Новороссийск
Политика в отношении обработки персональных данных
ООО «Новокар Юг»
Общее положения
1.1. Настоящая Политика в области обработки и защиты персональных данных именуемая далее – «Политика» принята и действует в ООО «Новокар Юг» именуемое далее – «Организация», расположенном по адресу: 353960, Краснодарский край, г. Новороссийск, ул. Золотая рыбка, (тер. Цемдолина), д.112.1.2. Во исполнение требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», Трудового кодекса РФ, приказов, рекомендаций и инструкций Министерства цифрового развития, связи и массовых коммуникаций, Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора), Федеральной службы по техническому и экспортному контролю (ФСТЭК) и других законодательных актов Российской Федерации в области обработки и защиты персональных данных, а также локальных нормативных актов ООО «Новокар Юг» (далее также «Положение об обработке и защиты персональных данных»). Организация обеспечивает легитимность обработки и безопасность персональных данных (далее – «ПДн») в своей деятельности.
1.3. Организация включена в Реестр операторов, осуществляющих обработку персональных данных (далее – «Реестр»). Указанный Реестр опубликован на сайте Роскомнадзора в сети «Интернет» по адресу: https://pd.rkn.gov.ru/operators-registry/operators-list/.
1.4. Политика применяется к обработке ПДн Организацией, в том числе, в следующих случаях:
• использование веб-сайтов и мобильных приложений, владельцем которых является
Организация;
• любые обращения в Организацию в любой форме, направление жалоб
комментариев или замечаний и предложений;
• посещение офисов и иных помещений Организации;
• продажа автомобилей и иных товаров, проведение работ (включая сервисное
обслуживание автомобилей) Дилерами CHANGAN, оказание услуг (включая информационные услуги с использованием веб-сервисов);
• взаимодействие с контрагентами, деловыми партнерами и Организациями
Корпорации CHANGAN при осуществлении оперативной деятельности Организации;
• в иных случаях.
Условия обработки cookie-файлов и иных технических данных о посетителях веб-сайтов Организации указаны в разделах о cookie-файлах («Cookies») на соответствующих веб-сайтах Организации, если осуществляется сбор и обработка такой информации.
1.5. Субъектами, чьи ПДн обрабатываются в соответствии с Политикой, могут являться:
• клиенты (в том числе потенциальные клиенты), в том числе посетители дилерских и
сервисных предприятий CHANGAN в России, чьи ПДн могут быть переданы Организации в соответствии с договорами с такими предприятиями при условии обеспечения предприятиями законности такой передачи и обработки ПДн, и чьи ПДн могут быть переданы Организацией дилерским и сервисным предприятиям CHANGAN в России с целью исполнения заявок/запросов клиентов, а также лица, получающие (собирающиеся получить) услуги, оказываемые Организацией, Дилерами, лицами, специально привлеченными Организацией для оказания услуг/выполнения работ для клиента, лица, обращающиеся к Организации, в том числе посредством чат-бота на сайте, контакт-центра, формы обратной связи;
• контрагенты или бизнес-партнеры (потенциальные контрагенты или бизнес
партнеры) Организации и их представители и работники;
• работники Организации, соискатели вакансий, уволенные сотрудники;
• участники Организации.
1.6. Принципами обработки ПДн в Организации являются:
• обработка ПДн осуществляется на законной и справедливой основе;
• обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
• не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только ПДн, которые отвечают целям их обработки;
• содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки;
• при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн, принимаются необходимые меры по удалению или уточнению неполных или неточных ПДн;
• хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не
дольше, чем того требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, согласием на обработку ПДн, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн;
• обрабатываемые ПДн уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством РФ;
• обработка ПДн не используется в целях причинения имущественного и/или морального вреда субъектам ПДн, затруднения реализации их прав и свобод.
