Политика сбора, хранения и обработки персональных данных пользователей сайта

ПОЛИТИКА ООО «АТОЛ ДРАЙВ» В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И РЕАЛИЗАЦИИ ТРЕБОВАНИЙ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ 

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1.  Настоящая политика в области обработки и защиты персональных данных разработана в целях обеспечения реализации требований законодательства РФ в области обработки персональных данных субъектов персональных данных и раскрывает основные категории персональных данных, обрабатываемых оператором, цели, способы и принципы обработки Оператором персональных данных, права и обязанности Оператора персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке.

1.2. В настоящей Политике используются следующие основные понятия:

-           персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

-           оператор – ООО «АТОЛ ДРАЙВ», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

-           обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

-           автоматизированная обработка персональных данных - обработка персональных данных с помощью средств автоматизированная обработка персональных данных вычислительной техники;

-           неавтоматизированная обработка персональных данных - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;

-           распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

-           предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

-           блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

-           обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

-           информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ

ДАННЫХ

Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:

-           Конституция Российской Федерации;

-           Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных";

-           Гражданский кодекс Российской Федерации;

-           Трудовой кодекс Российской Федерации;

-           Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

-           Постановление Правительства РФ от 6 июля 2008 г. № 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";

-           Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

-           Постановление Правительства РФ от 23 ноября 2012 г. № 1213 «О требованиях к тахографам, категориях и видах оснащаемых ими транспортных средств, порядке оснащения транспортных средств тахографами, правилах их использования, обслуживания и контроля их работы"

-           Приказ Министерства транспорта Российской Федерации от 13 февраля 2013 г. № 36 "Об утверждении требований к тахографам, устанавливаемым на транспортные средства, категорий и видов транспортных средств, оснащаемых тахографами, правил использования, обслуживания и контроля работы тахографов, установленных на транспортные средства» (Зарегистрировано в Минюсте РФ 7 марта 2013 г. Регистрационный N27574);

-           Федеральный закон от 06 апреля 2011 г. № 63-ФЗ (ред. от 28.06.2014 г.) «Об электронной подписи».

1.        ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Оператор обрабатывает персональных данные в целях:

4.1.       оформления трудовых отношений и ведения кадрового учёта, пропуска работников, 

4.2.       оформления и исполнения гражданско-правовых договоров, 

4.3.       выпуска карт тахографа и их доставки, 

4.4.       проведения информационных и рекламных рассылок, 

4.5.       организации участия заинтересованных лиц в конференциях ООО «АТОЛ ДРАЙВ», 

4.6.       создания и доступа к личным кабинетам сайтов ООО «АТОЛ ДРАЙВ», 

4.7.       рассмотрения и ответа на обращения физических лиц.

2.        СОСТАВ И СУБЪЕКТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1.   Оператор осуществляет обработку следующих категорий персональных данных: 

-           в указанных в п. 4.1. настоящей Политики целях - фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, телефон, семейное положение, образование, профессия, ИНН, номер страхового свидетельства государственного пенсионного страхования (СНИЛС), номер полиса обязательного медицинского страхования, сведения о документах, удостоверяющих личность, сведения о воинском учёте, электронный адрес;

-           в указанных в п. 4.2. настоящей Политики целях - фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, данные о документе, удостоверяющего личность, телефон, электронный адрес;

-           в указанных в п. 4.3 настоящей Политики целях - фамилия, имя, отчество, гражданство, место работы, год, месяц, дата рождения, ИНН, номер страхового свидетельства государственного пенсионного страхования (СНИЛС), данные о документе, удостоверяющего личность, данные водительского удостоверения, фотография, образец подписи, номер ранее выданной карты тахографа (при наличии), адрес доставки, телефон, электронный адрес;

-           в указанных в п. 4.4 настоящей Политики целях - фамилия, имя, отчество, электронный адрес;

-           в указанных в п. 4.5 настоящей Политики целях - фамилия, имя, отчество, место работы, должность, год, месяц, дата рождения, данные о документе, удостоверяющего личность, город проживания, адрес, телефон, электронный адрес;

-           в указанных в п. 4.6 настоящей Политики целях - фамилия, имя, отчество, место работы, должность, год, телефон, электронный адрес;

-           в указанных в п. 4.7 настоящей Политики целях - фамилия, имя, отчество, адрес, телефон, электронный адрес.

2.2.   Субъекты персональных данных (физические лица):

-           работники (кандидаты) организации;

-           владельцы и получатели карт тахографа – физические лица;

-           руководители и (или) представители юридических лиц, действующие от имени предприятий - заказчиков карт тахографа;

-           лица, подписавшиеся на рассылку информационных и рекламных сообщений;

-           участники конференций,

-           лица, регистрирующиеся на сайтах ООО «АТОЛ ДРАЙВ»,

-           лица, обратившиеся в ООО «АТОЛ ДРАЙВ» с обращением, жалобой или заявлением.

3.        ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1.   Обработка персональных данных осуществляется на основе принципов:

-           законности и справедливости целей и способов обработки персональных данных;

-           соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям организации;

-           соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

-           достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

-           недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;

-           хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

-           уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

3.2.   Обработка персональных данных допускается при соблюдении следующих условий:

6.2.1.       субъект персональных данных дал согласие на обработку своих персональных данных, в том числе путем проставления соответствующих отметок на сайте Оператора в сети Интернет;

6.2.2.       обработка персональных данных осуществляется Оператором без согласия субъекта в случаях, когда она необходима для исполнения договора, стороной которого либо выгодоприобретателем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем. В этом случае персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных.

3.3.   Обработка персональных данных осуществляется следующим способом:

- неавтоматизированная обработка персональных данных;

- автоматизированная обработка персональных данных;

- смешанная обработка персональных данных.

При автоматизированной либо смешанной обработке персональных данных информация передается по внутренней сети юридического лица (информация доступна лишь для строго определенных сотрудников), с использованием сети Интернет, в том числе с использованием защищенных каналов связи.

3.4.   Трансграничная передача персональных данных на территории иностранных государств Оператором не осуществляется.

3.5.   Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению оператора, принимает на себя обязательства соблюдать принципы и правила обработки персональных данных, федеральными законами. В поручении оператора определяются перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных.

4.        КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1.    Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

4.2.    Работники, получившие доступ к обрабатываемым персональным данным, принимают на себя обязательство о неразглашении конфиденциальной информации, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области обработки персональных данных.

5.        ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1.   Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

-           подтверждение факта обработки персональных данных Оператором;

-           правовые основания и цели обработки персональных данных;

-           цели и применяемые Оператором способы обработки персональных данных;

-           наименование и место нахождения Оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

-           обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

-           сроки обработки персональных данных, в том числе сроки их хранения;

-           порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

-           наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

-           иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

5.2.   Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5.3.   Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в вышестоящий орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор) или в судебном порядке.

5.4.   Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке

6.        ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

6.1.   Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими мерами:

6.1.1Назначен ответственный за организацию обработки персональных данных.

6.1.2Утверждён перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных обязанностей.

6.1.3Издание Оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

6.1.4Ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;

6.1.5Используемая Оператором информационная система персональных данных классифицирована и выполнены требования, необходимые для обеспечения защищенности персональных данных при их обработке в информационных системах с учетом требований Постановления Правительства РФ от 1 ноября 2012 года № 1119;

6.1.6  Разработана модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных, используемой Оператором;

6.1.7 Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе установленного уровня защищённости персональных данных определены в соответствии с требованиями ФСТЭК России;

6.1.8Ведётся учёт машинных носителей персональных данных;

6.1.9 В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организовано проведение периодических проверок условий обработки персональных данных и принятие мер по фактам несанкционированного доступа к персональным данным;

6.1.10               При обработке персональных данных, осуществляемой без использования средств автоматизации, выполняются требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

6.2.   Обязанности должностных лиц, осуществляющих обработку и защиту персональных данных, а также их ответственность, определены локальными актами организации и должностными инструкциями сотрудников.

7.        ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

7.1.   Настоящая Политика является общедоступной и подлежит размещению на официальном сайте Оператора.

7.2.   Настоящая Политика может быть изменена в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных или переутверждена при отсутствии изменений, но не реже одного раза в год. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее утверждения Генеральным директором ООО «АТОЛ ДРАЙВ».

7.3.   Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных.