ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО УК «АВТОДОР»
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика обработки персональных данных в ООО УК «Автодор» (далее – Политика) разработана в целях обеспечения защиты прав и свобод субъекта персональных данных при обработке ООО УК «Автодор» (далее – Общество, Оператор) его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика разработана в соответствии с требованиями пункта 2 статьи 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных (далее – ФЗ № 152-ФЗ).
1.3. Правовые основания обработки персональных данных указаны в разделе 5 настоящей Политики.
1.4. Настоящая Политика применима ко всем случаям обработки персональных данных физических лиц (далее – Субъект(ы) персональных данных, Пользователь) Обществом.
1.5. Обработка и обеспечение безопасности персональных данных Обществом осуществляется в соответствии с требованиями действующего законодательства Российской Федерации.
1.6. Общество, получившее доступ к персональным данным, соблюдает конфиденциальность персональных данных – не раскрывает третьим лицам и не распространяет персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
1.7. Текущая редакция Политики размещается на официальном сайте Общества в информационно-телекоммуникационной сети «Интернет» в общем доступе по постоянному адресу: https://www.avtodor-mc.ru/politicaobrabotkipersdannih, а также на корпоративном (сетевом) ресурсе Общества.
Период действия и порядок внесения изменений
1.8. Политика вступает в силу с даты ее утверждения и/или введения в действие, действует бессрочно до принятия новой.
1.9. Изменения и дополнения в Политику утверждаются в том же порядке, в котором утверждена настоящая Политика.
1.10. Общество вправе в любое время вносить изменения в Политику. При изменении Политики Общество уведомляет об этом Субъектов персональных данных путем размещения новой редакции Политики согласно п. 1.7.
2. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка Обществом персональных данных осуществляется по следующим категориям персональных данных в следующих целях:
2.1. Персональные данные работников, бывших работников, родственников работников, законных представителей, иных категорий Субъектов персональных данных, персональные данные которых обрабатывает Общество (при необходимости):
2.1.1. обеспечения соблюдения трудового законодательства Российской Федерации;
2.1.2. выполнения требований федерального законодательства Российской Федерации;
2.1.3. обеспечения соблюдения налогового законодательства Российской Федерации;
2.1.4. ведения кадрового и бухгалтерского учета;
2.1.5. обеспечения соблюдения пенсионного законодательства Российской Федерации;
2.1.6. обеспечения соблюдения страхового законодательства Российской Федерации;
2.1.7. обеспечения соблюдения законодательства Российской Федерации о безопасности дорожного движения;
2.1.8. содействия работникам в обучении и карьерном росте;
2.1.9. выполнения требований по договору с банком;
2.1.10. архивного хранения документов, содержащих персональные данные, согласно требованиям законодательства Российской Федерации.
2.2. Персональные данные кандидатов на вакантные должности:
2.2.1. подбора персонала (соискателей) на вакантные должности;
2.2.2. принятия решения о трудоустройстве кандидата;
2.2.3. обеспечения соблюдения трудового законодательства Российской Федерации;
2.2.4. выполнения требований федерального законодательства Российской Федерации.
2.3. Персональные данные контрагентов и представителей контрагентов:
2.3.1. подготовки, заключения и исполнения гражданско-правовых договоров;
2.3.2. обеспечения соблюдения налогового законодательства Российской Федерации;
2.3.3. выполнения требований федерального законодательства Российской Федерации;
2.3.4. обеспечения соблюдения страхового законодательства Российской Федерации;
2.3.5. выполнения требований по договору с банком;
2.3.6. архивного хранения документов, содержащих персональные данные, согласно требованиям законодательства Российской Федерации.
2.4. Субъекты персональных данных, обратившиеся в Общество;
2.4.1. обеспечения своевременного и в полном объеме рассмотрения устных и письменных обращений;
2.4.2. архивного хранения документов, содержащих персональные данные, согласно требованиям законодательства Российской Федерации.
2.5. Пользователи официального сайта Общества в информационно телекоммуникационной сети «Интернет»:
2.5.1. организации доступа к информации деятельности Общества, размещаемой в информационно-телекоммуникационной сети «Интернет».
Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ – обработка персональных данных с помощью средств вычислительной техники.
БЕЗОПАСНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ – состояние защищенности персональных данных от неправомерных действий, характеризуемое способностью пользователей, технических средств и информационных систем обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке, независимо от формы их представления.
БЛОКИРОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
ИНФОРМАЦИОННАЯ СИСТЕМА ПЕРСОНАЛЬНЫХ ДАННЫХ – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
ОБЕЗЛИЧИВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту персональных данных.
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
ОПЕРАТОР, ОБЩЕСТВО – ООО УК «Автодор», которое организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными Субъектов персональных данных.
ПЕРСОНАЛЬНЫЕ ДАННЫЕ – любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (Субъекту персональных данных).
ПРЕДОСТАВЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
РАСПРОСТРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
СУБЪЕКТ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПОЛЬЗОВАТЕЛЬ – физическое лицо, которое прямо или косвенно определено (или определяемо) с помощью персональных данных.
УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
4. ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных в Обществе осуществляется в соответствии с принципами, определенными ФЗ № 152-ФЗ:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой;
- обработке подлежат только те персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;
- при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;
- хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению (либо обезличиванию) по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
4.2. Обработка персональных данных осуществляется на основании согласий на обработку персональных данных (Приложение № 1, формы «а» – «д», выбрать нужное), полученных от Субъекта персональных данных в соответствии с настоящей Политикой, за исключением случаев, предусмотренных законодательском Российской Федерации, и/или на основании договоров, заключаемых между Оператором и Субъектом персональных данных.
4.3. Безопасность персональных данных в Обществе обеспечивается принятием мер и выполнением мероприятий, указанных в разделе 11 настоящей Политики, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем персональных данных в случае реализации угроз.
5. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Общество обрабатывает персональные данные на основании:
- Гражданского кодекса Российской Федерации;
- Трудового кодекса Российской Федерации;
- Налогового кодекса Российской Федерации;
- Федерального закона от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
- Федерального Закона от 15.12.2001 № 167 «Об обязательном пенсионном страховании в Российской Федерации»;
- Федерального закона от 10.12.1995 № 196-ФЗ «О безопасности дорожного движения»;
- Федерального закона от 07.07.2003 № 126-ФЗ «О связи»;
- Постановления Правительства от 27.11.2006 № 719 «Об утверждении Положения о воинском учете»;
- устава ООО УК «Автодор»;
- трудовых и гражданско-правовых договоров, предусматривающих обработку персональных данных;
- иных законодательных и нормативных актов Российской Федерации.
5.2. В случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям ООО УК «Автодор», обработка персональных данных осуществляется с согласия Субъекта персональных данных на обработку его персональных данных.
5.3. Обработка персональных данных прекращается при реорганизации или ликвидации ООО УК «Автодор».
6. ПРАВА И ОБЯЗАННОСТИ ОБЩЕСТВА И СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Права и обязанности Общества
6.1.1. Права и обязанности Общества определяются действующим законодательством Российской Федерации и соглашениями Общества.
6.1.2. В соответствии с требованиями ФЗ № 152-ФЗ, выступая в качестве Оператора, обязуется:
- соблюдать законность целей и способов обработки персональных данных;
- ограничивать обработку персональных данных достижением определенных целей;
- обрабатывать только те персональные данные, которые отвечают целям обработки;
- не допускать объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- хранить персональные данные в форме, позволяющей определить Субъекта персональных данных, не дольше, чем того требуют цели обработки;
- обеспечивать хранение персональных данных в тайне, не разглашать без предварительного письменного разрешения Субъекта персональных данных, а также не осуществлять продажу, обмен, опубликование либо разглашение иными возможными способами переданных персональных данных Субъекта, за исключением предусмотренных настоящей Политикой;
- обеспечить точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки;
- уничтожать персональные данные в случаях, указанных в п. 10.2 настоящей Политики;
- уведомлять Субъекта персональных данных об уничтожении его персональных данных;
- обеспечивать конфиденциальность персональных данных;
- принимать необходимые меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
- по запросу Субъекта персональных данных сообщить о наличии персональных данных, предоставить возможность ознакомления с обрабатываемыми персональными данными, а также предоставлять информацию, касающуюся обработки персональных данных Субъекта персональных данных;
- осуществить блокирование персональных данных, относящихся к соответствующему Субъекту персональных данных, с момента обращения или запроса Субъекта персональных данных, его законного представителя на период проверки в случае выявления недостоверных персональных данных или неправомерных действий. В случае, если выявлены действия, указанные в настоящем абзаце, то необходимо уничтожить персональные данные Субъекта персональных данных в соответствии с п. 10.2 настоящей Политики;
- отстаивать свои интересы в суде;
- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством Российской Федерации;
- предоставлять персональные данные Субъекта без его согласия в случаях, предусмотренных законодательством Российской Федерации;
6.1.3. При сборе персональных данных Оператор обязан предоставить Субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 ФЗ № 152-ФЗ.
