Политика конфиденциальности ООО "Тринити Моторс Н" утверждена генеральным директором Васильевым А.В.
1. ОБЩИЕ ПОЛИТИКА
1.1 Настоящая «Политика оператора в отношении обработки и защите персональных данных в ООО «Тринити Моторс Н» (далее «Политика») определяет порядок, условия и сроки обработки персональных данных в ООО «Тринити Моторс Н» (юридический адрес: 308010, Белгородская обл., Белгородский р-н, пос. Северный 1-й, пр- т Б. Хмельницкого, д.184 , адрес места нахождения: 308010, Белгородская обл., Белгородский р-н, пос. Северный 1-й, пр- т Б. Хмельницкого, д.184 (далее - Компания).
1.2 Настоящая Политика разработана в соответствии с действующим законодательством РФ:
- Федеральным законом Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- Федеральным законом от 13.03.2006 N 38-ФЗ "О рекламе"
- Федеральным законом Российской Федерации от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
1.3 В настоящей Политике используются следующие основные понятия:
- Персональные Данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
- Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
1.4 Цель разработки Политики - определение порядка обработки персональных данных клиентов, потенциальных клиентов, заказчиков работ, работников, бывших работников Компании (далее - «Работники») и иных субъектов персональных данных (далее именуемые - «Субъекты персональных данных»), персональные данные которых подлежат обработке и защите на основании полномочий Компании как оператора персональных данных; а также установление ответственности субъектов, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.5 Политика распространяется на все подразделения Компании, участвующие в процессах обработки персональных данных.
1.6 Политика обязательна для исполнения субъектами, участвующими в процессах обработки и защиты персональных данных. Неисполнение Политики может повлечь дисциплинарную, гражданско - правовую, административную и уголовную ответственность.
1.7 Работники Компании должны быть в обязательном порядке ознакомлены под роспись с настоящей Политикой, при этом должны быть указаны следующие данные: фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе.
1.8 Порядок ввода в действие и изменения Политики.
1.8.1. Настоящее Политика вступает в силу с даты ее утверждения генеральным директором Компании.
1.8.2. Все изменения в Политику вносятся приказом генерального директора Компании.
1.9 Режим защиты персональных данных снимается в случае прекращения обработки (включая хранение) персональных данных Компанией, а также в случае их обезличивания, если иное не определено законом.
2. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Категории субъектов персональных данных:
• физические лица, состоящие в гражданско-правовых правоотношениях;
• физические лица, выражающие свой интерес к предлагаемым работам и услугам.
2.1 В состав персональных данных клиентов контрагентов Компании входят:
сведения: о фамилии, имени, отчестве, дате и месте рождения, поле, паспортных данных, адресе регистрации по месту проживания и почтовом адресе, номерах домашнего, рабочего, мобильного телефонов, адресе электронной почты, а также данных о принадлежащем(их) мне транспортном(ых) средстве(ах): идентификационном номере VIN, государственном регистрационном номере, марке, модели, цвете и комплектации транспортного средства, его текущем пробеге и дате приобретения, семейное Политика, численность семьи, количество детей, профессия, доход, возраст, количество автомобилей в семье.
2.2 В состав персональных данных потенциальных клиентов контрагентов Компании входят: фамилия, имя, отчество, возраст, контактные данные (телефон, электронная почта, адрес).
2.3 В состав персональных данных контактных лиц контрагентов Компании входят: фамилия, имя, отчество, контактные данные (телефон, электронная почта).
2.12 Сведения, которые признаются общедоступными в любых сочетаниях между собой: фамилия, имя, отчество, дата рождения, служебный и контактный телефон, e-mail, должность и подразделение. Компания вправе производить с ними следующие действия: сбор, систематизация, накопление, уточнение (обновление, изменение), использование, распространение (передача неопределенному кругу лиц в рамках Компании), обезличивание, блокирование, уничтожение, размещение в общедоступных в рамках Компании источниках.
3. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
При обработке персональных данных субъектов допущенные к ним лица обязаны соблюдать следующие требования:
2.4 Обработка персональных данных в Компании производится с целью осуществления следующих действий:
- Продвижение товаров и услуг, поставляемых Компанией;
- Получение и исследование статистических данных об объемах продаж и качестве услуг, оказываемых Компанией при продаже автомобилей;
- Изучение конъюнктуры рынка автомобилей, автомобильных запасных частей и аксессуаров;
- Совершенствование уровня предоставляемых Компанией услуг;
- проведение опросов и исследований, направленных на выявление удовлетворенности Субъектов продукцией и/или услугами по продаже автомобилей;
- Осуществление гарантийного и негарантийного ремонта и технического обслуживания автомобилей;
- Проведение маркетинговых программ, направленных на повышение удовлетворенности клиента;
- Участие в накопительной дисконтной программе;
- Своевременное информирование о скидках, акциях, кампаниях, персональных спецпредложениях и т.д.;
- Проведение различных статистических исследований;
- Предоставление информации о проведении специальных сервисных кампаний;
- Продвижение товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью различных средств связи, включая, но, не ограничиваясь: смс-рассылка, почтовая рассылка, электронная почта, телефон, факсимильная связь, сеть Интернет.
- осуществление других видов деятельности в рамках законодательства РФ с обязательным выполнением требований законодательства РФ в области защиты персональных данных.
2.5 Устанавливается срок или условие прекращения обработки персональных данных - в случае приостановления или прекращения деятельности Компании, а также другие предусмотренные законодательством РФ основания.
2.6 Компания не имеет права получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации Компания вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.
2.7 Компания не имеет права получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством РФ.
2.8 При принятии решений, затрагивающих интересы субъекта, Компания не имеет права основываться на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки или получения по электронной связи.
2.9 Получение персональных данных.
2.9.1 Все персональные данные субъекта Компания может получить лично у субъекта вместе с письменным согласием субъекта на обработку его персональных данных или без такового, в предусмотренных законодательством РФ случаях.
2.9.2 Персональные данные субъектов могут быть получены не у самого субъекта, а у третьей стороны только в том случае, если получение их у самого субъекта затруднительно. При этом, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными. Компания до начала обработки таких персональных данных обязана уведомить об этом субъекта, предоставив следующую информацию:
® наименование и адрес Компании;
® цель обработки персональных данных и ее правовое основание;
® предполагаемые пользователи персональных данных;
• установленные федеральным законом права субъекта персональных данных.
2.9.3 При получении данных не от субъекта персональных данных Компания должна получить от субъекта письменное согласие на обработку его персональных данных, за исключением случаев, когда передача Компании персональных данных осуществляется на основании заключенных с третьими лицами договоров, предусматривающих обеспечение третьим лицом законности такой передачи, а также в иных случаях, установленных законодательством РФ и настоящей Политикой.
2.9.4 Компания по запросу субъекта сообщает субъекту о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение.
2.10 Хранение персональных данных.
2.10.1 Документы, содержащие персональные данные субъектов хранятся как в бумажном виде, так и в электронном.
2.10.2 Хранение документов, содержащих персональные данные субъектов, осуществляется в порядке, исключающем доступ к ним третьих лиц.
3.8 Доступ к персональным данным субъекта третьих лиц (физических и юридических).
3.8.1 Передача персональных данных субъекта третьим лицам осуществляется только с письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных законодательством РФ.
3.8.2 Письменное согласие на передачу персональных данных третьим лицам должно включать в себя:
- фамилию, имя, отчество, адрес субъекта, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование и адрес компании (третьего лица), получающей персональные данные субъекта;
- цель передачи персональных данных;
- перечень персональных данных, на передачу которых дает согласие субъект:
- срок, в течение которого действует согласие, а также порядок его отзыва;
- трансграничная передача персональных данных должна быть отражена в соответствующем согласии субъекта;
- при осуществлении трансграничной передачи персональных данных в страны, не обеспечивающие должной защиты персональных данных на законодательном уровне, факт такой передачи должен быть также отражен в согласии субъекта.
3.8.3 В случае если Компании оказывают услуги юридические и физические лица на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным субъектов, то соответствующие данные предоставляются только при наличии в договоре пунктов о неразглашении предоставленной информации, либо после подписания дополнительного соглашения к договору о неразглашении информации.
3.8.4 Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме, на бланке Компании и в том объеме, который позволяет не разглашать излишний объем персональных сведений о субъектах персональных данных.
3.8.5 Предоставление персональных данных субъекта государственным органам производится в соответствии с требованиями действующего законодательства РФ и настоящей Политикой.
3.8.6 Ответственность за соблюдение вышеуказанного порядка предоставления персональных данных субъекта несет работник Компании, осуществляющий передачу персональных данных субъекта третьим лицам, а также руководитель соответствующего работника.
3.8.7 Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта, за исключением случаев, когда передача персональных данных субъекта без его согласия допускается действующим законодательством РФ.
3.8.8 Документы, содержащие персональные данные субъекта, могут быть отправлены через организацию федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность.
3.9 Обработка персональных данных.
