получить только у третьей стороны, то Субъект должен быть уведомлен об этом или от него должно быть получено согласие.
10.2.2. Оператор должен сообщить Субъекту о целях, предполагаемых источниках и способах получения ПД, характере подлежащих получению ПД, перечне действий с ПД, сроке, в течение которого действует согласие и порядке его отзыва, а также о последствиях отказа Субъекта дать письменное согласие на их получение.
10.2.3. Документы, содержащие ПД создаются путем:
— копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);
— внесения сведений в учетные формы;
— получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).
- Обработка персональных данных.
10.3.1 Обработка персональных данных ведется:
— с использованием средств автоматизации
— без использования средств автоматизации
10.3.2 Обработка персональных данных осуществляется:
— с передачей по внутренней сети юридического лица;
— с передачей по сети Интернет
10.3.3 Перечень действий Оператора по обработке персональных данных:
— сбор,
— запись,
— систематизация,
— накопление,
— использование,
— хранение,
— уточнение (обновление, изменение),
— извлечение,
— передача (предоставление, распространение, доступ),
— обезличивание,
— блокирование,
— удаление,
— уничтожение.
- Хранение персональных данных.
10.4.1 Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
10.4.2 В случае получения согласия клиента (или контрагента) на обработку персональных данных в целях продвижения услуг Компании на рынке путем осуществления прямых контактов с помощью средств связи, данные клиента (или контрагента) хранятся бессрочно (до отзыва субъектом персональных данных согласия на обработку его персональных данных).
10.4.3 Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
10.4.4 Персональные данные, зафиксированные на бумажных носителях хранятся в запираемых шкафах, либо в запираемых помещениях с ограниченным правом доступа.
10.4.5 Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках (вкладках).
10.4.6 Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в ИСПД.
10.4.7 Хранение персональных данных в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
- ДОСТУП К ОБРАБАТЫВАЕМЫМ ПЕРСОНАЛЬНЫМ ДАННЫМ
- Доступ к обрабатываемым в Компании персональным данным имеют:
— лица, уполномоченные приказом Компании,
— лица, которым Компания поручила обработку Персональных данных на основании заключенного договора,
— лица, чьи персональные данные подлежат обработке.
- Доступ Работников к обрабатываемым персональным данным осуществляется в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов Компании.
- Допущенные к обработке персональных данных Работники под роспись знакомятся с документами Компании, устанавливающими порядок обработки персональных данных, включая документы, устанавливающие права и обязанности конкретных Работников.
- Порядок доступа субъекта персональных данных к его персональным данным, обрабатываемым Компанией, определяется в соответствии с законодательством и определяется внутренними регулятивными документами Компании.
- ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1 Основными мерами защиты персональных данных являются:
— разработка и утверждение Политики в отношении обработки персональных данных,
— принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
— ограничение круга должностных лиц имеющих доступ к базе персональных данных;
— использование паролей (кодов) доступа к ПЭВМ, к локальной вычислительной сети; программе 1 С;
— использование специальных программ защиты персональных данных (антивирусные программы, межсетевые экраны);
— отсутствие доступа к базе персональных данных из внешней сети;
— запись и ведение учета телефонных разговоров в Компании, привлечение организации, обеспечивающей сохранность и ограничение доступа к ним;
— хранение информации на бумажных и (или) электронных носителях в сейфах, специально оборудованных помещениях;
— оборудование помещений сигнализацией;
— сдача помещений под охрану;
— издание распорядительных документов и назначение лиц ответственных за выполнение мероприятий по защите персональных данных.
— оборудование помещений системами видеонаблюдения;
— учет материальных носителей информации путем маркировки и занесения сведений о них в журналы учета;
— регистрация выдачи и возврата материальных носителей персональных данных;
— идентификация и проверка права доступа пользователя при входе в систему;
— регистрация начала и окончания работы с базой персональных данных с указанием данных пользователя;
— регистрация попыток доступа или случаев несанкционированного доступа в систему;
— наличие и использование средств восстановления системы защиты персональных данных, их периодическое обновление и контроль работоспособности.
— осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 26.07.2006 № 152‑ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами требованиям к защите персональных данных, настоящей Политике, локальным нормативным актам Компании.
12.2 Компания не вправе обрабатывать персональные данные субъекта персональных данных без его письменного согласия, за исключением случаев, приведенных в п. 2 ст. 6 Федерального закона №152-ФЗ «О персональных данных». Письменное согласие может быть составлено в виде отдельного документа или быть внедрено в структуру иного документа, подписываемого субъектом персональных данных.
- УСЛОВИЯ ПРЕКРАЩЕНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Компания обязана прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) в случаях:
— достижения цели обработки персональных данных
— если сохранение персональных данных более не требуется для целей обработки персональных данных
— если Компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных
- Оператор обязан уничтожить или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных или с даты отзыва согласия субъекта персональных данных.
- ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Ответственным за уничтожение персональных данных является лицо, ответственное за организацию обработки и обеспечение безопасности персональных данных.
- При наступлении любого из событий, повлекших необходимость уничтожения персональных данных, лицо ответственные за организацию обработки и обеспечение безопасности персональных данных обязано:
— принять меры к уничтожению персональных данных;
— оформить соответствующий Акт об уничтожении персональных данных (и/или- материальных носителей персональных данных). Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) подлежит утверждению Генеральным директором Компании;
— в случае необходимости уведомить об уничтожении персональных данных субъекта персональных данных и/или уполномоченный орган.
- Уничтожение документов (носителей), содержащих персональные данные производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
- Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
- ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Субъект персональных данных имеет право на доступ к его персональным данным и следующим сведениям:
— подтверждение факта обработки персональных данных Оператором;
— правовые основания и цели обработки персональных данных;
— цели и применяемые оператором способы обработки персональных данных;
— наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
— сроки обработки персональных данных, в том числе сроки их хранения;
— порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
— обращения к оператору и направлению ему запросов;
— обжалование действий или бездействия оператора.
— требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
— требовать перечень своих персональных данных, обрабатываемых Компанией и получать информацию о сроках обработки своих персональных данных, в том числе источник их получения;
— числе о сроках их хранения;
— требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
15.2. Для реализации вышеуказанных прав субъект персональных данных, может в порядке, установленном ст.14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», обратиться в Компанию с соответствующим запросом.
15.3. Для выполнения таких запросов представителю Компании может потребоваться установить личность субъекта персональных данных и запросить дополнительную информацию.
15.4. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в порядке, предусмотренном законодательством Российской Федерации.
- ГАРАНТИЯ КОНФИДЕНЦИАЛЬНОСТИ
- Информация, относящаяся к персональным данным, ставшая известной в связи с реализацией трудовых отношений, в связи с оказанием услуг клиентам Компании и в связи с сотрудничеством с контрагентами Компании, является конфиденциальной информацией и охраняется законом.
- Работники Компании и иные лица, получившие доступ к обрабатываемым персональным данным, предупреждаются о возможной дисциплинарной, административной, гражданско–правовой или уголовной ответственности в случае нарушения норм и требований действующего законодательства, регулирующего правила обработки и защиты персональных данных.
- Работники Компании, по вине которых произошло нарушение конфиденциальности персональных данных, и работники, создавшие предпосылки к нарушению конфиденциальности персональных данных, несут ответственность, предусмотренную действующим законодательством Российской Федерации, внутренними документами Компании и условиями трудового договора.
- Работники, осуществляющие обработку персональных данных и ответственные за обеспечение еѐ безопасности, должны иметь квалификацию, достаточную для поддержания требуемого режима безопасности персональных данных. В этих целях вводится система обеспечения требуемого уровня квалификации.
- Для всех лиц, обрабатывающих персональные данные, проводятся инструктажи по обеспечению безопасности персональных данных.
- Обязанность по реализации системы обеспечения требуемого уровня квалификации возлагается на лицо, ответственное за организацию обработки, хранения и обеспечение защиты персональных данных. Ответственное лицо:
— организовывает инструктирование и обучение работников;
— ведет персональный учѐт работников, прошедших инструктирование и обучение.
- ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
- Настоящая Политика является внутренним документом Компании.
- Настоящая Политика подлежит изменению, дополнению в случае внесения изменений в действующие законодательные акты и появления новых законодательных актов, и специальных нормативных документов по обработке и защите персональных данных.
- Ответственность должностных лиц Компании, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации, и локальными документами Компании.
- Действующая редакция настоящей Политики хранится в месте нахождения ООО «АВТОМАРТ-С» по адресу: г. Саратов, ул. Фабричная, д. 1А, офис 408.
Электронная версия Политики – на сайте Компании: www.automartsto.ru Контактные лица: Сергей, директор , тел. +7 (8452) 535830.
- Компания уведомляет посетителей официального Интернет-сайта Компании о том, что информация о посетителях (IP-адрес, имя домена, тип браузера и операционная система, дата и время посещения и т.д.) собирается и сохраняется в целях ведения статистики посещений. Персональные данные посетителей официального Интернет-сайта Компании (ФИО, телефон, адрес электронной почты и т.д.) собирается и сохраняется исключительно для внутренних целей использования Компанией и в отношении указанных данных соблюдаются все условия конфиденциальности и безопасности, обозначенные в настоящей Политике.