Москва
Делегированный вход
Менеджер:

Клиент:
Контракт клиента для работы не установлен
Закончить работу
УТВЕРЖДЕНО
Приказом от
03.08.2023 № 58

 

Политика обработки персональных данных ООО «АВТО 3Н»

Политика обработки персональных данных ООО «АВТО 3Н»

1. Общие положения

1.1. Назначение

Настоящий документ определяет политику Общества с ограниченной ответственностью «АВТО 3Н» (далее – Оператор, Общество) в отношении обработки персональных данных (далее - Политика).

ООО «АВТО 3Н», являясь Оператором, осуществляющим обработку персональных данных, обеспечивает защиту прав и свобод субъектов при обработке их персональных данных и принимает меры для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами.

Настоящий документ является общедоступным и подлежит размещению на сайте ООО «АВТО 3Н».

Локальные нормативные акты и другие документы, регламентирующие обработку персональных данных в Обществе, разрабатываются с учетом положений Политики.

1.2. Основные понятия, используемые в Политике

В настоящем документе используются следующие понятия:

Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

Субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных, в рамках данного документа – работник, контрагент, покупатель интернет-магазина для юридических лиц и ИП, покупатель для интернет-магазина для физических лиц, кандидаты для приема на работу в Общество;

Оператор - юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта персональных данных;

Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Оператором не осуществляется обработка персональных данных специальных категорий, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

Оператором осуществляется обработка персональных данных специальных категорий в части состояния здоровья работников и соискателей при приеме на работу и в процессе работы в целях соблюдения ограничений и требований, установленных трудовым законодательством.

Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом «О персональных данных»;

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

1.3. Основные права и обязанности Оператора и субъектов персональных данных

1.3.1. Права и обязанности субъектов персональных данных

Субъекты, персональные данные которых обрабатываются Оператором, имеют право:

1) на безвозмездное ознакомление со своими персональными данными, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных";

2) на получение информации, касающейся обработки своих персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных Оператором;

- правовые основания и цели обработки персональных данных;

- цели и применяемые способы обработки персональных данных;

- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом "О персональных данных";

- информацию о наличии/отсутствии трансграничной передачи данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные законодательством Российской Федерации;

3) требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

4) обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

5) на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Субъекты, персональные данные которых обрабатываются у Оператора, обязаны:

- сообщать достоверную информацию о себе и предоставлять документы, содержащие персональные данные, состав которых установлен законодательством Российской Федерации и локальными нормативными документами Оператора в объеме, необходимом для цели обработки;

- сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

1.3.2. Права и обязанности работников Оператора, обрабатывающих персональные данные субъектов персональных данных.

Работники Оператора, обрабатывающие персональные данные, в зависимости от целей обработки, указанных в разделе 2 настоящей Политики, вправе:

- получать документы, содержащие персональные данные;

- требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных.

Работники Оператора, обрабатывающие персональные данные субъектов персональных данных, обязаны:

- обрабатывать персональные данные, полученные в установленном действующим законодательством порядке;

- рассматривать обращения субъекта персональных данных (законного представителя субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных) по вопросу обработки его персональных данных и давать мотивированные ответы в срок, не превышающий 7 (семи) рабочих дней с даты поступления обращения (запроса);

- предоставлять субъекту персональных данных (законному представителю субъекта персональных данных) возможность безвозмездного доступа к своим персональным данным, обрабатываемым Оператором;

- принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (законного представителя) обращением с законными и обоснованными требованиями;

- организовывать оперативное и архивное хранение документов Оператора, содержащих персональные данные субъектов персональных данных, в соответствии с требованиями законодательства Российской Федерации.