Состав и цели обработки ПДн
2.1. В соответствии с принципами обработки ПДн в Организации определены состав обрабатываемых ПДн и цели их обработки. В частности, но не ограничиваясь, целями обработки ПДн в Организации в соответствии с Политикой и локально-нормативными актами являются следующие группы категорий субъектов ПДн:2.1.1. Группа категорий субъектов ПДн «Кадры»:
• кандидаты для приема на работу;
• работники;
• уволенные работники;
• учащиеся, студенты, практиканты;
• члены семей работников - в случаях, когда согласно законодательству сведения о них предоставляются работником;
Целями обработки ПДн группы категорий субъектов ПДн «Кадры» являются:
• применение, исполнение и соблюдение трудового законодательства в рамках трудовых и иных непосредственно связанных с ними отношений;
• заключение, исполнение, изменение и расторжение трудового договора, в рамках которого Организация оказывает содействие в трудоустройстве, обучение и продвижение по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
• предоставление дополнительных гарантий, компенсаций и льгот, в том числе, заполнение и передача в уполномоченные органы требуемых форм отчетности;
• содействие в трудоустройстве в Организацию, в том числе, проведение собеседований, принятие решение о приеме / отказе в приеме на работу в Организацию.
Для целей обработки ПДн категорий субъектов «Кадры» обрабатываются следующие категории персональных данных:
Данные, не являющиеся специальными или биометрическими:
• фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения);
• пол;
• дата (число, месяц, год) и место рождения;
• фотографическое изображение;
• видеоизображение;
• сведения о гражданстве;
• вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи, код подразделения;
• страховой номер индивидуального лицевого счета (СНИЛС);
• идентификационный номер налогоплательщика (ИНН);
• адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
• номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
• реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
• сведения о семейном положении, составе семьи (степень родства, фамилии, имена, отчества (при наличии), даты (число, месяц, год) и места рождения) в том числе бывших супругах;
• сведения об образовании и (или) квалификации или наличии специальных знаний (в том числе наименование образовательной и (или) иной организации, год окончания, уровень образования, квалификация, специальности реквизиты документа об образовании, обучении);
• информация о владении иностранными языками;
• сведения об отношении к воинской обязанности, о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документа, наименование органа, выдавшего его);
• сведения о трудовой деятельности, а также информация о предыдущих местах работы, периодах и стаже работы;
• сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих в РФ);
• сведения, содержащиеся в разрешении на временное проживание, разрешении на временное проживание в целях получения образования (для иностранных граждан, временно проживающих в РФ), виде на жительство (для иностранных граждан, постоянно проживающих в РФ);
• сведения о доходах, обязательствах по исполнительным документам;
• номера расчетного счета, банковской карты;
• иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует цели обработки, предусмотренной п. 3.1. Положения;
• иные персональные данные, которые работник пожелал сообщить о себе, и обработка которых соответствует цели обработки, предусмотренной п. 3.1. Положения.
Биометрические персональные данные – не обрабатываются.
Специальные категории персональных данных:
• сведения о состоянии здоровья, относящиеся к возможности исполнения трудовой функции;
• сведения об отпуске по беременности и родам;
• сведения о состоянии здоровья, передаваемые Работодателю в соответствии с положениями трудового законодательства;
• сведения о медицинском освидетельствовании на предмет отсутствия инфекционных заболеваний либо о проведении вакцинации как составной части иммунопрофилактики инфекционных болезней согласно миграционному законодательству.
2.1.2. Группа категорий субъектов ПДн «Бухгалтерия»:
• работники;
• члены семей работников;
• бывшие работники;
• учащиеся, студенты, практиканты;
• контрагенты;
• представители контрагентов;
• представители административных и государственных органов.
• законные представители,
• взыскатели по исполнительным листам.
Целями обработки ПДн группы категорий субъектов ПДн «Бухгалтерия» являются:
• Ведения бухгалтерского и налогового учётов в соответствии с применением действующего законодательства РФ;
• предоставления информации налоговым, судебным и иным административным и государственным органам.
