Политика
в отношении обработки персональных данных
1.1. Политика обработки персональных данных в ООО УК «Авторай» (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в Обществе персональных данных, функции Общества при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Обществе требования к защите персональных данных.
Используются следующие понятия:
- персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- оператор персональных данных (оператор) – ООО УК «Авторай», самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание блокирование; удаление; уничтожение.
- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу Обществом не осуществляется.
1.2. Политика разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.
1.3. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в Обществе вопросы обработки персональных данных работников Общества и других субъектов персональных данных.
1.4. Политика обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами:
- Трудовой кодекс Российской Федерации;
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- Гражданский кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральный закон от 24.07.2009г. № 212-ФЗ «О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;
- Федеральный закон от 22.10.2004г. № 125-ФЗ «Об архивном деле в РФ»;
- Устав Общества;
- Договор передачи функций единоличного исполнительного органа
- иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
1.5. Содержание и объем обрабатываемых персональных определяются исходя из целей обработки и категорий субъектов. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не обрабатываются персональные данные, избыточные или несовместимые по отношению к следующим основным целям:
- заключение и исполнение трудового договора работодателем и работником
- исполнение требований действующего законодательства в части предоставления сведений о работнике Общества,
- обеспечения соблюдения законов и иных нормативных правовых актов в связи с выполнением работником служебных (должностных) обязанностей,
- содействия работникам в трудоустройстве, обучении и продвижении по службе,
- обеспечения личной безопасности работников,
- контроль количества и качества выполняемой работы, обеспечения сохранности имущества Общества;
- хранение персональных данных после расторжения/окончания трудового договора в порядке установленным действующим законодательством
- включение персональных данных во внутренние локальные акты Общества и ознакомление с ними (локальными актами) всех заинтересованных в них работников Общества
- информационное размещение служебных контактных данных должностных лиц
- исполнение договорных обязательств Общества, в т ч. выполнение функций единоличного органа управления
- выполнение требований действующего законодательства (Закона «О защите прав потребителей», Налогового Кодекса, Закона «О бухгалтерском учете» и т.д.)
- трудоустройство (поиск и отбор соискателей на занятие вакантных должностей)
- контроль за качеством, объемом выполняемых работ, оказываемых услуг Обществом и контрагентами Общества
- получение и исследование статистических данных об объемах продаж и качестве услуг, оказываемых Продавцом при продаже и ремонте автомобилей, запасных частей;
- изучения конъюнктуры рынка автомобилей, автомобильных запчастей, СТО
- осуществление пропускного режима на территорию Общества
К основным категориям субъектов персональных данных, чьи данные обрабатываются Оператором, относятся:
- физические лица, состоящие в трудовых и гражданско-правовых отношениях с Оператором и контрагентами Оператора;
- кандидаты на замещение вакантных должностей.
- бывшие работники Общества и контрагентов Общества
- близкие родственники работников и работников контрагентов Общества (в объеме Т-2)
- представители/работники клиентов и контрагентов оператора (юридических лиц).
1.6. В зависимости от целей обработки и категории субъектов персональных данных могут обрабатываться:
Фамилия, Имя, Отчество, год, месяц, дата рождения, место рождения, адрес регистрации/проживания, Паспортные данные (серия, номер, кем и когда выдан), гражданство, ИНН, Контактная информация (телефон: домашний, рабочий, мобильный), факс, адрес электронной почты), сведения об образовании, воинском учете (для военнообязанных и лиц, подлежащих призыву на военную службу); сведения о заработной плате, сведения о состоянии здоровья, данные социального страхования, данные государственного пенсионного страхования, сведения о прежних местах работы, реквизиты полиса ОМС (ДМС), страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), пол, семейное положение, сведения об образовании, квалификации или наличии специальных знаний; занимаемая должность, анкетные данные, (в том числе автобиография, сведения о семейном положении работника, перемене фамилии, наличии детей и иждивенцев, медицинские заключения), трудовой договор; заключение по данным психологического исследования; приказы о приеме, переводах, увольнении, повышении заработной платы, премировании, поощрениях и взысканиях; личная карточка по форме Т-2; заявления, объяснительные и служебные записки работника; документы о прохождении работником аттестации, собеседования, повышения квалификации; иные документы, содержащие сведения о работнике, наличие которых необходимо для корректного документального оформления трудовых правоотношений с работником, фотографии без установления требований, данные, содержащиеся в водительском удостоверении, данные о доходах, сведения о профессиональной деятельности, образовании, сведения о близких родственниках, сведения о прежних местах работы с указанием наименования прежней должности, сведения об имуществе (транспортном средстве, автомобиле, любом ином номерном агрегате, принадлежащих на праве собственности либо ином вещном праве субъекту), сведения, содержащиеся в паспорте транспортного средства ПТС) указанного имущества, госномер автомобиля, стоимости имущества, порядке его оплаты, пробег, данные о доходах, сведения о профессиональной деятельности, образовании, сведения о пройденных/не пройденных технических осмотров (ТО), ремонтах имущества (транспортном средстве, автомобиле, любом ином номерном агрегате, принадлежащих на праве собственности либо ином вещном праве субъекту), в том числе перечень работ и замененных деталей на автомобиле.
Оператор вправе собирать иные данные, если в соответствии с целями их обработки действующим законодательством определен иной перечень данных.
Сроки хранения персональных данных определяются целями сбора данных и категориями субъектов, определяются внутренними локальными актами, договорами, иными письменными соглашениями с субъектом ПдН.
2. Порядок и условия обработки персональных данных
2.1. Общие условия
В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных обязаны соблюдаться следующие требования:
Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов РФ, обеспечения личной безопасности субъекта персональных данных и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества Общества.
Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
При принятии решений, затрагивающих интересы субъекта персональных данных, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения. Данные должны дополнительно проверяться.
Обработка персональных данных должна осуществляться уполномоченными работниками Общества на законной и справедливой основе в соответствии с принципами:
- Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных
- -соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям конкретного работника Общества;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
- недопустимости хранения персональных данных дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
- Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
- а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
- б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
Правила, предусмотренные настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные носители информации.
Все сотрудники, имеющие доступ к персональным данным субъектов, подписывают соглашение о неразглашении персональных данных, знают порядок обработки персональных данных. Обществом обеспечивается его выполнение. Сотрудники и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2.2. . Получение и обработка персональных данных должна осуществляться Обществом с согласия субъектов персональных данных, за исключением случаев, установленных законом.
Сбор и обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, состояния здоровья, политических взглядов, религиозных или философских убеждений, интимной жизни, а также биометрические данные субъектов Обществом не производится.
Персональные данные от контрагентов/соискателей получаются определенными работниками Общества только от самих субъектов (их представителей) путем подписания договора с включенным (при необходимости) соответствующим текстом согласия, заказ-наряда или иного документа, содержащего в своем составе соответствующее согласие, либо путем подписания согласия на предоставление ПДн, либо в случае их предоставления субъектом самостоятельно таким образом, который позволяет достоверно установить факт передачи ПДн именным субъектом. При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо его направившее не представляется возможным, данное резюме подлежит уничтожению в день поступления.
Право на обработку персональных данных предоставляется работникам структурных подразделений и(или) должностным лицам, в должностные обязанности которых входит подготовка, оформление, подписание, хранение документов, содержащих персональные данные субъектов.
2.3. Хранение персональных данных.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, или если иной срок не определен законом или договором, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении в течение 3-х рабочих дней.
Обществом и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев:
- в случае обезличивания персональных данных;
- в отношении общедоступных персональных данных.
При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Обществом.
При хранении документов в электронных хранилищах Общество должно обеспечить хранение резервных копий документов.
2.4. Передача персональных данных
2.4.1. Передача персональных данных осуществляется только в соответствии с законом или на основании договора с субъектом.
2.4.2. Передача персональных данных может осуществляться Обществом третьим лицам на бумажных носителях и/или, на электронных носителях, по каналам связи сети Интернет, по внутренней сети, при этом круг доступа ограничен (законом, договором, соглашениями), передача осуществляется в соответствии с требованиями законодательства РФ.
2.5. Уничтожение персональных данных
Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
2.6. Права и обязанности субъектов персональных данных и оператора
2.6.1. Права и обязанности субъекта персональных данных
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Порядок получения указанных сведений: Субъект/его представитель обращается к оператору с запросом. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Обращения субъектов персональных данных (дата, ФИО, адрес) по ознакомлению с их персональными данными, дату направления запрашиваемых данных почтовой связью или предоставления лично заявителю фиксируются в специальном журнале. В случае отзыва данных субъектом персональных данных или выявления их несоответствия, в журнале должны быть сделаны соответствующие записи. По каждому обращению необходимо указывать, когда и каким образом на него было отреагировано. Хранение журнала осуществляется службой персонала Общества, при хранении должен быть исключен несанкционированный доступ к ним.
Субъект вправе отозвать свои персональные путем личной подачи Обществу письменного заявления либо путем направления такого заявления по почте. Субъект уведомлен, что в случае отзыва персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без его согласия при наличии оснований, указанных в ФЗ «О защите персональных данных».
Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности..
2.6.2. Права и обязанности Общества
Общество обязано:
- разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
- Общество обязано рассмотреть возражение субъекта в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
- за свой счет обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;
- по запросу ознакомить субъекта персональных данных, с положением о защите персональных данных и его правами в области защиты персональных данных;
- осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;
- предоставлять персональные данные субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим положением и законодательством Российской Федерации;
Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.
Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены Обществу на основании федерального закона или если персональные данные являются общедоступными, Общество до начала обработки таких персональных данных обязано предоставить субъекту персональных данных законом установленную информацию.
Общество обязано по запросу субъекта сообщить информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя, либо мотивированно отказать.
Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.
В случае выявления недостоверных персональных данных или неправомерных действий с ними Общества при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных Общество обязано осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.
В случае подтверждения факта недостоверности персональных данных Общество на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязано уточнить персональные данные и снять их блокирование.
В случае выявления неправомерных действий с персональными данными Общество в срок, не превышающий трех рабочих дней с даты такого выявления, обязано устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Общество в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязано уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Общество обязано уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
Общество до начала обработки персональных данных обязано уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением законом определенных случаев.
Согласие данное контрагентом Общества может быть отозвано путем направления в письменной форме уведомления Обществу заказным почтовым отправлением с описью вложения, либо вручено лично под роспись уполномоченному представителю . Согласие считается отозванным в течении одного месяца с момента получения заявления Оператором.
3. Защита персональных данных
Общество при обработке персональных данных принимает необходимые организационные и технические меры, установленные законом, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. К таким мерам, в частности относятся:
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
- учет машинных носителей персональных данных
- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним
- установление правил доступа к персональным данным, обрабатываемым в информационной систем персональных данных
Все лица, связанные с получением, обработкой и защитой персональных данных работников обязаны заключить «Обязательство о неразглашении персональных данных».