Политика Компании в отношении обработки персональных данных
Общие положения
Настоящий документ определяет Политику Компании в отношении обработки персональных данных работников Компании и других субъектов персональных данных, не состоящих с Компанией в трудовых отношениях.
Политика обработки персональных данных определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в Компании персональных данных, функции права субъектов персональных данных, а также реализуемые в Компании требования к защите персональных данных.
Цели обработки персональных данных
Компания осуществляет обработку персональных данных в целях исполнения трудовых договоров, исполнения гражданско-правовых договоров, ведения клиентской базы, продвижения на рынке товаров Автозавода коммерческих автомобилей и связанных с ними работ и услуг, включая информирование о новостях, акциях и скидках, о новых продуктах, проведение маркетинговых опросов, опросов в рамках программы «Оценка качества обслуживания» и других мероприятий.
Правовое обоснование обработки персональных данных
Обработка персональных данных осуществляется на основании статей 23,24 Конституции РФ, статей 85-90 Трудового кодекса РФ от 30.12.2001 № 197-ФЗ, пунктов 1, 2 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» с согласия субъекта персональных данных на обработку его персональных данных, а также для осуществления и выполнения, возложенных законодательством Российской Федерации на Компанию функций, полномочий и обязанностей.
Перечень обрабатываемых категорий персональных данных
В Компании обрабатываются категории персональных данных, необходимые и достаточные для осуществления и выполнения возложенных на Компанию законодательством Российской Федерации обязанностей, а также указанные в формах согласия на обработку персональных данных, заполняемых субъектом персональных данных для достижения целей, указанных в п.2 настоящей Политики. Содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Перечень категорий ПД: ФИО, телефон, эл.почта, и т.п.
Условия обработки персональных данных
Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.
Компания без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные. Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».
Хранение персональных данных субъектов персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки в соответствии со сроками хранения, определяемыми законодательством Российской Федерации и нормативными документами Компании. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
Применяемые организационные и технические меры для защиты персональных данных
При обработке персональных данных Компания принимает необходимые и достаточные организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в том числе: назначение ответственного за организацию обработки персональных данных; наличие локальных распорядительных и нормативных документов по обеспечению безопасности персональных данных; ознакомление лиц, допущенных к работе с персональными данными, с локальными распорядительными и нормативными документами по обеспечению безопасности персональных данных; учет лиц, допущенных к работе с персональными данными; ограничение доступа в помещения, где обрабатываются и хранятся персональные данные; хранение бумажных и электронных носителей персональных данных в запираемых помещениях в установленных местах; периодический контроль за принимаемыми мерами по обеспечению уровня защищенности персональных данных; реализация разрешительной системы допуска и разграничение доступа пользователей к информационной системе персональных данных; применение защищенных каналов связи при передаче персональных данных по сети Интернет; использование средств антивирусной защиты; наличие сертифицированных ФСТЭК средств контроля защищенности информации от несанкционированного доступа.
Права субъектов персональных данных
Субъекты персональных данных имеют право на:
- полную информацию об их персональных данных, обрабатываемых в Компании;
- доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом;
-
уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
отзыв согласия на обработку персональных данных; принятие предусмотренных законом мер по защите своих прав; - обжалование действия или бездействия Компании, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
- осуществление иных прав, предусмотренных законодательством Российской Федерации.
Обязанности оператора
В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя Компания осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) с момента такого обращения или получения указанного запроса на период проверки.
В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу Компания обязана осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных на основании сведений, представленных субъектом персональных данных или его представителем или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
В случае выявления неправомерной обработки персональных данных, осуществляемой Компанией или лицом, действующим по поручению Компании, Компания в срок, не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Компании.
В случае, если обеспечить правомерность обработки персональных данных невозможно, Управление в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Компания обязана уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
В случае достижения цели обработки персональных данных Компания обязана прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Управлением и субъектом персональных данных, либо если Компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
Ответственность за нарушение требований по обработке персональных данных
Сотрудники Компании, виновные в нарушении требований Федерального закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном законодательством Российской Федерации.