Политика конфиденциальности

1. Общие положения

1.1. Настоящая Политика обработки и защиты персональных данных (далее - Политика) определяет порядок, принципы, условия и меры безопасности в отношении обработки персональных данных в Акционерном обществе «Ассистанс Поволжье» (далее - Оператор).

1.2. Политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», иными нормативными правовыми актами Российской Федерации, а также внутренними документами Оператора.

1.3. Политика является внутренним нормативным документом Оператора, действует бессрочно до утверждения новой редакции и подлежит обязательному пересмотру в случае изменения законодательства, изменения целей и процессов обработки данных.

1.4. Политика является общедоступным документом и подлежит размещению на официальном сайте Оператора в информационно-телекоммуникационной сети «Интернет», в мобильном приложении Оператора, а также на всех страницах сбора персональных данных.

2. Информация об операторе персональных данных

2.1. Наименование: Акционерное Общество «Ассистанс Поволжье».

2.2. Место нахождения юридического лица: 420124, Республика Татарстан, г. Казань, пр-кт Ямашева, д. 45А, пом. 1018.

2.3. Основной государственный регистрационный номер (ОГРН):1251600022134.

2.4. Идентификационный номер налогоплательщика (ИНН): 1685021280.

2.5. Контактная информация для обращений по вопросам обработки персональных данных:

Почтовый адрес: 420124, Республика Татарстан, г. Казань, пр-кт Ямашева, д. 45А, пом. 1018.

3. Основные термины и определения

В настоящей Политике используются следующие термины и определения в соответствии с Федеральным законом № 152-ФЗ:

3.1. Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

3.2. Субъект персональных данных — физическое лицо, к которому относятся обрабатываемые персональные данные (клиент, контрагент, работник, соискатель, посетитель и т.д.).

3.3. Оператор - АО «Ассистанс Поволжье», самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных.

3.4. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными.

3.5. Конфиденциальность персональных данных - обязательное для соблюдения требование не допускать распространения персональных данных без согласия субъекта или иного законного основания.

3.6. Автоматизированная обработка - обработка персональных данных с помощью средств вычислительной техники.

3.7. Трансграничная передача - передача персональных данных на территорию иностранного государства.

3.8. Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека. Оператор, как правило, не обрабатывает биометрические данные.

3.9. Специальные категории персональных данных - данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья. Оператор не обрабатывает специальные категории персональных данных, за исключением случаев, прямо предусмотренных федеральным законом.

3.10. Информационные системы персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

4. Правовое основание обработки персональных данных

4.1. Согласие субъекта персональных данных на обработку их персональных данных.

4.2. Необходимость достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных действующим законодательством Российской Федерации на Компанию функций, полномочий и обязанностей, в том числе в рамках действующего законодательства Российской Федерации.

4.3. Исполнение договоров, стороной которых либо выгодоприобретателями, по которым являются Субъекты ПДн, а также заключение договора по инициативе Субъектов ПДн или договоров, по которым Субъект ПДн будет являться выгодоприобретателем.

4.4. Договоры страхования, перестрахования, сострахования, иные гражданско-правовые договоры с физическими лицами, трудовые договоры.

4.5. Устав Оператора.

5. Принципы и условия обработки персональных данных

5.1. Обработка персональных данных к Оператора осуществляется на основании и в строгом соответствии со следующими принципами:

- Законности и правомерности определения оснований и целей обработки персональных данных;

- Соответствия целей обработки персональных данных заранее определенным и заявленным при сборе данных целям. Обработка персональных данных в целях, несовместимых с первоначальными, не подлежит совершению;

- Недопустимости объединения созданных для несовместимых целей баз данных, содержащих персональные данные;

- Соответствия объема и характера обрабатываемых персональных данных заявленным целям обработки. Обработке подлежат исключительно персональные данные, отвечающие целям их обработки;

- Достоверности и достаточности персональных данных, актуальности по отношению к целям их обработки. Принимаются исчерпывающие меры к удалению или уточнению неполных либо неточных данных;

- Соблюдения установленных сроков хранения персональных данных. Хранение осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если иной срок не установлен федеральным законом или договором, стороной которого является субъект персональных данных. По истечении указанных сроков обработки персональные данные подлежат уничтожению или обезличиванию в установленном порядке.