Для целей обработки ПДн категорий субъектов «Бухгалтерия» обрабатываются следующие категории персональных данных:
Данные, не являющиеся специальными или биометрическими:
• фамилия, имя, отчество;
• дата рождения;
• адрес электронной почты;
• адрес регистрации (по месту пребывания, месту жительства) /адрес фактического проживания, абонентские номера и иные контакты;
• домашний/мобильный телефон;
• СНИЛС;
• ИНН;
• гражданство;
• серия, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• номер банковского счета / счета банковской карты;
• сведения о квалификации (уровне знаний, умений, профессиональных навыков и опыта работы), в том числе, сведения о местах работы, ее продолжительности (стаже) и характере исполняемых обязанностей, заработной плате и занимаемых должностях; и сведения об образовании, в том числе об общем и профессиональном образовании, профессиональном обучении, дополнительном образовании, копии документов об образовании.
Биометрические персональные данные – не обрабатываются.
Специальные категории персональных данных:
• сведения о временной нетрудоспособности;
• сведения об отпуске по беременности и родам.
2.1.3. Группа категорий субъектов ПДн «Контрагенты»:
• контрагенты – физические лица и индивидуальные предприниматели;
• контактные лица партнеров юридических лиц;
• органы управления юридического лица и их представители;
• контактные лица дилеров;
• участники.
Целью обработки ПДн группы категорий субъектов ПДн «Контрагенты» является:
• заключение договоров купли-продажи автомобилей, запасных частей, узлов и
агрегатов и дополнительного оборудования;
• осуществление гарантийного, постгарантийного, восстановительного ремонта, технического обслуживания автотранспортных средств;
• предоставление подменного автомобиля, осуществление тестовых поездок;
• осуществление агентской деятельности в целях заключения договоров банковских,
страховых, финансовых услуг в интересах субъекта ПДн;
• заключение и исполнение договоров подряда, оказания услуг, выполнения работ;
• заключения иных гражданско-правовых договоров в соответствии с уставной
деятельностью Оператора.
Для целей обработки ПДн категорий субъектов «Контрагенты» обрабатываются следующие категории персональных данных:
Данные, не являющиеся специальными или биометрическими:
• фамилия, имя, отчество;
• дата рождения, место рождения;
• пол;
• гражданство;
• серия, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• СНИЛС;
• ИНН;
• адрес электронной почты;
• номер телефона;
• компания (представляемого лица);
• должность;
• адрес регистрации и места жительства (город, улица, номер дома, номер квартиры).
Биометрические персональные данные – не обрабатываются.
Специальные категории персональных данных – не обрабатываются.
2.1.4. Группа категорий субъектов ПДн «Клиенты»:
• клиенты Дилеров;
• контактные лица покупателей юридических лиц;
• пользователи сайта.
• пользователи мобильных приложений.
Целями обработки ПДн группы категорий субъектов ПДн «Клиенты» являются:
• обеспечение (организация) продажи товаров, том числе, обеспечение
взаимодействия с субъектом персональных данных, включая удовлетворение его запросов, предоставление обратной связи по его вопросам, а также контроль качества предоставленных услуг и консультаций;
• продвижение и совершенствование товаров и услуг бренда CHANGAN, в том
числе, направление рекламных рассылок и сообщений;
• анализ посещения сайта, обработка Cookie файлов (в соответствии с условиями, указанными на сайтах: https://cars.novorossiysk-changanauto.ru; https://novorossiysk-changanauto.ru).
Для целей обработки ПДн категорий субъектов «Клиенты» обрабатываются следующие категории персональных данных:
Данные, не являющиеся специальными или биометрическими:
• фамилия, имя, отчество;
• дата рождения, место рождения;
• пол;
• адрес места жительства;
• адрес электронной почты;
• номер телефон;
• место работы;
• фотоизображение;
• видеоизображение;
• серия, номер основного документа, удостоверяющего личность, сведения о дате
выдачи указанного документа и выдавшем его органе;
• платежные данные;
• геолокация;
• cookie-файлы;
• IP-адрес;
• хэшированный номер мобильного телефона;
• хэшированный адрес электронной почты;
• идентификатор устройства Android;
• идентификатор устройства IOS;
• цифровой идентификатор, формируемый в рамках использования Сервиса
Оператора;
• запись голоса в том числе, для распознавания голосовых команд телематическим устройством автомобиля, а также контроль качества предоставленных услуг и
консультаций по средствам телефонной связи;
• Web-идентификатор;
• интересы субъекта, выявленные автоматизированными системами Оператора на
основании анализа данных;
• сведения, собираемые посредством метрических программ;
• иные сведения, которые представлены Пользователем через информационно -
телекоммуникационную сети Интернет Оператору.
Биометрические персональные данные – не обрабатываются.
Специальные категории персональных данных – не обрабатываются.
2.1.5. Группа категорий субъектов ПДн «Участники»:
• Органы управления;
• Аффилированные лица;
• Законные представители.
Целями обработки ПДн группы категорий субъектов ПДн «Участники» являются:
• исполнение требований Федерального закона от 08.02.1998 №14-ФЗ «Об обществах
с ограниченной ответственностью», а также иных смежных требований законодательства Российской Федерации;
• проведение общих собраний участников;
• формирование списка аффилированных лиц, списка участников ООО.
Для целей обработки ПДн категорий субъектов «Участники» обрабатываются следующие категории персональных данных:
Данные, не являющиеся специальными или биометрическими:
• фамилия, имя, отчество;
• дата рождения, место рождения;
• пол;
• серия, номер основного документа, удостоверяющего личность, сведения о дате
выдачи указанного документа и выдавшем его органе;
• адрес электронной почты;
• номер телефона;
• страховой номер индивидуального лицевого счета (СНИЛС);
• идентификационный номер налогоплательщика (ИНН);
• адрес регистрации (по месту пребывания, месту жительства) /адрес фактического
проживания, абонентские номера и иные контакты;
• иные персональные данные, содержащиеся в документах, представление которых
предусмотрено законодательством, если обработка этих данных соответствует цели обработки.
Биометрические персональные данные – не обрабатываются.
Специальные категории персональных данных – не обрабатываются.
2.2. Конкретные персональные данные, обрабатываемые Организацией для каждой цели, указываются в конкретных согласиях на обработку персональных данных.
Для указанных целей обработки Пдн субъектов в Организации действуют следующие условия:
Способ обработки указанных ПДн – автоматизированная, неавтоматизированная и смешанная.
2.3. Хранение ПДн осуществляется в порядке, исключающем к ним доступ неуполномоченных лиц, их утрату или их неправомерное использование. Документы передаются на архивное хранение по достижении целей обработки. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения. Сроки хранения бумажных материальных носителей персональных данных определяются в соответствии со сроком действия договоров с субъектами ПДн и законодательством РФ.
Сроки обработки – с моменты дачи согласия на обработку ПДн до момента отзыва согласия с учетом положений законодательства о прекращении обработки ПДн.
Уничтожение документов, содержащих ПДн, производится:
• по достижении целей их обработки;
• по окончании срока хранения ПДн, оговоренного в соответствующем соглашении заинтересованных сторон;
• в случае выявления неправомерной обработки ПДн в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки ПДн.
ПДн на бумажных носителях: основанием для уничтожения документов является:
• достижение целей обработки;
• отзыв согласия субъекта на обработку его ПДн;
• получение соответствующего запроса от субъекта ПДн;
• получение соответствующего указания от уполномоченного органа по защите прав субъектов.
Локальные документы, содержащие ПДн, уничтожаются по мере необходимости.
Уничтожение носителей производится путем их физического разрушения с предварительным уничтожением содержащейся на них ПДн, если это позволяют физические принципы работы носителя в присутствии комиссии. Уничтожение ПДн из информационных систем производится путем их удаления из соответствующих систем. Об уничтожении ПДн Организация уведомляет субъектов ПДн в порядке, установленном законодательством РФ.
2.4. Состав и цели обработки ПДн соответствуют требованиям действующего законодательства РФ в области обработки и защиты ПДн.
2.5. Конкретные состав и цели обработки ПДн фиксируются и доводятся до сведения субъекта ПДн при сборе ПДн способом и в форме, соответствующими источнику получения и основаниям обработки таких ПДн.
Правила обработки ПДн
3.1. Обработка ПДн осуществляется Организацией на законной основе. В случаях, предусмотренных действующим законодательством РФ, Организация осуществляет получение согласия (письменного согласия) субъекта на обработку его ПДн в установленным действующим законодательством РФ порядке. Если Организация получает ПДн от третьего лица, то она требует подтверждения от этого лица, что оно имеет необходимые основания для передачи ПДн в Организацию.
Организация осуществляет, в том числе, следующие действия с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), деперсонализация, блокирование, удаление, уничтожение.
3.2. Организация в ходе своей деятельности вправе поручать обработку и/или передавать ПДн (предоставлять доступ к ПДн) третьему лицу, если иное не предусмотрено действующим законодательством РФ.
При этом обязательным условием поручения обработки и/или передачи ПДн третьему лицу является:
• обязанность по соблюдению таким лицом принципов и правил обработки ПДн,
предусмотренных действующим законодательством РФ, по соблюдению конфиденциальности и обеспечению безопасности и защиты ПДн при их обработке, обеспечению прав субъектов ПДн;
• обязательство третьего лица использовать данные исключительно в заранее определенных целях и объемах;
• обязательство третьего лица исполнять обязанности, предусмотренные частью
5 статьи 18 и статьей 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
• обязанность предоставлять документы и информацию, подтверждающие
принятие мер и соблюдение в целях исполнения поручения Организации требований, установленных статьей 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» по запросу Организации (до и во время исполнения поручения) обеспечивать безопасность персональных данных при их обработке соблюдать требования к защите персональных данных, установленные статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
• в установленном в поручении порядке информировать Организацию о фактах
неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов персональных данных;
• обязательство соблюдать иные условия обработки и защиты ПДн, которые были
указаны/сообщены/согласованы с субъектом ПДн Организацией. К подобным третьим лицам относятся, в частности, дилерские и сервисные предприятия CHANGAN в России (наименования и адреса доступны на сайте https://changanauto.ru/about/find-dealer), контрагенты Организации и иные, если указано/сообщено/согласовано с субъектом ПДн в соответствии с законодательством РФ.
3.3. При поручении обработки или передаче (предоставлении доступа к) ПДн третьему лицу возможны случаи осуществления трансграничной передачи. В этом случае Организация следует требованиям законодательства РФ и осуществляет передачу только на территорию иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или на территорию государства обеспечивающих адекватную защиту прав субъектов ПДн, а также на территорию стран, обеспечивающих адекватную защиту прав субъектов ПДн. [1]
3.4. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», устанавливающим также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3.8. Согласие на обработку ПДн может быть отозвано субъектом путем направления письменного уведомления, подписанного субъектом ПДн, на адрес электронной почты: service@novorossiysk-changanauto.ru либо в адрес Организации (353960, Краснодарский край, г. Новороссийск, ул. Золотая рыбка, (тер. Цемдолина), д.112.) заказным почтовым отправлением с описью вложения или курьерской службой, либо вручено лично под роспись уполномоченному представителю Организации.
В случае отзыва субъектом ПДн согласия на обработку его ПДн Организация прекратит их обработку или обеспечит прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) и в случае, если сохранение персональных данных более не требуется для целей обработки ПДн, уничтожит персональные данные или обеспечит их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Организацией и субъектом ПДн либо если Организация не вправе осуществлять обработку ПДн без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами. Организация при этом вправе продолжить обработку ПДн в случаях, установленных действующим законодательством РФ, или если ПДн обрабатываются в соответствии с иным законным основанием.
3.9. При наличии подписок на получение информационных и рекламных коммуникаций, субъект может обратиться к Организации с просьбой об отписке от таких коммуникаций следующими способами:
• путем активации автоматической функции «Отписаться» по ссылке, присутствующей в электронном письме, содержащем коммуникацию. В этом случае Организация прекращает направление коммуникаций на адрес электронной почты Пользователя;
• путем обращения в контактный центр Организации по телефону 8 (8617) 300-150;
• путем обращения с соответствующим запросом по адресу электронной почты: service@novorossiysk-changanauto.ru либо по адресу местонахождения Организации (353960, Краснодарский край, г. Новороссийск, ул. Золотая рыбка, (тер. Цемдолина), д.112).
3.10. Организация может запрашивать согласие субъекта ПДн неоднократно при каждом обращении субъекта. В случае если при последующих запросах Организацией согласия (например, при заполнении веб-форм с соответствующим полем для проставления галочки о согласии) таковое не будет дано, ранее данное согласие не будет автоматически признаваться отозванным и продолжит действовать в течение указанного в согласии срока.
3.11. Предоставление ПДн органам государственной власти и местного самоуправления, в суды, правоохранительные органы, а также иным надзорным органам осуществляется Организацией в случаях и в порядке, предусмотренных законодательством РФ.
3.12. Субъект ПДн имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных;
2) правовые основания и цели обработки ПДн;
3) цели и применяемые оператором способы обработки ПДн;
4) наименование и место нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к ПДн или которым могут быть раскрыты Пдн на основании договора с Организаций или на основании действующего законодательства РФ;
5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен действующего законодательства РФ;
6) сроки обработки ПДн, в том числе сроки их хранения;
7) порядок осуществления субъектом ПДн прав, предусмотренных действующего законодательства РФ;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Организации, если обработка поручена или будет поручена такому лицу;
10) информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
11) иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.
Указанное право может быть ограничено в соответствии с федеральными законами, в том числе в случаях, предусмотренных частью 8 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
В целях обеспечения защиты своих ПДн субъект имеет право:
• получать полную информацию о своих ПДн и обработке этих данных (в том числе
автоматизированной);
• безвозмездно ознакомиться со своими ПДн, за исключением случаев,
предусмотренных действующим законодательством РФ;
• требовать уточнения его ПДн, их блокирования или уничтожения в случае, если
персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, прекращения обработки (Субъект ПДн, при отказе Организации или ее уполномоченного лица исключить или исправить ПДн, имеет право заявить в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие; ПДн оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения);
• требовать от Организации или ее уполномоченного лица уведомления всех лиц,
которым ранее были сообщены неверные или неполные ПДн, обо всех произведенных в них изменениях или исключениях из них;
• обжаловать в суде любые неправомерные действия или бездействие Организации
при обработке и защите ПДн.
3.13. Запрос субъекта ПДн должен соответствовать части 3 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и содержать следующие сведения:
• номер основного документа, удостоверяющего личность субъекта персональных
данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта персональных данных в отношениях с
Организацией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных;
• подпись субъекта персональных данных или его представителя;
• запрос может быть направлен в форме электронного документа и подписан
электронной подписью в соответствии с действующим законодательством РФ либо путем направления письменного запроса заказным почтовым отправлением с описью вложения или курьерской службой по адресу нахождения Организации (353960, Краснодарский край, г. Новороссийск, ул. Золотая рыбка, (тер. Цемдолина), д.112.), либо вручено лично под роспись уполномоченному представителю Организации.
3.14. Организация отвечает на запросы и обращения субъектов ПДн и/или их представителей в сроки и в порядке, установленные в ст.ст. 14, 20, 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Установление правил и порядка обработки ПДн
4.1. В соответствии с требованиями, указанными в п.1.2 настоящего документа, в Организации в локально-нормативных документах, обязательных для исполнения всеми работниками Организации, а также в соответствующих соглашениях с партнерами, контрагентами и прочими третьими лицами в части, их касающейся, определяются:
• процедуры предоставления доступа к ПДн;
• процедуры внесения изменений в ПДн с целью обеспечения их точности,
достоверности и актуальности, в том числе по отношению к целям обработки ПДн;
• процедуры уничтожения либо блокирования ПДн в случае необходимости выполнения такой процедуры;
• процедуры обработки обращений субъектов ПДн (их законных представителей) для
случаев, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», в частности порядок подготовки информации о наличии ПДн, относящихся к конкретному субъекту ПДн, информации, необходимой для предоставления возможности ознакомления субъектом ПДн (его законными представителями) с его ПДн, а также процедуры обработки обращений об уточнении ПДн, их блокировании или уничтожении, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для установленной цели обработки;
• процедуры обработки запроса уполномоченного органа по защите прав субъектов ПДн;
• процедуры получения согласия субъекта ПДн на обработку его ПДн и на передачу обработки его ПДн третьим лицам;
• процедуры передачи ПДн третьим лицам;
• процедуры работы с материальными носителями ПДн;
• процедуры, необходимые для осуществления уведомления уполномоченного органа
по защите прав субъектов ПДн об обработке ПДн в сроки, установленные Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;
• меры, направленные на обеспечение выполнения Организацией обязанностей, по
обеспечению безопасности персональных данных при их обработке;
• необходимость применения типовых форм документов для осуществления
обработки ПДн и процедуры работы с ними.
4.2. Под типовой формой документа понимается форма документов, характер информации в которых предполагает или допускает включение в них ПДн.
4.3. К мерам, направленным на обеспечение выполнения Организацией обязанностей, по обеспечению безопасности ПДн при их обработке относятся:
1) назначение Организацией ответственного за организацию обработки персональных данных;
2) издание Организацией документов, определяющих политику Организации в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, определяющих для каждой цели обработки ПДн категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных, в том числе:
• предоставление доступа к ПДн только в случаях и в порядке, предусмотренном
законодательством РФ;
• идентификация и аутентификация субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
• ограничение программной среды;
• обеспечение целостности информационной системы и ПДн;
• регистрация событий безопасности;
• антивирусная защита;
• защита технических средств;
• защита информационной системы, ее средств, систем связи и передачи данных;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн Федеральному закону от 27.07.2006 №152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, политике Организации в отношении обработки ПДн, локальным актам Организации;
5) оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных[2], который может быть причинен субъектам ПДн в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых Организацией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
6) учетом машинных носителей ПДн;
7) ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Организации в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников;
8) обнаружением фактов несанкционированного доступа к ПДн и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
9) восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
10) контролем за принимаемыми мерами по обеспечению безопасности ПДн.
Контроль
5.1. Контроль за выполнением настоящей Политики осуществляется лицами, исполняющими соответствующие роли согласно внутренним распорядительным документам Организации, в соответствии с их функциями, а также руководителями управлений, департаментов, отделов и подразделений Организации – в отношении выполнения положений подчиняющимися ими работниками.
Заключительные положения
6.1. Настоящая Политика вступает в силу с момента ее утверждения и действует до момента отмены либо принятия нового документа в соответствии с внутренним порядком Организации.
6.2. Политика может время от времени обновляться или иным образом изменяться Организацией, при этом любые изменения подлежат опубликованию Организацией.
6.3. В случае если какое-либо из положений настоящей Политики, в силу действующего законодательства РФ, становится недействительным, это не затрагивает действительность остальных его положений, настоящая Политика продолжает свое действие в части, не противоречащей действующему законодательству. В остальной части Организация руководствуется нормами действующего законодательства РФ.
________________________________________________________________________________
[1] На основании Приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 15 марта 2013 г. № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных»
3.5. В Организации НЕ обрабатываются ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
3.6. Организация НЕ размещает ПДн субъекта ПДн в общедоступных источниках без его согласия, однако субъект ПДн вправе дать согласие на распространение его персональных данных в порядке, установленном статьей 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», с запретами и условиями их обработки или без таковых.
3.7. Организация осуществляет процессы взаимодействия с субъектами ПДн таким образом, чтобы субъект мог обратиться в Организацию по всем предусмотренным в законодательстве РФ вопросам, связанным с обработкой его ПДн (информация об обрабатываемых ПДн, о третьих лицах, о способах исполнения Организацией обязанностей, установленных статьей 18.1 Федерального закона «О персональных данных», запросы на уточнение, прекращение обработки, блокировку и уничтожение), по адресу электронной почты service@novorossiysk-changanauto.ru либо путем направления письменного запроса заказным почтовым отправлением с описью вложения или курьерской службой по адресу нахождения Организации (353960, Краснодарский край, г. Новороссийск, ул. Золотая рыбка, (тер. Цемдолина), д.112.), либо вручено лично под роспись уполномоченному представителю Организации.
[2] Приказ Роскомнадзора от 27.10.2022 №178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».