2. Цели обработки персональных данных

2.1. Обработка Оператором персональных данных осуществляется в следующих целях:

- обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;

- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

- подбор и поиск персонала;

- содействие работникам в получении образования и продвижения по службе;

- обеспечения личной безопасности работников;

- контроля количества и качества выполняемой работы и обеспечения сохранности имущества Оператора и третьих лиц, когда Оператор обеспечивает сохранность такого имущества;

- исполнения трудового законодательства;

- выполнение возложенных законодательством РФ на оператора функций, полномочий и обязанностей;

- исполнения налогового законодательства;

- продвижение товаров и услуг (рассылка информационных и рекламных материалов клиентам и партнерам по направлениям деятельности Оператора);

- подготовки, заключения, исполнения и прекращения гражданско-правовых договоров;

- формирования справочных материалов для внутреннего информационного обеспечения деятельности Оператора;

- продажа товаров и оказание услуг;

- участие в программе лояльности;

- ведение переговоров, заключение и исполнение условий договорных отношений;

- защита жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;

- статистический учет или анализ поведенческих характеристик субъекта персональных данных;

- обработка обращений субъектов персональных данных.

3. Правовые основания обработки персональных данных

3.1. Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

- Конституция Российской Федерации;

- Гражданский кодекс Российской Федерации;

- Трудовой кодекс Российской Федерации;

- Налоговый кодекс Российской Федерации;

- Федеральный закон от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федеральный закон от 01.04.1996 № 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования";

- иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти;

- согласие субъектов на обработку их персональных данных;

- согласие на получение рекламных и информационных материалов.

4. Объем и категории обрабатываемых персональных данных по категориям субъектов персональных данных

4.1. В зависимости от целей, предусмотренных в разделе 2 настоящей Политики, Оператором обрабатываются персональные данные следующих категорий субъектов:

1) соискатели – физические лица, претендующие на замещение вакантной должности.

Объем обрабатываемых данных:

- фамилия, имя, отчество (при наличии);

- год и место рождения;

- контактные данные;

- сведения о профессии;

- сведения о стаже работы;

- иные персональные данные, сообщаемые соискателем в резюме и сопроводительных письмах.

2) работники – физические лица, состоящие с Оператором в трудовых отношениях.

Объем обрабатываемых данных:

- анкетные и биографические данные;

- гражданство;

- изображение (фотографии, видеозаписи);

- голос (аудиозапись);

- образование;

- сведения о трудовом и общем стаже;

- сведения о составе семьи;

- сведения о состоянии здоровья (в случае, если обработка необходима для защиты жизни, здоровья работника или иных жизненно важных интересов других лиц);

- паспортные данные;

- ИНН;

- СНИЛС;

- отношение к воинской обязанности (сведения о воинском учете);

- сведения о заработной плате сотрудника;

- сведения о социальных льготах;

- профессия (специальность);

- замещаемая должность;

- адрес места жительства, регистрации;

- домашний и мобильный телефоны;

- адрес электронной почты (при наличии);

- содержание трудового договора (в части персональных данных);

- состав декларируемых сведений о наличии материальных ценностей;

- содержание декларации, подаваемой в налоговую инспекцию;

- подлинники и копии приказов по личному составу;

- личные дела и трудовые книжки работников;

- основания к приказам по личному составу;

- дела, содержащие материалы по повышению квалификации и переподготовке работников, их аттестации, служебным расследованиям;

- копии отчетов, направляемые в органы статистики;

- сведения о предыдущих местах их работы;

- комплекс документов, сопровождающих процесс оформления трудовых отношений работников при приеме, переводе, увольнении.

3) уволенные работники – физические лица, состоявшие в трудовых отношениях с Оператором.

Объем обрабатываемых данных:

- анкетные и биографические данные;

- гражданство;

- изображение (фотографии, видеозаписи);

- голос (аудиозапись);

- образование;

- сведения о трудовом и общем стаже;

- сведения о составе семьи;

- сведения о состоянии здоровья (в случае, если обработка необходима для защиты жизни, здоровья работника или иных жизненно важных интересов других лиц);

- паспортные данные;

- ИНН;

- СНИЛС;

- отношение к воинской обязанности (сведения о воинском учете);

- сведения о заработной плате сотрудника;

- сведения о социальных льготах;

- профессия (специальность);

- замещаемая должность;

- адрес места жительства, регистрации;

- домашний и мобильный телефоны;

- адрес электронной почты (при наличии);

- содержание трудового договора (в части персональных данных);

- состав декларируемых сведений о наличии материальных ценностей;

- содержание декларации, подаваемой в налоговую инспекцию;

- подлинники и копии приказов по личному составу;

- личные дела работников;

- основания к приказам по личному составу;

- дела, содержащие материалы по повышению квалификации и переподготовке работников, их аттестации, служебным расследованиям;

- копии отчетов, направляемые в органы статистики;

- сведения о предыдущих местах их работы;

- комплекс документов, сопровождающих процесс оформления трудовых отношений работников при приеме, переводе, увольнении.