5.2. Обработка персональных данных Оператором производится при наличии одного из следующих условий, предусмотренных статьей 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»:

- Субъект персональных данных выразил согласие на обработку своих персональных данных;

- Обработка необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;

- Обработка осуществляется в целях исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

- Обработка осуществляется в целях защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно;

- Обработка осуществляется в целях осуществления прав и законных интересов Оператора или третьих лиц, либо для достижения общественно значимых целей, при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

- Обработка осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

- Обработка необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

- Обработка осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона № 152-ФЗ, при условии обязательного обезличивания персональных данных;

- Осуществляется обработка персональных данных, доступ к которым неограниченному кругу лиц предоставлен субъектом персональных данных либо по его просьбе, либо подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

5.3. Согласие субъекта на обработку его персональных данных может быть выражено в письменной форме, в форме электронного документа, подписанного квалифицированной электронной подписью, или посредством совершения субъектом конклюдентных действий, свидетельствующих о его согласии. В случаях, прямо предусмотренных федеральным законом, обработка персональных данных осуществляется независимо от согласия субъекта.

5.4. Распространение персональных данных работников Оператора и представителей контрагентов осуществляется исключительно в рамках исполнения требований трудового, налогового, гражданского законодательства Российской Федерации, а также в объеме, необходимом для исполнения конкретных договорных обязательств.

5.5. В иных случаях, не указанных в пункте 5.5 настоящей Политики, распространение персональных данных допускается только при наличии отдельного, информированного и конкретизированного письменного согласия субъекта персональных данных.

5.6. Обработка персональных данных в маркетинговых целях, в целях продвижения товаров, работ, услуг на рынке, осуществляется Оператором только при наличии предварительного согласия субъекта, за исключением случаев, когда такое согласие не требуется в соответствии с частью 2 статьи 18 Федерального закона № 152-ФЗ.

5.7. Техническая реализация обработки персональных данных в информационных системах Оператора осуществляется как с использованием средств автоматизации (включая программные комплексы «1С: Предприятие»), так и без использования таких средств. Носителями персональных данных могут являться как бумажные документы, так и электронные (машинные) носители информации.

5.8. В деятельности Оператора исключается принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных.

5.9. В рамках своей хозяйственной деятельности Оператор осуществляет все действия (операции) с персональными данными, предусмотренные законодательством, включая сбор, систематизацию, накопление, хранение, уточнение, использование, передачу, обезличивание, блокирование и уничтожение.

5.10. Соблюдение режима конфиденциальности обрабатываемых персональных данных является безусловным обязательством для всех работников Оператора, допущенных к их обработке в рамках исполнения трудовых функций. Указанные лица несут полную ответственность за нарушение установленных настоящей Политикой и законодательством Российской Федерации требований в области персональных данных.

6. Категории субъектов персональных данных и цели их обработки

6.1. Оператор обрабатывает персональные данные следующих категорий субъектов для достижения конкретных, заранее определенных целей своей деятельности:

- Клиенты (физические лица, юридические лица) — покупатели автомобилей, пользователи сервисных, IT, консалтинговых, телекоммуникационных и логистических услуг;

- Посетители официального сайта и иных цифровых ресурсов Оператора;

- Иные физические лица, обращающиеся к Оператору с запросами, предложениями, жалобами.

6.2. Обработка персональных данных иных лиц, чьи сведения могут стать известны Оператору в связи с исполнением договоров (например, доверенные лица клиента, другие водители транспортного средства, указанные в договоре), осуществляется в объеме и для целей, необходимых для исполнения конкретного обязательства, и только при условии, что лицо, предоставившее такие данные, подтвердило наличие у него правомерного основания для их передачи.

6.3. Гарантии при предоставлении данных третьих лиц. В случаях, когда клиент или иное лицо предоставляет Оператору персональные данные, относящиеся к другим физическим лицам (например, при оформлении договора на обслуживание автомобиля, принадлежащего иному лицу), предоставляющая сторона гарантирует и подтверждает, что:

- Она обладает всеми необходимыми полномочиями и/или имеет согласие соответствующих субъектов на передачу их персональных данных Оператору для обработки в заявленных целях;

- Указанные субъекты персональных данных уведомлены о факте, целях и условиях обработки их данных Оператором в объеме, предусмотренном Федеральным законом № 152-ФЗ.

7. Цели обработки персональных данных и состав обрабатываемых данных

7.1. Персональные данные относятся к категории конфиденциальной информации (информации ограниченного доступа) в соответствии с законодательством Российской Федерации. Их обработка может осуществляться как самостоятельно, так и в составе иной охраняемой законом информации.

7.2. Оператор в своей деятельности осуществляет обработку персональных данных, относящихся к общим категориям. Обработка специальных категорий персональных данных (касающихся состояния здоровья), а также сведений о судимости физических лиц осуществляется исключительно в случаях и в объеме, прямо предусмотренных действующим законодательством Российской Федерации, например, в рамках трудовых отношений.

7.3. Оператор самостоятельно определяет цели обработки, состав обрабатываемых данных и перечень действий (операций), совершаемых с персональными данными.

7.4. Основными целями обработки персональных данных у Оператора являются:

- Заключение, исполнение, изменение и прекращение гражданско-правовых договоров (купли-продажи автомобилей, сервисного обслуживания, оказания IT, консалтинговых, телекоммуникационных и логистических услуг и иных договоров);

- Обеспечение гарантийного и постгарантийного обслуживания реализованной продукции (автомобилей);

- Осуществление расчетов с контрагентами, клиентами и работниками;

- Организация и проведение маркетинговых и рекламных активностей, информирование клиентов и контрагентов о новых продуктах, услугах и акциях (при наличии согласия субъекта);

- Обработка обращений, запросов и жалоб физических и юридических лиц;

- Повышение качества предоставляемых услуг, проведение аналитических и статистических исследований, на основе обезличенных данных для улучшения клиентского опыта;

- Защита законных прав и интересов Оператора, в том числе в рамках досудебного и судебного урегулирования споров, взыскания задолженности;

- Исполнение требований законодательства в области противодействия легализации доходов, полученных преступным путем, и финансированию терроризма (ФЗ-115);

- Обеспечение работоспособности и безопасности официального сайта, информационных систем и IT-инфраструктуры Оператора.

7.5. В рамках достижения указанных целей, Оператор обрабатывает следующий состав персональных данных:

- Идентификационные и анкетные данные: Фамилия, имя, отчество; пол; дата рождения;

- Контактные данные: номера телефонов; адреса электронной почты.

7.6. Оператор осуществляет обработку персональных данных, относящихся преимущественно к общей категории.

7.7. Оператор не обрабатывает специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, прямо предусмотренных федеральными законами (например, обработка данных о состоянии здоровья в рамках программы добровольного медицинского страхования для работников). Обработка данных о судимости осуществляется только в случаях, установленных законодательством РФ.

7.8. Оператор не обрабатывает биометрические персональные данные (отпечатки пальцев, изображение лица, образцы голоса и т.д.), за исключением фотографии в личном деле работника, если таковая не используется для автоматизированной идентификации личности.

7.9. Обработка персональных данных в маркетинговых целях, для продвижения товаров и услуг на рынке, включая осуществление прямых контактов с помощью средств связи, осуществляется Оператором только при наличии предварительного согласия субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 18 Федерального закона № 152-ФЗ.

8. Объем, порядок и способы обработки персональных данных

8.1. Объем и состав обрабатываемых персональных данных Оператор определяется конкретными и заранее установленными целями обработки, категорией субъекта персональных данных, а также требованиями применимого законодательства Российской Федерации и внутренних регламентирующих документов Оператора.

8.2. Детальный перечень обрабатываемых персональных данных в разрезе категорий субъектов и целей их обработки, включая установленные сроки и способы обработки, может утверждаться отдельными внутренними распорядительными документами (локальными актами) Оператора.

8.3. При осуществлении обработки персональных данных, в том числе при их сборе через официальный сайт, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение и уничтожение персональных данных граждан Российской Федерации с использованием баз данных, размещенных на территории Российской Федерации.

8.4. В случаях, когда правовым основанием обработки персональных данных является согласие субъекта, такое согласие может быть получено в любой допускаемой законом форме, позволяющей достоверно подтвердить факт его получения субъектом. В ситуациях, прямо предусмотренных федеральным законодательством (например, обработка специальных категорий данных), обработка допускается исключительно на основании письменного согласия, оформленного в соответствии с установленными Федеральным законом № 152-ФЗ требованиями.

8.5. Если субъект персональных данных является недееспособным или ограниченным в дееспособности, необходимое согласие на обработку его персональных данных предоставляется его законным представителем.

8.6. В ситуации, когда персональные данные получены Оператором не непосредственно от субъекта, Оператор обязуется до начала их обработки предоставить субъекту следующую информацию, если иное не предусмотрено федеральным законом:

- Наименование и местонахождение Оператора;

- Цель и правовое основание предстоящей обработки его персональных данных;

- Категории обрабатываемых персональных данных;

- Перечень лиц, которым могут быть предоставлены данные;

- Права субъекта персональных данных, установленные Федеральным законом № 152-ФЗ;

- Источник получения персональных данных.

9. Способы обработки. Обработка данных посредством веб-сайта

9.1. Обработка персональных данных у Оператора может осуществляться как с использованием средств автоматизации (автоматизированная обработка), так и без использования таких средств (неавтоматизированная обработка), включая смешанные способы.

9.2. Автоматизированная обработка данных производится в информационных системах персональных данных (ИСПДн) с соблюдением всех требований законодательства. Доступ к ИСПДн предоставляется исключительно уполномоченным работникам Оператора в рамках исполнения ими своих трудовых (должностных) обязанностей.

9.3. Неавтоматизированная обработка данных производится путем совершения установленных действий с использованием материальных (бумажных) носителей информации.

9.4. Официальный сайт Оператора в сети «Интернет» использует технологию файлов cookie для обеспечения корректной работы, удобства пользователей и предоставления персонализированного контента. Данная технология позволяет распознавать пользователя при повторных посещениях сайта и настраивать его работу соответствующим образом.

9.5. Оператор может применять следующие категории файлов cookie:

- Необходимые (технические) файлы cookie;

- Аналитические файлы cookie;

- Маркетинговые (рекламные) файлы cookie.

9.6. Пользователь сайта может в любой момент отказаться от использования файлов cookie (за исключением необходимых), настроив соответствующим образом свой интернет-браузер (отключить их сохранение или установить предупреждение перед их отправкой). Порядок настройки зависит от используемого браузера и подробно описывается в его справочной информации.

10. Порядок раскрытия персональных данных третьим лицам

10.1. Обработка персональных данных у Оператора может осуществляться:

- Уполномоченными работниками Оператор, чьи трудовые функции и должностные инструкции предусматривают совершение операций с персональными данными;

- Иными лицами (обработчиками), действующими на основании гражданско-правовых договоров, заключенных с Оператором и предусматривающих поручение на обработку данных.

10.2. Раскрытие персональных данных третьим лицам осуществляется Оператором исключительно при наличии согласия соответствующего субъекта либо в иных случаях, прямо установленных действующим законодательством Российской Федерации.

10.3. Оператор вправе поручать обработку персональных данных сторонним организациям (обработчикам) при условии заключения с ними договора, содержащего существенные условия, предусмотренные частью 3 статьи 6 Федерального закона № 152-ФЗ. Такой договор должен обязывать обработчика соблюдать конфиденциальность и обеспечивать безопасность данных, а также устанавливать его ответственность перед Оператором. В договоре определяются перечень данных, цели и сроки обработки, обязанность обработчика предоставлять по требованию Оператора доказательства принятия необходимых мер защиты и незамедлительно информировать Оператора о любых нарушениях при обработке данных.

10.4. При передаче данных третьей стороне должны быть соблюдены следующие условия:

- Передача осуществляется на основании договора, обязывающего получателя обеспечивать конфиденциальность и безопасность данных, либо в силу прямого требования закона;

- Объем передаваемых данных ограничивается минимально необходимым для достижения конкретной законной цели;

- Имеется согласие субъекта на передачу, за исключением случаев, когда получение такого согласия не требуется по закону.

10.5. При работе с персональными данными работников Оператор, как работодатель, соблюдает специальные требования Трудового кодекса РФ:

- Не разглашает персональные данные работника третьим лицам без его письменного согласия, за исключением случаев предотвращения угрозы жизни и здоровью или иных ситуаций, установленных федеральным законом;

- Не использует данные работника в коммерческих целях без его отдельного письменного разрешения;

- Предупреждает третьих лиц, получающих данные работника, о целях их использования и требует подтверждения соблюдения этого условия;

- Обеспечивает доступ к данным работников только специально уполномоченным сотрудникам в объеме, необходимом для выполнения их трудовых функций;

- Передает данные представителям работников (например, профсоюзу) в порядке, установленном ТК РФ, ограничиваясь информацией, необходимой для исполнения их представительских функций.

10.6. Основаниями для отказа в предоставлении персональных данных третьим лицам являются:

- Отсутствие согласия субъекта данных, когда его получение обязательно;

- Отсутствие законных оснований, предусмотренных статьей 6 Федерального закона № 152-ФЗ, допускающих обработку без согласия субъекта.

10.7. Ознакомление с персональными данными в рамках Оператора разрешается:

- Руководству и сотрудникам кадровой службы для выполнения своих функций;

- Иным уполномоченным работникам в части, необходимой для исполнения их должностных обязанностей;

- Представителям уполномоченных государственных органов в рамках осуществления ими контрольных, надзорных и судебных функций.

10.8. Законными получателями персональных данных работников Оператора выступают:

- Налоговые органы (ФНС России);

- Социальный фонд (СФР РФ);

- Органы Федеральной службы по труду и занятости (Роструд);

- Военные комиссариаты;

- Правоохранительные и судебные органы по официальным запросам;

- Иные органы государственной власти в случаях, предусмотренных законодательством.

10.9. Раскрытие персональных данных работника его родственникам или иным лицам осуществляется исключительно с его письменного согласия, за исключением случаев, прямо предусмотренных законом (например, исполнение судебного решения о взыскании алиментов).

10.10. Внутренний обмен персональными данными между структурными подразделениями Оператора организуется с соблюдением принципа минимизации доступа и осуществляется только между сотрудниками, для которых такие данные необходимы по роду их деятельности.

10.11. Оператор не осуществляет трансграничную передачу персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов персональных данных.

10.12. Распространение персональных данных (раскрытие неопределенному кругу лиц) осуществляется Оператором только при наличии отдельного, информированного согласия субъекта, оформленного в соответствии со специальными требованиями статьи 10.1 Федерального закона № 152-ФЗ. В таком согласии субъект вправе определить конкретный перечень данных, разрешенных для распространения, и установить ограничения или запреты на их дальнейшую обработку.

11. Обеспечение защиты персональных данных

11.1. Безопасность персональных данных у Оператора обеспечивается комплексом правовых, организационных и технических мер, разработанных в соответствии с требованиями законодательства Российской Федерации и внутренними нормативными актами Оператора в области защиты информации.

11.2. Защита персональных данных реализуется в рамках установленного у Оператора режима информационной безопасности, направленного на обеспечение конфиденциальности информации ограниченного доступа.

11.3. Руководство Оператора признает необходимость и принимает на себя обязательства по обеспечению надлежащего уровня защищенности персональных данных, обрабатываемых в ходе уставной деятельности, соответствующего как требованиям регуляторных актов, так и оценке потенциальных рисков для бизнеса.

11.4. Защита персональных данных от неправомерного или случайного доступа, уничтожения, модификации, блокирования, распространения и иных противоправных действий обеспечивается, в том числе, следующими мерами:

- Утверждение и внедрение настоящей Политики и иных внутренних регламентов, регулирующих вопросы обработки и защиты ПДн;

- Назначение ответственных лиц за организацию обработки и обеспечение безопасности персональных данных;

- Реализация системы внутреннего контроля за соответствием процессов обработки ПДн законодательным требованиям и внутренним стандартам Оператора;

- Обязательное ознакомление и регулярное обучение сотрудников, работающих с ПДн, требованиям законодательства, положениям настоящей Политики и смежным локальным актам;

- Проведение оценки и актуализации перечня угроз безопасности персональных данных;

- Внедрение организационных и технических мер защиты, соответствующих требованиям законодательства и обеспечивающих необходимый уровень защищенности информационных систем персональных данных (ИСПДн);

- Проведение оценки эффективности применяемых мер защиты перед вводом ИСПДн в промышленную эксплуатацию;

- Осуществление мониторинга событий информационной безопасности для своевременного выявления инцидентов и реагирования на них;

- Использование средств защиты информации, прошедших установленную процедуру оценки соответствия;

- Ведение учета машинных носителей, содержащих персональные данные;

- Организация процессов восстановления данных, утраченных или модифицированных в результате несанкционированного доступа;

- Установление и контроль правил разграничения доступа к ИСПДн, обязательная регистрация и учет всех операций с данными;

- Регулярный контроль и аудит эффективности реализованных мер безопасности.

11.5. Контроль за соблюдением требований законодательства в области персональных данных у Оператора осуществляется уполномоченными лицами, ответственным за обработку ПДн, а также в рамках процедур внутреннего контроля и аудита.

11.6. Требования к защите и уровень защищенности ИСПДн определяются на основе оценки актуальных угроз, потенциального вреда субъектам данных, объема и категорий обрабатываемой информации, а также специфики деятельности Оператора в соответствии с постановлениями Правительства РФ и нормативными актами уполномоченных органов (ФСТЭК России, ФСБ России, Роскомнадзора).

11.7. Защита персональных данных при неавтоматизированной (бумажной) обработке обеспечивается выполнением требований нормативных правовых актов и внутренних регламентов Оператора, регулирующих обращение с конфиденциальными документами.

12. Условия хранения персональных данных

12.1. Хранение персональных данных у Оператора осуществляется в форме, позволяющей идентифицировать субъекта данных, не дольше, чем этого требуют заявленные цели обработки, если иной срок не установлен федеральным законом или договором с участием субъекта.

12.2. Хранение персональных данных на бумажных носителях производится в условиях, исключающих несанкционированный доступ, с использованием закрывающихся на ключ металлических шкафов или сейфов в специально отведенных помещениях.

12.3. При обработке ПДн, включая сбор через интернет-ресурсы, Оператор обеспечивает использование баз данных, размещенных исключительно на территории Российской Федерации.

12.4. В процессе хранения обеспечиваются конфиденциальность и безопасность персональных данных с применением соответствующих способов и средств защиты.

13. Прекращение обработки и уничтожение персональных данных

13.1. Обработка ПДн прекращается, а ПДн подлежат уничтожению в следующих случаях:

- По достижении целей обработки;

- По истечении установленных сроков хранения;

- При отзыве субъектом согласия на обработку, если иное законное основание для обработки отсутствует;

- При выявлении неправомерной обработки ПДн;

- По предписанию уполномоченного органа (Роскомнадзора).

13.2. Уничтожение ПДн осуществляется способом, исключающим возможность их восстановления:

- Бумажные носители: шредирование (перекрестное измельчение) с последующей утилизацией;

- Электронные носители: гарантированное стирание (wiping) с использованием специального программного обеспечения или физическое уничтожение накопителей.

13.3. Сроки исполнения требований субъекта об уничтожении:

- При отзыве согласия – в срок, не превышающий 30 (тридцати) дней;

- При выявлении неправомерной обработки – в срок, не превышающий 10 (десяти) рабочих дней с момента выявления.

14. Передача персональных данных

14.1. Передача данных третьим лицам осуществляется только:

- Для достижения целей обработки (банки-эквайеры, платежные системы, службы доставки, партнеры по сервису и логистике, IT-подрядчики и т.д.);

- По мотивированному запросу уполномоченных государственных органов (ФНС, МВД, Роскомнадзор, суды) в установленном законом порядке;

- С явно выраженного согласия субъекта ПДн.

14.2. При передаче данных третьим лицам обеспечивается конфиденциальность и безопасность. С контрагентами, выступающими в роли обработчиков, заключаются договоры, соответствующие требованиям ст. 6 152-ФЗ.

15. Обязанности субъекта персональных данных

15.1. Субъект ПДн обязан предоставлять Оператору достоверные и актуальные ПДн, необходимые для целей обработки.

15.2. В случае изменения своих ПДн (например, смена паспорта, адреса, телефона) субъект ПДн обязан уведомить Оператора в разумный срок, как правило, не позднее 10 (десяти) рабочих дней с момента изменения.

15.3. Непредоставление достоверных ПДн или несвоевременное уведомление об их изменении может повлечь невозможность надлежащего исполнения договора, оказания услуг и реализации субъектом своих прав.

16. Права субъектов персональных данных

16.1. Субъект персональных данных при обработке его данных Оператором обладает следующими правами:

- На получение информации, касающейся обработки его персональных данных, в порядке, объеме и форме, установленных Федеральным законом № 152-ФЗ;

- На доступ к своим персональным данным, включая право на получение копии любой записи, содержащей такие данные, за исключением случаев, установленных законом;

- На уточнение, блокирование или уничтожение своих персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- На отзыв ранее данного согласия на обработку персональных данных;

- На требование о прекращении обработки персональных данных, в том числе в маркетинговых целях;

- На обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке;

- На возмещение убытков и компенсацию морального вреда, причиненных нарушением его прав.

16.2. По запросу субъекта персональных данных или его законного представителя Оператор обязан в установленные сроки предоставить следующую информацию:

- Подтверждение факта обработки персональных данных и реквизиты Оператора;

- Правовые основания и конкретные цели обработки;

- Применяемые способы и сроки обработки, включая сроки хранения;

- Перечень обрабатываемых персональных данных и источник их получения;

- Сведения об осуществленной или предполагаемой трансграничной передаче данных;

- Информацию о лицах (обработчиках), которым поручена обработка данных, за исключением случаев, предусмотренных федеральным законом;

- Порядок реализации субъектом своих прав, предусмотренных Федеральным законом № 152-ФЗ;

- Иные сведения, предусмотренные законодательством РФ.

16.3. Запрос субъекта персональных данных, направленный для реализации своих прав, должен содержать:

- Фамилию, имя, отчество субъекта;

- Реквизиты документа, удостоверяющего личность;

- Сведения, подтверждающие наличие отношений с Оператором (номер договора, дата обращения и т.п.);

- Суть требования (перечень запрашиваемой информации или конкретное действие);

- Подпись субъекта или его законного представителя.

16.4. Информация предоставляется субъекту бесплатно в доступной форме и не должна содержать персональные данные, относящиеся к другим субъектам.

16.5. Субъект вправе обратиться с повторным запросом не ранее чем через 30 (тридцать) дней после получения ответа на первоначальное обращение, если иной срок не установлен федеральным законом или договором с его участием.

16.6. В случае несогласия с действиями Оператора или для защиты своих нарушенных прав субъект персональных данных вправе обратиться за судебной защитой, в том числе с требованием о возмещении убытков и компенсации морального вреда.

17. Основные права Оператора

17.1. Оператор обладает правом осуществлять обработку персональных данных при одновременном соблюдении следующих условий:

- Наличие одного или нескольких правовых оснований, предусмотренных статьей 6 Федерального закона № 152-ФЗ;

- Соответствие целей и способов обработки положениям настоящей Политики, действующему законодательству и исключительно заранее определенным законным целям;

- Обеспечение конфиденциальности и безопасности обрабатываемых данных.

18. Основные обязанности Оператора

18.1. При осуществлении обработки персональных данных Оператор обязан:

- За свой счет принимать все необходимые и достаточные правовые, организационные и технические меры для защиты данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения;

- По запросу субъекта предоставлять ему информацию об обработке его персональных данных либо давать мотивированный отказ в случаях, предусмотренных законом;

- Обеспечивать субъекту возможность бесплатного доступа к своим персональным данным, в том числе получения их копии, за исключением ограничений, установленных федеральными законами;

- По обоснованному требованию субъекта незамедлительно уточнять, блокировать или уничтожать его персональные данные, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- В случае получения персональных данных не от самого субъекта (за исключением оговоренных законом случаев) уведомить субъекта об этом в течение 30 дней, предоставив информацию, предусмотренную частью 4 статьи 14 Федерального закона № 152-ФЗ;

- Прекращать обработку и обеспечивать уничтожение персональных данных по достижении цели обработки, отзыве согласия субъекта или по иным основаниям, предусмотренным законодательством, в установленные сроки.

18.2. Оператор обязан рассмотреть запрос субъекта и сообщить ему информацию о наличии относящихся к нему персональных данных, а также предоставить возможность ознакомления с ними в течение 30 (тридцати) календарных дней с момента получения запроса. Указанный срок может быть продлен не более чем на 30 (тридцать) календарных дней при направлении субъекту мотивированного уведомления с объяснением причин продления.

18.3. Ознакомление субъекта персональных данных или его законного представителя с персональными данными, обрабатываемыми Оператором, осуществляется без взимания платы.

19. Порядок рассмотрения обращений субъектов персональных данных

19.1. Для реализации своих прав субъект ПДн направляет письменный запрос или запрос в электронной форме с использованием электронной подписи по контактным данным, указанным в разделе 2.

19.2. Запрос должен содержать сведения, позволяющие идентифицировать субъекта (ФИО, данные паспорта), а также суть требования.

19.3. Оператор обязан рассмотреть запрос и дать мотивированный ответ в течение 30 (тридцати) календарных дней с момента его получения.

19.4. В случае необходимости срок рассмотрения запроса может быть продлен не более чем на 30 (тридцать) дней с одновременным уведомлением об этом субъекта ПДн с указанием причин продления.

19.5. Информация предоставляется субъекту бесплатно. В случае явной необоснованности или чрезмерности запросов Оператор может отказать в их выполнении или установить разумную плату.

20. Конфиденциальность персональных данных

20.1. Все ПДн, обрабатываемые Оператором, относятся к информации ограниченного доступа (конфиденциальной информации).

20.2. Не допускается разглашение или распространение ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

20.3. Доступ к обрабатываемым ПДн предоставляется только тем работникам Оператора, которым он необходим для выполнения конкретных трудовых или должностных функций.

20.4. Все работники и третьи лица, получившие доступ к ПДн (включая обработчиков), обязаны соблюдать конфиденциальность ПДн. Данное обязательство закрепляется в трудовых договорах, соглашениях о конфиденциальности (NDA) и договорах поручения обработки.

21. Уведомление уполномоченного органа (Роскомнадзора)

21.1. Оператор в случаях, предусмотренных частью 1 статьи 22 Федерального закона №152-ФЗ, до начала обработки ПДн направляет в Роскомнадзор уведомление об обработке ПДн.

21.2. Оператор обязан уведомить Роскомнадзор об изменении сведений, указанных в части 1 статьи 22 152-ФЗ, в течение 10 (десяти) рабочих дней.

21.3. В случае обнаружения неправомерного или несанкционированного доступа к ПДн, приведшего к утечке, уничтожению или изменению данных, Оператор обязан в течение 24 (двадцати четырех) часов с момента обнаружения инцидента направить в Роскомнадзор уведомление с описанием инцидента, составом данных и принятыми мерами. В течение 72 (семидесяти двух) часов направляются результаты внутреннего расследования.

22. Ответственность за нарушение требований политики и законодательства

22.1. Лица, виновные в нарушении требований законодательства о персональных данных, положений настоящей Политики и иных внутренних документов Оператора, несут ответственность в соответствии с трудовым, гражданским, административным и уголовным законодательством Российской Федерации.

23. Заключительные положения

23.1. Настоящая Политика вступает в силу с даты ее утверждения Генеральным директором Оператора и является обязательной для всех работников Оператора и контрагентов, привлекаемых к обработке ПДн.

23.2. Контроль за соблюдением требований настоящей Политики возлагается на лицо, ответственное за организацию обработки ПДн у Оператора.

23.3. Актуальная версия Политики размещена на официальном сайте Оператора.

23.4. Все изменения и дополнения в настоящую Политику утверждаются приказом Генерального директора Оператора и доводятся до сведения работников под подпись.