3.11.1 Обработка персональных данных является законной в случае если:
- она осуществляется с согласия субъекта персональных данных;
необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- она необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- она необходима для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
3.11.2 Доступ к персональным данным субъекта имеют работники Компании, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.
3.11.3 Права, обязанности, действия работников, в трудовые обязанности которых входит обработка и защита персональных данных субъектов, определяются должностными инструкциями и настоящим Политикам.
3.11.4 Работники Компании, осуществляющие обработку персональных данных, либо имеющие к ним доступ, обязаны соблюдать условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним третьих лиц.
3.11.5 Защите подлежат:
- персональные данные субъекта;
- бумажные и электронные носители, содержащие персональные данные субъекта;
- технические средства информационных систем, в которых производится обработка персональных данных.
4. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Субъект имеет право:
2.11 Получать доступ к своим персональным данным и знакомиться с ними, включая право на безвозмездное получение копий любой записи, содержащей его персональные данные.
2.12 Получать сведения о правовых основаниях и целях обработки персональных данных; об осуществленной или о предполагаемой трансграничной передаче; о наименовании и адресе лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; о наименовании и месте нахождения оператора, о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона.
2.13 Требовать от Компании уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для Компании персональных данных.
2.14 Отозвать согласие на обработку своих персональных данных. В случае получения письменного отзыва субъектом персональных данных согласия на обработку своих персональных данных Компания обязуется прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 (тридцати) дней с даты получения указанного отзыва, за исключением персональных данных, подлежащих хранению Компанией в целях соблюдения законодательства Российской Федерации.
2.15 Получать от Компании:
- подтверждение факта обработки персональных данных Компанией, а также цель такой обработки;
- способы обработки персональных данных, применяемые Компанией;
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
4.6. Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
4.7. Обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Компании при обработке и защите его персональных данных.
5. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТА
5.1 Работники Компании, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.
5.2 Руководитель Компании за нарушение порядка обращения с персональными данными несет административную ответственность согласно ст. ст. 5.27 и 5.39 КоАП РФ, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом работнике.
5.3 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов, несут гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством Российской Федерации, ответственность.
5.4 В случае разглашения работником персональных данных субъекта (передачи их посторонним лицам, в том числе, работникам Компании, не имеющим к ним доступа), их публичного раскрытия, утраты документов и иных носителей, содержащих персональные данные субъекта, а также иных нарушений обязанностей по их защите и обработке, установленных настоящим Политикам, внутренними нормативными актами (приказами, распоряжениями) Компании, Компания имеет право применить к работнику, разгласившему соответствующие персональные данные следующие дисциплинарные взыскания: замечание, выговор, увольнение по соответствующим основаниям в соответствии с трудовым законодательством РФ.
5.5 Работник Компании, имеющий доступ к персональным данным субъектов и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность, в случае причинения его действиями ущерба Компании.
5.6 Работники Компании, имеющие доступ к персональным данным субъектов, виновные в незаконном разглашении или использовании персональных данных лиц без согласия субъектов из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут уголовную ответственность в соответствии с законодательством РФ.
6. МЕРЫ, ПРИНИМАЕМЫЕ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Меры, необходимые и достаточные для обеспечения выполнения ООО «Тринити Моторс Н» обязанностей оператора, предусмотренных законодательством Российской Федерации в области персональных данных, включают:
· назначение лица, ответственного за организацию обработки персональных данных в ООО «Тринити Моторс Н»;
· принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
· организацию обучения и проведение методической работы с работниками структурных подразделений, занимающими должности, включенные в перечень должностей структурных подразделений, при замещении которых осуществляется обработка персональных данных;
· получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
· обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах;
· обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;
· установление запрета на передачу персональных данных по открытым каналам связи, без применения мер по обеспечению безопасности персональных данных (за исключением общедоступных и (или) обезличенных персональных данных);
· хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
· Помещения, в которых ведется обработка персональных данных, должны обеспечивать их сохранность, исключать возможность бесконтрольного проникновения в них посторонних лиц
· осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным нормативным актам;
· обучение работников Оператора непосредственно осуществляющих обработку персональных данных, Политике, законодательства Российской Федерации о персональных данных, в том числе требованиям к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных;
· иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.
7. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (далее - СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
7.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
7.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
7.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.
8. ДОСТУП К ПОЛИТИКЕ
8.1. Действующая редакция Политики на бумажном носителе хранится по местонахождению администрации Компании по адресу: 308010, Белгородская обл., Белгородский р-н, пос. Северный 1-й, пр-т Б. Хмельницкого, д.184
8.2. Электронная версия действующей редакции Политики общедоступна на сайте в сети Интернет: https://belgorod-nissan.com//