4) родственники работников – физические лица, находящиеся в семейных или родственных отношениях с работником Оператора.

Объем обрабатываемых данных:

- фамилия, имя, отчество;

- год рождения;

- степень родства (свойства);

- номер контактного телефона.

5) работники сторонних компаний – представители или работники юридического лица или индивидуального предпринимателя, которые имеют договорные отношения с Оператором, находятся на этапе преддоговорных отношений с Оператором или фигурируют в процессах деятельности.

Объем обрабатываемых данных:

- фамилия, имя, отчество (при наличии);

- адрес электронной почты;

- контактный номер телефона.

6) физические лица (контрагенты) – физические лица, которые оказывают Оператору услуги по гражданским договорам.

Объем обрабатываемых данных:

- фамилия, имя, отчество (при наличии);

- паспортные данные;

- страховой номер индивидуального лицевого счета (СНИЛС);

- индивидуальный номер налогоплательщика (при наличии);

- адрес электронной почты;

- контактный номер телефона.

7) индивидуальные предприниматели – физические лица, зарегистрированные в установленном законодательством порядке и осуществляющие предпринимательскую деятельность без образования юридического лица.

Объем обрабатываемых данных:

- фамилия, имя, отчество (при наличии);

- паспортные данные;

- страховой номер индивидуального лицевого счета (СНИЛС);

- индивидуальный номер налогоплательщика (при наличии);

- адрес электронной почты;

- контактный номер телефона.

8) посетители – физические лица, посещающие подразделения Оператора, не являющиеся при этом работниками Оператора или контрагентами.

Объем обрабатываемых данных:

- фамилия, имя, отчество (при наличии);

- паспортные данные.

9) покупатели – физические лица, связанные с Оператором договорными отношениями, приобретающие товары и пользующиеся услугами Оператора, а также представители указанных физических лиц.

Объем обрабатываемых данных:

- фамилия, имя, отчество;

- пол;

- банковские реквизиты;

- номер лицевого счета, сумма и назначение платежа;

- дата и время транзакции;

- адрес доставки;

- номер заказа;

- номер контактного телефона;

- адрес электронной почты;

- сведения о приобретенных товарах;

- данные файлов Cookies обезличенные.

10) участники дисконтной программы – физические лица, зарегистрированные в качестве участников дисконтной программы Оператора.

Объем обрабатываемых данных:

- фамилия, имя, отчество;

- дата рождения;

- номер телефона;

- адрес электронной почты;

- пол;

- данные файлов Cookies обезличенные;

- иная общедоступная информация об Участнике.

11) пользователи сайта Оператора – физические лица, посещающие сайт Оператора в сети Интернет.

- фамилия, имя, отчество (при наличии);

- адрес электронной почты;

- адрес доставки;

- контактный(-е) номер(-а) телефона(-ов);

- географическое месторасположение;

- данные файлов Cookies обезличенные.

4.2. Оператор может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться:

- фамилия, имя, отчество;

- должность;

- наименование подразделения;

- адрес электронной почты;

- контактный номер телефона;

- иные персональные данные, сообщаемые субъектом персональных данных для указанных целей.

Обработка у Оператора биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.

4.3. Перечень действий Оператора с персональными данными работников:

- сбор;

- запись;

- систематизация;

- накопление;

- хранение;

- уточнение (обновление, изменение);

- извлечение;

- использование;

- передача;

- блокирование;

- удаление;

- уничтожение.

5. Порядок и условия обработки персональных данных

5.1. Обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации.

5.2. Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).

К обработке персональных данных допускаются только те работники Общества, в должностные обязанности которых входит обработка персональных данных.

Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей. Для обеспечения защиты персональных данных работник подписывает Обязательство о неразглашении персональных данных (Приложение № 1.pdf).

5.3. Обработка персональных данных осуществляется путем:

- получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;

- предоставления субъектами персональных данных оригиналов необходимых документов;

- получения заверенных в установленном порядке копий документов, содержащих персональные данные или копирования оригиналов документов;

- получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации;

- получения персональных данных из общедоступных источников;

- фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;

- внесения персональных данных в информационные системы Общества;

- использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой Обществом деятельности.

5.4. Передача персональных данных третьим лицам допускается с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.

При передаче персональных данных третьим лицам в соответствии с заключенными договорами Оператор обеспечивает обязательное выполнение требований законодательства Российской Федерации и нормативных актов Общества в области персональных данных.

Передача персональных данных в уполномоченные органы исполнительной власти и организации (Министерство внутренних дел Российской Федерации, Министерство иностранных дел Российской Федерации, Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Федеральный фонд обязательного медицинского страхования Российской Федерации и другие) осуществляется в соответствии с требованиями законодательства Российской Федерации.

5.5. Оператор вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъектов персональных данных на основании заключаемого договора. Юридическое лицо или индивидуальный предприниматель, осуществляющие обработку персональных данных по поручению Оператора, обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации в области персональных данных.

В случае, когда Оператор на основании договора передает или поручает обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю, существенным условием договора должна быть обязанность обеспечения указанным лицом условий конфиденциальности и обеспечения безопасности персональных данных при их передаче или обработке.

5.6. Хранение персональных данных Оператором осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных;

- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или иными федеральными законами.

5.7. Сроки хранения персональных данных у Оператора определяются в соответствии с законодательством Российской Федерации и локальными нормативными актами Оператора в области документооборота.

6. Требования к защите персональных данных, реализуемые Оператором

6.1. Обеспечение безопасности персональных данных при их обработке Оператором осуществляется в соответствии с законодательством Российской Федерации и требованиями уполномоченного органа государственной власти по защите прав субъектов персональных данных, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации.

Оператор предпринимает необходимые организационные и технические меры для защиты персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

6.2. Меры защиты, реализуемые Оператором при обработке персональных данных, включают:

- принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;

- назначение должностных лиц, ответственных за обеспечение безопасности персональных данных в подразделениях и информационных системах Оператора;

- организацию обучения и проведение методической работы с работниками, осуществляющими обработку персональных данных у Оператора;

- создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные;

- организацию учета материальных носителей персональных данных и информационных систем, в которых обрабатываются персональные данные;

- хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;

- обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;

- обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;

- установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям и сети Интернет без применения установленных Оператором мер по обеспечению безопасности персональных данных;

- обеспечение защиты документов, содержащих персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи;

- установление правил доступа к персональным данным, обрабатываемым в информационной системе, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе;

- установление индивидуальных паролей доступа работников в информационные системы персональных данных в соответствии с их должностными обязанностями;

- применение средств защиты информации, использование сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами;

- соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;

- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- осуществление внутреннего контроля за соблюдением Оператором законодательства Российской Федерации и локальных нормативных актов при обработке персональных данных.

6.3. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

6.4. В случае утечки персональных данных из-за несанкционированного доступа к ним, Оператор направляет извещение об этом в Роскомнадзор.

6.5. В целях предотвращения утечки персональных данных, обрабатываемых Оператором, Оператор осуществляет взаимодействие с органами власти в порядке и на условиях, предусмотренном законодательством в области персональных данных.

7. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

7.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации Оператором, а обработка персональных данных прекращается.

7.2. Актуализация и исправление персональных данных субъектов производится на основании информации, предоставленной субъектом персональных данных.

7.3. Уничтожение персональных данных производится в соответствии с Порядком уничтожения персональных данных, утвержденных Оператором.

7.4. Оператор обрабатывает обращения и запросы субъекта персональных данных в соответствии с Правилами по обработке обращений и запросов, утвержденными Оператором.