6.1.4. При сборе персональных данных Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных Субъекта персональных данных с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 ФЗ № 152-ФЗ.
6.2. Права и обязанности Субъекта персональных данных
6.2.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые Оператором способы обработки персональных данных;
4) наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором, на основании законодательства Российской Федерации;
5) обрабатываемые персональные данные, относящиеся к соответствующему Субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством Российской Федерации;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления Субъектом персональных данных прав, предусмотренных ФЗ № 152-ФЗ;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
10) информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 ФЗ № 152-ФЗ;
11) иные сведения, предусмотренные ФЗ № 152-ФЗ или другими федеральными законами.
6.2.2. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.2.3. Субъект персональных данных имеет право отзывать согласие на обработку персональных данных в соответствии с требованиями, указанными в п. 10.1 настоящей Политики.
6.2.4. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
6.2.5. Субъект персональных данных имеет право обжаловать действие или бездействие Общества в уполномоченный орган по защите прав Субъекта персональных данных или в суд.
7. ПОЛУЧЕНИЕ, ИСПОЛЬЗОВАНИЕ И РАСКРЫТИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Общество собирает только те персональные данные, которые необходимы для достижения целей, указанных в разделе 2 настоящей Политики.
7.2. Персональные данные Субъекта персональных данных получаются Обществом:
- путем личной передачи Субъектом своих персональных данных Обществу при внесении сведений в формы на бумажном носителе, включая заполнение Согласия на обработку персональных данных на бумажном носителе (Приложение № 1, формы «а» – «д», выбрать нужное). Равнозначным содержащему собственноручную подпись Субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Хранение полученных персональных данных Субъекта персональных данных должно быть осуществлено в соответствии с требованиями, указанными в разделе 11 настоящей Политики;
- иными способами, не противоречащими законодательству Российской Федерации о защите персональных данных.
7.3. Согласие считается полученным в установленном порядке и действует до момента направления Субъектом персональных данных соответствующего заявления о прекращении обработки персональных данных в соответствии с подп. 6.2.3 настоящей Политики.
7.4. В случаях обработки персональных данных, полученных не от Субъекта напрямую, а от других лиц на основании договора или поручения на обработку, обязанность получения согласия Субъекта является лицо, от которого получены персональные данные.
7.5. Субъект персональных данных может в любой момент отозвать свое согласие на обработку персональных данных (см. п. 10.1).
7.6. Общество оставляет за собой право использовать обезличенную информацию, относящуюся к данным, указанным Субъектом персональных данных.
7.7. Общество не проверяет подлинность имени и контактных данных, указываемых Субъектом персональных данных.
7.8. Общество не разглашает персональные данные о Субъекте персональных данных без согласия Субъекта персональных данных. Общество вправе передать персональные данные о Субъекте персональных данных третьим лицам только в случаях, указанных в п. 11.1 настоящей Политики.
8. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. В Обществе обрабатываются персональные данные Субъектов персональных данных. К категориям Субъектов персональных данных относятся:
8.1.1. Работники Оператора, бывшие работники, законные представители, кандидаты на замещение вакантных должностей, а также родственники работников и Субъекты персональных данных, персональные данные которых обрабатываются в Обществе (при необходимости).
В данной категории Субъектов персональных данных Оператором обрабатываются персональные данные в связи с реализацией трудовых отношений:
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата (число, месяц, год) и место рождения (страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт);
- адрес места жительства (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);
- сведения о регистрации по месту жительства или пребывания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);
- номера телефонов (домашний, мобильный, рабочий), адрес электронной почты;
- замещаемая должность;
- сведения о трудовой деятельности (наименования организаций (органов) и занимаемых должностей, продолжительность работы (службы) в этих организациях (органах));
- идентификационный номер налогоплательщика (дата (число, месяц, год) и место постановки на учет, дата (число, месяц, год) выдачи свидетельства);
- данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
- данные полиса обязательного медицинского страхования;
- данные паспорта или иного удостоверяющего личность документа;
- данные паспорта, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации;
- данные трудовой книжки, вкладыша в трудовую книжку;
- сведения о воинском учете (серия, номер, дата (число, месяц, год) выдачи, наименование органа, выдавшего военный билет, военно-учетная специальность, воинское звание, данные о принятии/снятии на (с) учет(а), о прохождении военной службы, о пребывании в запасе, о медицинском освидетельствовании и прививках);
- сведения об образовании (наименование образовательной организации, дата (число, месяц, год) окончания, специальность и квалификация, ученая степень, звание, реквизиты документа об образовании и о квалификации);
- сведения о получении дополнительного профессионального образования (дата (число, месяц, год), место, программа, реквизиты документов, выданных по результатам);
- сведения о владении иностранными языками (иностранный язык, уровень владения);
- сведения о судимости (наличие (отсутствие) судимости, дата (число, месяц, год) привлечения к уголовной ответственности (снятия или погашения судимости), статья);
- сведения о дееспособности (реквизиты документа, устанавливающие опеку (попечительство), основания ограничения в дееспособности, реквизиты решения суда);
- сведения об участии в управлении хозяйствующим субъектом (за исключением жилищного, жилищно-строительного, гаражного кооперативов, садоводческого, огороднического, дачного потребительских кооперативов, товарищества собственников недвижимости и профсоюза, зарегистрированного в установленном порядке), занятии предпринимательской деятельностью;
- сведения, содержащиеся в медицинском заключении установленной формы об отсутствии у гражданина заболевания, препятствующего поступлению на гражданскую службу или ее прохождению (наличие (отсутствие) заболевания, форма заболевания);
- сведения о наградах, иных поощрениях и знаках отличия (название награды, поощрения, знака отличия, дата (число, месяц, год) присвоения, реквизиты документа о награждении или поощрении);
- сведения о дисциплинарных взысканиях;
- сведения, содержащиеся в материалах служебных проверок;
- сведения о семейном положении (состояние в браке (холост (не замужем), женат (замужем), повторно женат (замужем), разведен(а), вдовец (вдова), с какого времени в браке, с какого времени в разводе, количество браков, состав семьи, реквизиты свидетельства о заключении брака);
- сведения о близких родственниках (степень родства, фамилия, имя, отчество, дата (число, месяц, год) и место рождения, место и адрес работы (службы), адрес места жительства, сведения о регистрации по месту жительства или пребывания);
- сведения, содержащиеся в справках о доходах, расходах, об имуществе и обязательствах имущественного характера;
- номер расчетного счета;
- информация об оформленных допусках к государственной тайне;
- сведения об адресах сайтов и (или) страниц сайтов в информационно- телекоммуникационной сети «Интернет», на которых работником Общества, гражданином, претендующим на замещение должностей, размещалась общедоступная информация, а также данные, позволяющие его идентифицировать;
- иные персональные данные, которые отвечают целям обработки персональных данных, указанных в п. 2.1, 2.2 настоящей Политики.
8.1.2. Представители/работники клиентов и контрагентов Оператора (юридических лиц).
В данной категории Субъектов персональных данных Оператором обрабатываются персональные данные, полученные Оператором в связи с заключением договора, стороной которого является клиент/контрагент (юридическое лицо), и используемые Оператором исключительно для исполнения указанного договора:
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата (число, месяц, год) и место рождения (страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт);
- адрес места жительства (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);
- сведения о регистрации по месту жительства или пребывания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);
- номера телефонов (домашний, мобильный, рабочий), адрес электронной почты;
- замещаемая должность;
- идентификационный номер налогоплательщика (дата (число, месяц, год) и место постановки на учет, дата (число, месяц, год) выдачи свидетельства);
- данные паспорта или иного удостоверяющего личность документа;
- сведения об участии в управлении хозяйствующим субъектом (за исключением жилищного, жилищно-строительного, гаражного кооперативов, садоводческого, огороднического, дачного потребительских кооперативов, товарищества собственников недвижимости и профсоюза, зарегистрированного в установленном порядке), занятии предпринимательской деятельностью;
- номер расчетного счета;
- иные персональные данные, которые отвечают целям обработки персональных данных, указанных в п. 2.3 настоящей Политики.
8.1.3. Субъекты персональных данных, обратившиеся в Общество:
- фамилия, имя, отчество (при наличии);
- адрес места жительства (при наличии);
- адрес электронной почты (при наличии);
- номера телефонов (домашний, мобильный) при наличии;
- иные персональные данные, указанные в обращении, а также ставшие известными в ходе личного приема или в процессе рассмотрения обращения.
8.2. Общество не обрабатывает персональные данные, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями.
8.3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений Обществом не осуществляется.
8.3.1. Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности Субъекта персональных данных) в Обществе не обрабатываются.
9. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление), обезличивание, блокирование, уничтожение персональных данных и иные способы, которые не противоречат законодательству Российской Федерации.
9.2. Обработка персональных данных Обществом осуществляется следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных;
- смешанная обработка персональных данных.
9.3. Обработка персональных данных в Обществе осуществляется в информационных системах Общества. Перечень информационных систем персональных данных Общества утверждается грифом утверждения либо организационно-распорядительным документом Общества.
9.4. Работникам Общества, имеющим право осуществлять обработку персональных данных в информационных системах Общества, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе в соответствии с локальными нормативными документами Общества, регламентирующими единые правила по работе с персональными данными для работников Общества, задействованных в процессе обработки персональных данных.
9.5. Информация в информационные системы Общества вносится как в автоматическом режиме, так и в ручном режиме при получении информации на бумажном носителе и по электронной почте.
9.6. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах Общества, достигается путем исключения несанкционированного, в том числе случайного доступа к персональным данным.
9.7. Доступ работников Общества к персональным данным, находящимся в информационных системах персональных данных Общества, предусматривает обязательное прохождение процедуры идентификации и аутентификации.
9.8. Обмен персональными данными при их обработке в информационных системах персональных данных Общества осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и применения программных и технических средств в соответствии со статьей 19 ФЗ № 152-ФЗ.
9.9. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
9.10. В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных Общества уполномоченными должностными лицами Общества принимаются меры по установлению причин нарушений и их устранению с момента обнаружения таких нарушений.
Условия обработки персональных данных
9.11. Общество производит обработку персональных данных при наличии следующих условий:
- обработка персональных данных осуществляется с согласия Субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для достижения целей, указанных в разделе 2 настоящей Политики;
- в иных случаях, предусмотренных законодательством Российской Федерации.
9.12. Срок обработки персональных данных Обществом не может превышать 30 дней после того, как цель достигнута.
9.13. В случае, если Общество поручает обработку персональных данных другому лицу, ответственность перед Субъектом персональных данных за действия указанного лица несет Общество. Лицо, осуществляющее обработку персональных данных по поручению Общества, несет ответственность перед Обществом.
9.14. Доступ к обработке персональных данных Субъектов персональных данных предоставляется работникам Общества, указанным в Перечне работников, допущенных к работе с персональными данными, обрабатываемыми в Обществе, в соответствии с Приложением № 2 к настоящей Политике.
9.15. Работники, указанные в подп. 9.14, в обязательном порядке подписывают обязательство о неразглашении информации, содержащей персональные данные, в соответствии с Приложением № 3 к настоящей Политике.
10. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Общество предоставляет Субъектам персональных данных возможность уточнить (актуализировать), представить отзыв на использования своих персональных данных в любой момент, направив электронное письмо на адрес: info@avtodor-mc.ru, а оригинал этого письма на почтовый адрес офиса: 127006, г. Москва, Страстной бульвар, дом 9. Субъект персональных данных имеет право обратиться по вышеуказанным адресам для получения информации, указанной в п.6.2 настоящей Политики.
10.2. Обрабатываемые персональные данные подлежат уничтожению при наступлении следующий условий:
- достижение целей обработки персональных данных или максимальных сроков хранения (см. п. 11.6) – в течение 30 дней;
- утрата необходимости в достижении целей обработки персональных данных – в течение 30 дней;
- предоставление Субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки – в срок, не превышающий 7 рабочих дней со дня представления Субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
- невозможность обеспечения правомерности обработки персональных данных – в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных,
- отзыв Субъектом персональных данных согласия на обработку персональных данных – в течение 30 дней;
- истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;
- ликвидация (реорганизация) Общества, если обработка осуществлялась исключительно в интересах данного Общества и отсутствует какой-либо правопреемник Общества.
11. ХРАНЕНИЕ, КОНФИДЕНЦИАЛЬНОСТЬ И БЕЗОПАСНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Общество обеспечивает конфиденциальность персональных данных и безопасность их обработки в соответствии с законодательством Российской Федерации, условиями заключенных соглашений и договоров, кроме случаев:
- представлено согласие на обработку персональных данных, разрешенных Субъектом персональных данных для распространения;
- если информация подлежит обязательному раскрытию третьим лицам, включая государственные органы, в соответствии с законодательством Российской Федерации.
