Политика ООО «Альфа-Моторс» в отношении обработки персональных данных

Политика ООО «Альфа-Моторс» в отношении обработки персональных данных

1. Общие положения

1.1. Политика ООО «Альфа-Моторс» (ОГРН 1106320013964, ИНН 6321249368, адрес: 445047, РФ, Самарская область, г. Тольятти, Южное шоссе, д. 14) (далее по тексту — «Общество», «Оператор») в отношении обработки персональных данных (далее по тексту — «Политика») определяет позицию и намерения Общества в области обработки и защиты персональных данных, с целью соблюдения и защиты прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

1.2. Настоящая Политика определяет порядок обработки персональных данных и гарантии конфиденциальности сведений о субъекте персональных данных, предоставленных Оператору.

1.3. В целях настоящей Политики под персональными данными понимается любая информация, прямо или косвенно относящаяся к субъекту персональных данных.

Субъекты персональных данных (далее – субъекты ПД) – работники Оператора, соискатели, а также родственники работников, клиенты/покупатели и контрагенты Оператора (физические лица), представители контрагентов-юридических лиц, посетители (пользователи) сайта.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Сервисами веб-сайта Оператора являются, в том числе чат-боты в мессенджерах, указанные на веб-сайте (далее – «Сервисы»).

1.4. Политика обязательна для ознакомления лицами, передающими Оператору персональные данные.

1.5. Актуальная редакция Политики размещается на веб-сайте Оператора в сети интернет в общем доступе и вступает в силу с момента её размещения.

1.6. Проставляя галочку о согласии с Политикой, тем самым пользователь дает свое согласие на обработку его персональных данных, указанных в Политике. Пользователь гарантирует, что является совершеннолетним.

1.7. Оператор вправе вносить изменения в настоящую Политику без согласия субъекта ПД.

2. Получение и обработка персональных данных

2.1. Персональные данные Оператор получает непосредственно от субъекта ПД. Оператор вправе получать персональные данные субъектов ПД от третьих лиц только при наличии письменного согласия субъекта ПД или в иных случаях, прямо предусмотренных в законодательстве.

2.2. Субъект ПД представляет Оператору достоверные сведения о себе.

2.4. Чтобы обрабатывать персональные данные, Оператор получает от каждого субъекта ПД согласие на обработку его персональных данных. Такое согласие Оператор получает, если закон не предоставляет Оператору права обрабатывать персональные данные без согласия субъекта ПД.

2.5. Согласие на обработку персональных данных может быть отозвано субъектом ПД. В случае отзыва согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта ПД при наличии оснований, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ.

2.6. Оператор обрабатывает персональные данные следующими способами: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение персональных данных. Персональные данные обрабатываются до достижения целей обработки или направления субъектом ПД требования об удалении персональных данных. Обработка персональных данных осуществляется Оператором без ограничения срока любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.

2.7. Обработка персональных данных в Обществе осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки, избыточность обрабатываемых данных не допускается.

2.8. При обработке персональных данных Общество обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных. Оператор принимает и обеспечивает принятие необходимых мер по удалению или уточнению неполных или неточных персональных данных.

3. Принципы обработки персональных данных

3.1. При обработке персональных данных Общество придерживается следующих принципов:

законности и справедливости;
ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
недопущения избыточности обрабатываемых персональных данных по отношению к заявленным целям обработки;
обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных, а также принятия мер по удалению или уточнению неполных или неточных данных;
прозрачности обработки персональных данных: субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
осуществления хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

4. Цели обработки персональных данных

Целями обработки персональных данных являются:

4.1. Цель обработки – рассмотрения вопроса о соответствии кандидатуры имеющимся вакансиям, а также в целях обеспечения соблюдения трудового законодательства и иных нормативно-правовых актов при содействии в трудоустройстве.

Субъект ПД – соискатель.

Персональные данные соискателя включают в себя следующие сведения:

- общие персональные данные: фамилия, имя, отчество; год, месяц, число и место рождения; гражданство; пол; документы, удостоверяющие личность; идентификационный номер налогоплательщика; страховой номер индивидуального лицевого счета; адреса фактического места проживания и регистрации по местожительству; электронные адреса; номера телефонов; анкетные и биографические данные; сведения об образовании, профессии, специальности и квалификации; профессиональной подготовке, повышения квалификации; сведения о семейном положении и составе семьи; сведения об имущественном положении, доходах, занимаемых ранее должностях и стаже работы; сведения о воинской обязанности.

- специальные категории персональных данных: сведения о состоянии здоровья, сведения о судимости;

- биометрические персональные данные: фото в бумажном виде.

Персональные данные, представленные соискателем, обрабатывается без использования средств автоматизации способом. Оператор не принимает, не снимает и не хранит копии личных документов соискателя. Хранение персональных данных в течение 1 года со дня проведения собеседования.

После истечения срока хранения документов, которые содержат персональные данные соискателя, документы подлежат уничтожению. Для этого Оператор создает комиссию и проводит отбор документов, подлежащих уничтожению В ходе проведения отбора комиссия отбирает дела с истекшими сроками хранения и по итогам отбора составляет акт о выделении документов/носителей к уничтожению. После чего уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется путем измельчения на мелкие части, в т.ч. с использованием шредера (уничтожителя документов), либо документы передаются на утилизацию организациям, собирающим вторсырье (пункты приема макулатуры). Об уничтожении носителей/документов, содержащих персональные данные, комиссия составляет и подписывает акт об уничтожении, который утверждается генеральным директором Оператора и содержит дату, место и время уничтожения, должности, фамилии и инициалы членов комиссии, вид и кол-во уничтожаемых носителей, содержащих персональные данные, основания для уничтожения и его способ.

4.2. Цель обработки - оформление и регулирование трудовых отношений.

Субъекты ПД – работник Оператора, родственники работника.

Персональные данные работника включают в себя следующие сведения:

- общие персональные данные: фамилия, имя, отчество; год, месяц, число и место рождения; гражданство; пол; данные документов, удостоверяющих личность; идентификационный номер налогоплательщика; страховой номер индивидуального лицевого счета; адреса фактического места проживания и регистрации по местожительству; электронные адреса; номера телефонов; банковские реквизиты, анкетные и биографические данные, сведения об образовании и специальности, профессии, профессиональной подготовке, повышения квалификации; сведения о трудовом и общем стаже, о трудовой деятельности; семейное, социальное и имущественное положение, сведения о воинском учёте, сведения о социальных льготах, пенсионное свидетельство, доходы, знание иностранного языка;

- специальные категории персональных данных: сведения о состоянии здоровья, сведения о судимости;

- биометрические персональные данные: фото в бумажном и/или электронном виде.

Персональные данные родственника работника включают в себя следующие сведения:

- общие персональные данные: степень родства; фамилия, имя, отчество; дата рождения; адрес фактического места проживания; данные, содержащиеся в свидетельстве о рождении усыновлении (удочерении) ребенка (ФИО, дата рождения, место рождения ребенка; ФИО, гражданство); данные, содержащиеся в документе о регистрации брака (ФИО, гражданство, дата рождения, дата регистрации брака); данные, содержащиеся в документе об опеке или попечительстве над ребенком (ФИО, дата рождения, адрес проживания ребенка); данные, содержащиеся в справке об инвалидности ребенка (ФИО, дата рождения, сведения об инвалидности); данные, содержащиеся в справке из образовательного учреждения ребенка (ФИО, сведения об образовании).

Персональные данные, представленные работником, родственником работника обрабатываются автоматизированным и без использования средств автоматизации способами. Оператор не принимает, не снимает и не хранит копии личных документов работников. Документы, которые работник предъявляет работодателю для хранения в оригинале (справки, медицинские заключения и т. д.), хранятся либо отдельно в течение 5 лет, либо в личном деле работника в течение 50 лет со дня расторжения с работником трудового договора.

После истечения срока нормативного хранения документов, которые содержат персональные данные работника, документы подлежат уничтожению. Для этого Оператор создает комиссию и проводит отбор документов, подлежащих уничтожению. В ходе проведения отбора комиссия отбирает дела с истекшими сроками хранения и по итогам отбора составляет акт о выделении документов/носителей к уничтожению. После чего уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется путем измельчения на мелкие части, в т.ч. с использованием шредера (уничтожителя документов), либо документы передаются на утилизацию организациям, собирающим вторсырье (пункты приема макулатуры). Уничтожение файлов с персональными данными, расположенные на жестком диске, удаляются средствами операционной системы компьютера с последующим «очищением корзины». В случае допустимого повторного использования носителя CD-RW, DVD-RW, а также USB-носителя применяется программное удаление («затирание») содержимого устройств путем его форматирования с последующей записью новой информации на данный носитель.

Об уничтожении носителей/документов, содержащих персональные данные, комиссия составляет и подписывает акт об уничтожении, который утверждается генеральным директором Оператора и содержит дату, место и время уничтожения, должности, фамилии и инициалы членов комиссии, вид и кол-во уничтожаемых носителей, содержащих персональные данные, основания для уничтожения и его способ.

При принятии решений, затрагивающих интересы работника, Оператор не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного поступления. Оператор также не вправе принимать решения, затрагивающие интересы работника, основываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных работника невозможно достоверно установить какой-либо факт, Оператор предлагает работнику представить письменные разъяснения.

4.3. Цель обработки - оформление и регулирование гражданско-правовых отношений.

Субъекты ПД – клиенты/покупатели, контрагенты, представители контрагентов-юридических лиц.

Персональный данные клиента/покупателя включают в себя следующие сведения:

Персональные данные контрагента включают в себя следующие сведения:

- общие персональные данные: фамилия, имя, отчество; год, месяц, число и место рождения; гражданство; пол; документы, удостоверяющие личность; идентификационный номер налогоплательщика; страховой номер индивидуального лицевого счета; адреса фактического места проживания и регистрации по местожительству; электронные адреса; номера телефонов; банковские реквизиты водительское удостоверение (при оказании услуг тестовой поездки); свидетельство о регистрации транспортного средства и паспорт транспортного средства (при приобретении автомобиля у физ.лица/оказанию посреднических услуг по продаже автомобилей с пробегом).

Персональные данные представителя контрагента-юридического лица включают в себя следующие сведения:

- общие персональные данные: фамилия, имя, отчество; год, месяц, число и место рождения; гражданство; пол; документы, удостоверяющие личность; реквизиты доверенности на представление интересов юридического лица.

Персональные данные обрабатываются автоматизированным и без использования средств автоматизации способами. Оператор принимает, снимает и хранит копии документов вместе с договором на протяжении 3-х лет со дня истечения срока действия договора.

После истечения срока нормативного хранения документов, которые содержат персональные данные, документы подлежат уничтожению. Для этого Оператор создает комиссию и проводит отбор документов, подлежащих уничтожению. В ходе проведения отбора комиссия отбирает дела с истекшими сроками хранения и по итогам отбора составляет акт о выделении документов/носителей к уничтожению. После чего уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется путем измельчения на мелкие части, в т. ч. с использованием шредера (уничтожителя документов), либо документы передаются на утилизацию организациям, собирающим вторсырье (пункты приема макулатуры). Уничтожение файлов с персональными данными, расположенные на жестком диске, удаляются средствами операционной системы компьютера с последующим «очищением корзины». В случае допустимого повторного использования носителя CD-RW, DVD-RW, а также USB-носителя применяется программное удаление («затирание») содержимого устройств путем его форматирования с последующей записью новой информации на данный носитель.

4.4. Цель обработки – продвижение товаров, работ и услуг.

Субъекты ПД – клиенты/покупатели

Персональный данные клиента/покупателя включают в себя следующие сведения:

- общие персональные данные: фамилия, имя, отчество; адреса фактического места проживания и регистрации по местожительству; электронные адреса; номера телефонов.

Персональные данные обрабатываются автоматизированным способом. Сведения хранятся 3 года со дня истечения срока действия договора.

После истечения срока хранения документов, которые содержат персональные данные подлежат уничтожению. Для этого Оператор создает комиссию и проводит отбор носителей, подлежащих уничтожению. В ходе проведения отбора комиссия отбирает дела с истекшими сроками хранения и по итогам отбора составляет акт о выделении носителей к уничтожению. Уничтожение файлов с персональными данными, расположенные на жестком диске, удаляются средствами операционной системы компьютера с последующим «очищением корзины». В случае допустимого повторного использования носителя CD-RW, DVD-RW, а также USB-носителя применяется программное удаление («затирание») содержимого устройств путем его форматирования с последующей записью новой информации на данный носитель.

4.5. Цель обработки – регистрация пользователей на сайте.

Субъекты ПД – пользователи (посетители) сайта.

Персональные данные пользователя сайта включают в себя следующие сведения:

- общие персональные данные: фамилия, имя, отчество; пол; дата рождения, электронный адрес; номер телефона, данные, которые автоматически передаются Сервисам в процессе их использования с помощью установленного на устройстве пользователя программного обеспечения, в том числе IP-адрес, данные файлов cookie, информация о браузере пользователя (или иной программе, с помощью которой осуществляется доступ к Сервисам), технические характеристики оборудования и программного обеспечения, используемых пользователем, дата и время доступа к Сервисам, адреса запрашиваемых страниц и иная подобная информация.

Способ обработки персональных данных: автоматизированные сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

Срок обработки: в течение 3 лет с даты проявления последней активности на веб-сайте.

Персональные данные уничтожаются путем стирания с серверов Оператора персональных данных.

5. Передача и распространение персональных данных

5.1. При передаче Оператором персональных данных субъект ПД должен дать на это согласие в письменной или электронной форме.

5.2. Оператор вправе передать информацию, которая относится к персональным данным субъекта ПД, без его согласия, если такие сведения нужно передать по запросу государственных органов, в порядке, установленном законодательством.

5.3. Оператор не вправе предоставлять персональные данные третьей стороне без письменного согласия субъекта ПД, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта ПД, а также в случаях, установленных законодательством.

5.4. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение информации, относящейся к персональным данным, Оператор обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления прикладывается к документам субъектов ПД.

5.5. Оператор не вправе распространять персональные данные третьим лицам без согласия субъекта ПД.

5.7. Согласие на обработку персональных данных, разрешенных субъектом ПД для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

5.8. Общество не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.

5.9. Для обеспечения технической возможности Сервисов веб-сайта Оператор вправе предоставлять доступ к персональным данным пользователя третьему лицу – Индивидуальному предпринимателю Ковылковой Екатерине Сергеевне (адрес: 460038, г. Оренбург, пр-кт Дзержинского, д. 22, кв. 17, ОГРНИП 321565800052576).

5.10. Оператор не осуществляет трансграничную передачу персональных данных на территорию иностранных государств.

6. Гарантии конфиденциальности персональных данных

6.1. Информация, относящаяся к персональным данным, является служебной тайной и охраняется законом.

6.2. Субъект ПД вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.

6.3. В соответствии с действующим законодательством субъект ПД имеет право на доступ к своим персональным данным, которые хранит Оператор, а также право на уточнение, блокирование или удаление персональных данных или запрет (по запросу и на безвозмездной основе) обработки своих персональных данных. Субъект ПД может направить свой письменный запрос (отзыв) Оператору по адресу: 445043, Самарская область, г. Тольятти, Южное шоссе, д. 14.

6.4. Оператор блокирует персональные данные, относящихся к соответствующему субъекту ПД, с момента обращения или запроса субъекта ПД или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки в случае выявления недостоверных персональных данных или неправомерных действий.

6.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.

7. Сведения о реализуемых требованиях к защите персональных данных

7.1. Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Общество регулярно пересматривает и актуализирует принимаемые меры для обеспечения наилучшей защищенности обрабатываемых персональных данных – такие меры описываются в настоящей Политике, внутренних документах и локальных нормативных актах Общества.

К таким мерам, в частности, относится:

разработка моделей угроз;
определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
учет машинных носителей персональных данных;
размещение технических средств обработки персональных данных в пределах охраняемой территории;
поддержание технических средств охраны, сигнализации в постоянной готовности;
проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных.