ПОЛИТИКА общества с ограниченной ответственностью «Арбеково» в отношении обработки персональных данных
1 Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон). Политика определяет основные подходы (принципы) и обусловленную ими целенаправленную деятельность общества с ограниченной ответственностью «Арбеково» по обработке персональных данных.
1.2. Основные понятия (термины) в Политике, используются в том значении, в котором они определены Законом. Общество с ограниченной ответственностью «Арбеково», находящееся по адресу Российская Федерация, г. Пенза, ул. Ульяновская, стр. 89, помещ. 1, тел. 8(8412)23-89-89 является Оператором персональных данных (далее - Оператор). Оператор самостоятельно определяет цели обработки персональных данных, их состав и действия с ними.
1.3. Основные права Оператора:
- определять состав и перечень мер, необходимых и достаточных для исполнения установленных требований по защите персональных данных;
- поручить обработку персональных данных другому лицу с согласия субъекта персональных данных;
- в случае отзыва субъектом персональных данных согласия на обработку персональных данных - продолжить обработку персональных данных при наличии оснований, установленных Законом.
1.4. Основные обязанности Оператора:
- организовывать обработку персональных данных в соответствии с требованиями Закона;
- отвечать на обращения субъектов персональных данных;
- предоставлять в уполномоченный государственный орган запрашиваемые сведения.
1.5. Основные права субъекта персональных данных:
- получать информацию, касающуюся обработки его персональных данных;
- требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в определенных Законом случаях;
- обжаловать в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций РФ (Роскомнадзор) или в судебном порядке действия или бездействие Оператора.
2 Цели сбора персональных данных
2.1. Обработка Оператором персональных данных осуществляется в следующих целях:
- продвижение товаров, работ и услуг на рынке путем осуществления прямых контактов с клиентами (потенциальными клиентами) при помощи различных средств связи: телефонные переговоры, SMS-сообщения, электронные письма, мультимедийные и текстовые сообщения в программах для обмена сообщениями (мессенджерах), личные сообщения в социальных сетях и т.п.;
- проведение маркетинговых программ, статистических и иных исследований, опросов, направленных на выявление удовлетворенности клиентов (субъектов персональных данных) качеством товаров и услуг Оператора;
- осуществление гражданско-правовых отношений при осуществлении уставной деятельности Оператора, исполнение договорных обязательств;
- ведение кадрового делопроизводства, управление трудовыми отношениями;
- ведение бухгалтерского и налогового учета;
- передача в органы власти и иные уполномоченные организации документов и отчетности.
3 Правовые основания
3.1. Правовые основания обработки персональных данных клиентов Оператора:
- Решение Коллегии Евразийской экономической комиссии от 22.09.2015 № 122 «Об утверждении Порядка функционирования систем электронных паспортов транспортных средств (электронных паспортов шасси транспортных средств) и электронных паспортов самоходных машин и других видов техники»;
- Гражданский Кодекс РФ;
- Налоговый кодекс РФ;
- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 03.08.2018 № 283-ФЗ «О государственной регистрации транспортных средств в Российской Федерации и о внесении изменений в отдельные законодательные акты Российской Федерации»;
- Постановление Правительства РФ от 11.04.2001 № 290 «Постановление Правительства РФ от 11.04.2001 № 290 «Об утверждении Правил оказания услуг (выполнения работ) по техническому обслуживанию и ремонту автомототранспортных средств».
3.2. Правовые основания обработки персональных данных работников (бывших работников) Оператора и кандидатов на работу у Оператора:
- Трудовой кодекс РФ;
- Налоговый кодекс РФ;
- Постановление Госкомстата РФ № 1 от 05.01.2004.
3.3. Правовым основанием обработки персональных данных также являются договоры, заключаемые между Оператором и субъектами персональных данных и согласие субъектов персональных данных на обработку их персональных данных.
4 Информационные системы персональных данных. Объем и категории субъектов персональных данных
4.1. Обрабатываемые Оператором персональные данные сгруппированы в три самостоятельные обособленные друг от друга системы персональных данных:
- Информационная система персональных данных «Клиенты» (ИСПД «Клиенты») - автоматизированная информационная система персональных данных лиц, имеющих гражданско-правовые (договорные) отношения с Оператором;
- Информационная система персональных данных «Работники» (ИСПД «Работники») - автоматизированная информационная система персональных данных работников и бывших работников Оператора;
- Неавтоматизированный банк персональных данных «Соискатели» (НБПД «Соискатели») - неавтоматизированный банк персональных данных лиц, изъявивших желание трудоустроится на работу у Оператора.
4.2. В ИСПД «Клиенты» обрабатываются следующие персональные данные:
- Фамилия, имя, отчество, дата и место рождения; пол, возраст; паспортные данные, адрес регистрации по месту жительства и адрес фактического проживания, изображение паспорта; номер телефона (домашний, рабочий, мобильный), номер мессенджера (Viber, WhatsApp, Telegram и т.п.), адрес электронной почты; идентификатор (логин) в социальных сетях; изображение (фотография) в виде копии страницы паспорта (фотография в виде копии страницы паспорта хранится в целях подтверждения факта заключения договора купли-продажи автомобиля, фотография не используется в целях идентификации субъекта); сведения о принадлежащем транспортном средстве (марка, модель, VIN, регистрационный знак); сведения о проведении технического обслуживания и ремонта транспортного средства; иные персональные данные клиентов, предоставляемые в соответствии с требованиями законодательства.