11.2. Общество предпринимает необходимые и достаточные правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:
- назначение работника Общества, ответственного за организацию обработки персональных данных, а также назначения работника, ответственного за обеспечение безопасности обработки персональных данных в Обществе;
- обучение работников Общества по вопросам обработки персональных данных,
- обеспечения информационной безопасности в Обществе;
- обеспечение физической безопасности помещений и средств обработки, пропускного режима, охраны, видеонаблюдения;
- ограничение и разграничение доступа работников Общества к персональным данным и средствам обработки, мониторинг действий с персональными данными;
- определение угроз безопасности персональных данных при их обработке в информационных системах, формирование на их основе моделей угроз;
- применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе, в необходимых случаях, прошедших процедуру оценки соответствия в установленном порядке;
- разработка Обществом организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, после чего утверждение вышеуказанных мер приказом генерального директора Общества.
- учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
- резервное копирование информации для возможности восстановления;
- осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты;
- проверка наличия в договорах, включение при необходимости в договоры пунктов об обеспечении конфиденциальности и безопасности персональных данных;
- иные меры в соответствии со статьей 19 ФЗ № 152-ФЗ.
11.3. Хранение персональных данных должно осуществляться в соответствии с принципами, установленными абз. 8 п. 4.1 настоящей Политики.
11.4. Сроки хранения персональных данных в Обществе определяются в соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденным приказом Федерального архивного агентства от 20 декабря 2019 г. № 236.
11.5. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
11.6. Максимальный срок хранения персональных данных Обществом не может превышать 30 дней после того, как цель достигнута.
11.7. При осуществлении хранения персональных данных Общество использует базы данных, находящиеся на территории Российской Федерации.
11.8. Работниками структурного подразделения Общества, ответственными за документооборот и архивирование, осуществляется систематический контроль и выявление документов, содержащих персональные данные с истекшими сроками хранения.
11.9. После истечения срока обработки, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию.
11.10. Вопрос об уничтожении документов, указанных в п. 11.9, рассматривается на заседании комиссии Общества, состав которой утверждается приказом генерального директора Общества.
11.11. По итогам заседания комиссии Общества составляются акт о выделении к уничтожению носителей, содержащих персональные данные Субъектов персональных данных, акт об уничтожении материальных носителей, содержащих персональные данные Субъектов персональных данных, акт об уничтожении документов/носителей, содержащих персональные данные Субъектов персональных данных. Акты подписываются председателем и членами экспертной комиссии Общества и утверждаются генеральным директором Общества.
Уничтожение персональных данных по окончании срока их обработки на электронных носителях производится путем механического нарушения их целостности, не позволяющим произвести считывание и восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации.
12. ОТВЕТСТВЕННОСТЬ
12.1. Права, обязанности и ответственность Общества определяются законодательством Российской Федерации.
12.2. Ответственность работников Общества, участвующих в обработке персональных данных в силу выполнения функциональных обязанностей, за ненадлежащую обработку и неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Обществом и работником обязательства о неразглашении информации, а также в соответствии с локальными нормативными документами Общества.
12.3. Лица, виновные в нарушении норм, регулирующих обработку и обеспечение информационной безопасности персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном законодательством Российской Федерации.
13. ПРИЛОЖЕНИЯ*
Приложение № 1:
а) форма согласия Субъекта персональных данных на обработку персональных данных;
б) форма согласия Субъекта персональных данных на поручение обработки персональных данных третьим лицам;
в) форма согласия Субъекта персональных данных на передачу персональных данных третьим лицам;
г) форма согласия Субъекта персональных данных на обработку персональных данных, разрешенных Субъектом персональных данных для распространения;
д) форма согласия Субъекта персональных данных на включение персональных данных в общедоступные источники персональных данных.
Приложение № 2 – перечень работников, допущенных к работе с персональными данными, обрабатываемыми в Обществе.
Приложение № 3 – форма обязательства о неразглашении информации, содержащей персональные данные.
Приложение № 4 – инструкция по рассмотрению обращений Субъектов персональных данных и их законных представителей.
Приложение № 5 – форма разъяснения Субъекту персональных данных юридических последствий отказа предоставить свои персональные данные и (или) дать согласие на их обработку.
Приложение № 6 – форма уведомления о получении персональных данных от третьих лиц.
* приложения не для публикации