4.3. В ИСПД «Работники» обрабатываются следующие персональные данные: фамилия, имя, отчество, дата и место рождения; пол, возраст; паспортные данные, адрес регистрации по месту жительства и адрес фактического проживания; номер телефона (домашний, рабочий, мобильный), номер мессенджера (Viber, WhatsApp, Telegram и т.п.), адрес электронной почты; идентификатор (логин) в социальных сетях; изображение (фотография) (фотография не используется для установления личности субъекта персональных данных); данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации; семейное положение, сведения о составе семьи, которые могут понадобиться работодателю для предоставления льгот, предусмотренных трудовым и налоговым законодательством; отношение к воинской обязанности, нахождение на воинском учете; сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы; сведения о поощрениях и дисциплинарных взысканиях, сведения об удержании алиментов; сведения об инвалидности; сведения о временной нетрудоспособности; сведения медицинского заключения о допуске работника к определенному виду работ (по специальности) для выполнения трудовой функции; индивидуальный номер налогоплательщика (ИНН); страховой номер индивидуального лицевого счета (СНИЛС); информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности; сведения о доходах у Оператора; сведения о деловых и иных личных качествах, носящих оценочный характер; иные персональные данные работников, предоставляемые в соответствии с требованиями законодательства.
4.4. В НБПД «Соискатели» обрабатываются те же персональные данные, что в ИСПД «Работники», за исключением сведений о доходе у Оператора.
4.5. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев обработки персональных данных работников о состоянии их здоровья, относящиеся к вопросу о возможности выполнения работником трудовой функции. Оператором не осуществляется обработка биометрических персональных данных.
5 Основные условия обработки персональных данных
5.1. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
5.2. В ИСПД «Клиенты» и ИСПД «Работники» Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных. При этом автоматизированная обработка осуществляется Оператором при непосредственном участии человека (работника Оператора). Исключительно автоматизированная обработка персональных данных у Оператора не осуществляется.
5.3. В НБПД «Соискатели» Оператор осуществляет только неавтоматизированную обработку персональных данных.
5.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных. Допуск работников осуществляется после ознакомления с соответствующими нормативно-правовыми актами и внутренними документами Оператора.
5.5. Передача персональных данных в правоохранительные органы, органы военного управления, в Федеральную налоговую службу РФ, государственные фонды и другие уполномоченные органы государственной власти и управления, а также в иные организации осуществляется в порядке, установленном законодательством Российской Федерации.
5.6. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных:
определяет угрозы безопасности персональных данных при их обработке;
принимает локальные нормативные акты в сфере обработки персональных данных;
назначает ответственное лицо за обработку персональных данных;
создает необходимые условия для работы с персональными данными;
организует учет документов, содержащих персональные данные;
обучает работников, осуществляющих обработку персональных данных.
5.7. Оператор осуществляет хранение персональных данных ИППД «Клиенты» и ИСПД «Работники» не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом или договором.
5.8. Оператор осуществляет хранение персональных данных НБПД «Соискатели» в течение 12 месяцев.
5.9. Оператор обрабатывает персональные данные с использованием баз данных, находящихся на территории Российской Федерации.
6 Заключительные положения
6.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в Законе, предоставляются Оператором субъекту персональных данных при его обращении к Оператору либо при получении запроса субъекта персональных данных.
6.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, персональные данные подлежат уничтожению, если:
иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом или иными федеральными законами;
иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
6.3. В случае изменения Закона и/или подзаконных нормативно-правовых актов в области обработки персональных данных, настоящая Политика действует в той части, которая не противоречит обновленному законодательству.
СВЕДЕНИЯ о реализуемых ООО «Арбеково» требованиях к защите персональных данных
Обеспечение безопасности персональных данных, обрабатываемых в информационных системах Оператора, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональных данных, а также принятия следующих мер по обеспечению безопасности:
- Идентификация пользователей;
- Управление доступом, разграничение прав и привилегий пользователей;
- Установка и/или запуск только разрешенного программного обеспечения;
- Защита машинных носителей персональных данных;
- Регистрации событий безопасности и реагирование на них;
- Антивирусная защита;
- Обнаружение и предотвращение вторжений в информационную систему;
- Контроль и анализ защищенности персональных данных, тестирование работоспособности системы защиты;
- Обеспечение целостности информационной системы, возможность её восстановления; Авторизованный доступ пользователей к персональным данным в штатном режиме;
- Защита среды виртуализации, резервное копирование данных;
- Исключение несанкционированного доступа к стационарным техническим средствам и в служебные помещения;
- Защита персональных данных при взаимодействии с иными информационными системами и сетями;
- Выявление инцидентов (обнаружение, идентификация, анализ), предупреждение и устранение инцидентов;
- Управление изменениями конфигурации информационной системы, анализ планируемых изменений, документирование изменений.
Организационные и технические меры защиты персональных данных на бумажных носителях
- Определение угроз безопасности персональных данных;
- Определение мест хранения бумажных носителей, содержащих персональные данные;
- Использование специально отведенных помещений, обеспечивающих защиту от несанкционированного доступа;
- Запирание помещений, в которых хранятся персональные данные;
- Использование запирающихся металлических шкафов для хранения бумажных носителей;
- Специальный режим доступа в защищаемую зону; Круглосуточное видеонаблюдение периметра контролируемой зоны.