Cогласие на обработку персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ 1.1. Политика обработки и защиты персональных данных (далее – «Политика») издана и применяется в ООО «Санрайз Групп», ИНН 7725408569 ОГРН 5177746311420 зарегистрированного по адресу: 115280, г. Москва, ул. Автозаводская, дом 21А, ком. 15 (далее совокупно - "Оператор") в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»). 1.2. Настоящая политика определяет порядок и условия обработки Оператором персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, связанных с обработкой персональных данных, а также ответственность работников ООО «Санрайз Групп» (далее – Общество), участвующих в обработке персональных данных. 1.3. Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящей Политикой, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных. 2. ОСНОВНЫЕ ПОНЯТИЯ 2.1 Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). 2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). 2.3. Информационная система персональных данных (ИСПДн)– совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. 2.4. Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их раскрытие третьим лицам или их распространение без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. 2.5.Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. 2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. 2.7. Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе. 2.8. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. 2.9. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники. 2.10. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. 2.11. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц. 2.12. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. 3.ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ - соблюдения законов и иных нормативных правовых актов; - содействия работникам в продвижении по службе; - ведения делопроизводства; - осуществления видов деятельности, предусмотренных Уставом; - соблюдения требований трудового законодательства; - оформления медицинских осмотров; - оформления пропускного режима; - расчета и выплаты пособий по временной нетрудоспособности; - определения возможности выполнения трудовой функции; - контроля количества и качества выполняемой работы; - обеспечения сохранности имущества; - ведения кадрового учета, бухгалтерского учета; - обеспечения личной безопасности работников; - ведения единого справочника сотрудников; - оформления бейджа и визитных карточек; - обеспечение пропускного режима; - содействие в трудоустройстве и выборе подходящей должности; - поддержка связи с кандидатами; - включение в кадровый резерв; - осуществление связи с клиентом; - прием жалоб и предложений; - продвижение товаров, услуг на рынке путем осуществления прямых контактов с клиентом с помощью различных средств связи; - выполнение договорных обязательств; - оформление страховых продуктов, в том числе полисов КАСКО, ОСАГО и т.д.; - оформление кредита; - предоставление услуг по гарантийному обслуживанию автомобилей; - проведение маркетинговых программ; - проведение статистических исследований; - осуществление обратного звонка; - предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на сайтах компании 4.КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ 1) работники Оператора (в т.ч. уволенные); 2) ближайшие родственники работников Оператора; 3) кандидаты на вакантные должности; 4) клиенты; 5) ближайшие родственники клиентов; 6)представители контрагентов Оператора, представители субъектов персональных данных, уполномоченных на представление их интересов 5. ПРИНЦИПЫОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ Обработка организована Оператором на принципах: - законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора; - достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к заявленным целям обработки; - недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой; - обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных; - хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных 6.ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 6.1. Организацию и контроль за состоянием процесса обработки ПДн в Обществе осуществляет ответственный за организацию обработки ПДн. 6.2. Доступ работников к ПДн осуществляется на основании «Перечня должностей работников, замещение которых предусматривает осуществление обработки персональных данных в ООО «Санрайз Групп», утверждённого приказом генерального директора Общества. Доступ к ПДн работникам, должность которых не указана в перечне, запрещен. 6.3. Доступ работников в помещения, в которых ведётся обработка ПДн, осуществляется в соответствии с «Правилами доступа работников в помещения, в которых ведется обработка персональных данных в ООО «Санрайз Групп», утверждёнными приказом генерального директора Общества. 6.4. Работники осуществляют обработку ПДн в ИСПДн в соответствии с «Инструкцией пользователя информационных систем персональных данных ООО «Санрайз Групп», утверждённой приказомгенерального директора Общества. 6.5. В целях обеспечения единого порядка рассмотрения запросов субъектов ПДн или их представителей на доступ к обрабатываемым ПДн субъекта ПДн в ИСПДн, Ответственный за организацию обработки ПДн руководствуется «Правилами рассмотрения запросов субъектов персональных данных, чьи персональные данные обрабатываются в ООО «Санрайз Групп». 6.6. Работа со съемными машинными носителями ПДн в ИСПДн осуществляется в соответствии с «Порядком обращения со съемными машинными носителями персональных данных в информационных системах персональных данных ООО «Санрайз Групп», утверждённого приказом генерального директора Общества. 6.7. Хранение ПДн осуществляется не дольше, чем это необходимо для их обработки в целях, для которых они были собраны. 6.8. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных. 6.9. Оператор использует как неавтоматизированные, так и автоматизированные способы обработки персональных данных. 7. ПРЕДОСТАВЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ 7.1. ПДн предоставляются третьим лицам, а также раскрываются только с согласия субъекта ПДн или в случаях, предусмотренных федеральным законом. 7.2. По требованию третьего лица, получающего ПДн, данному лицу передается подтверждение наличия основания для предоставления ПДн. 8. ВКЛЮЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОБЩЕДОСТУПНЫЕ ИСТОЧНИКИ 8.1. В целях информационного обеспечения деятельности Общества могут создаваться общедоступные источники ПДн (в том числе справочники, электронные базы данных, страницы сайта Общества в информационно-телекоммуникационной сети «Интернет» и др.). 8.2. В общедоступные источники ПДн могут включаться только те ПДн, которые указаны субъектомПДн в согласии субъекта на обработку ПДн. 8.3. Сведения о субъекте ПДн исключаются в любое время из общедоступных источников по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов. 9. ПРЕКРАЩЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ УНИЧТОЖЕНИЕ 9.1. В случае достижения целей обработки ПДн или утраты необходимости в достижении целей обработки ПДн указанные ПДн уничтожаются или обезличиваются, или обеспечивается их уничтожение или обезличивание (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты достижения целей обработки ПДн (утраты необходимости в достижении целей обработки ПДн). 9.2. В случае отзыва субъектом ПДн согласия на обработку его ПДн указанные ПДн уничтожаются или обеспечивается их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты поступления указанного отзыва. 9.3. В случае окончания срока обработки ПДн, указанного в письменном согласии субъекта ПДн, указанные ПДн уничтожаются или обезличиваются, или обеспечивается их уничтожение или обезличивание (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества). 9.4. Уничтожение ПДн производится способом, исключающим возможность их восстановления: - перезаписью уничтожаемых (стираемых) файлов случайной битовой последовательностью; - удалением записи о файлах; - обнулением журнала файловой системы; - полной перезаписью всего адресного пространства съемного машинного носителя ПДн случайной битовой последовательностью с последующим форматированием. 10. ОТВЕТСТВЕННОСТЬ 10.1. Все работники, допущенные в установленном порядке к работе с ПДн, несут административную, материальную, уголовную ответственность в соответствии с действующим законодательством за обеспечение сохранности и соблюдение правил работы с ПДн. 10.2. Ответственность за доведение требований настоящего Положения до работников и обеспечение мероприятий по их реализации несет ответственный за организацию обработки ПДн. 10.3. Предоставление ПДн посторонним лицам, в том числе работникам, не имеющим права их обрабатывать, распространение ПДн, утрата съемных машинных носителей ПДн, а также иные нарушения обязанностей по обработке ПДн, установленных настоящей Политикой и иными локальными нормативными актами, влечет наложение на совершившего нарушение работника, имеющего доступ к ПДн, дисциплинарного взыскания: замечания, выговора или увольнения. 10.4. Работник, имеющий доступ к ПДн субъектов и совершивший указанный в пункте 13.3 дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба (п. 7 ст. 243 Трудового кодекса РФ). 10.5. Работники, имеющие доступ к ПДн субъектов, виновные в незаконном сборе или передаче ПДн, а также осуществившие неправомерный доступ к охраняемой законом компьютерной информации, несут уголовную ответственность в соответствии со ст. 137 и ст. 272 Уголовного кодекса РФ. 11. СБОР ПЕРСОНАЛЬНЫХ ДАННЫХ С ИСПОЛЬЗОВАНИЕМ САЙТОВ 11.1. При сборе персональных данных субъектов посредством информационнотелекоммуникационной сети Интернет Компания обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных субъектов с использованием баз данных, находящихся на территории Российской Федерации. 11.2. Получение согласия субъекта на сбор и обработку персональных данных осуществляется в случае предоставления субъектом любых личных данных с использованием электронной формы на сайтах Компании. 11.3. СайтыКомпании собирают сведения о пользователях, которые необходимыКомпании в целях анализа эффективности и улучшения работы сервисов сайтов с помощью сторонних сервисов «Яндекс.Метрика», «Google Analytics». 11.4. В случае выявления неточностей в персональных данных, субъект персональных данных может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора (info@changanauto-sunrisegroup.ru) с пометкой «Актуализация персональных данных». 11.5. Субъект персональных данных может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора (info@changanauto-sunrisegroup.ru) с пометкой «Отзыв согласия на обработку персональных данных». 11.6. Оператор обрабатывает персональные данные субъекта персональных данных только в случае их заполнения и/или отправки субъектом персональных данных самостоятельно через специальные формы, расположенные на сайтах ООО «Санрайз Групп». Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, субъект персональных данных выражает свое согласие с данной Политикой. 12. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ 12.1. Оператор имеет право: – получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные; – в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных; – самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами. 12.2. Оператор обязан: – предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных; – организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ; – отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных; – сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса; – публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных; – принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных; – прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных; – исполнять иные обязанности, предусмотренные Законом о персональных данных. 12.3. Субъекты персональных данных имеют право: – получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных; – требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав; – выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг; – на отзыв согласия на обработку персональных данных; – обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных; – на осуществление иных прав, предусмотренных законодательством РФ. 12.4. Субъекты персональных данных обязаны: – предоставлять Оператору достоверные данные о себе; – сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных. 12.5. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ. 12.6. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется. 12.7. Руководитель Оператора: - оказывает содействие Ответственному за организацию обработки персональных данных в выполнении им своих обязанностей; - организует устранение выявленных нарушений законодательства РФ, нормативных правовых актов уполномоченного федерального органа исполнительной власти, внутренних документов Оператора а также причин и условий, способствовавших совершению нарушения. 12.8. Сотрудники Оператора: - оказывают содействие Ответственному за организацию обработки персональных данных в выполнении им своих обязанностей; - незамедлительно доводят до сведения своего непосредственного руководителя и Ответственного за организацию обработки персональных данных (в части его компетенции) сведения о предполагаемых нарушениях законодательства РФ, в том числе нормативных правовых актов уполномоченного федерального органа исполнительной власти, и внутренних документов Оператора другими сотрудниками Оператора или контрагентами Оператора. 13. КОНТРОЛЬ, ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ИЛИ НЕИСПОЛНЕНИЕ ПОЛИТИКИ 13.1. Контроль за исполнением настоящей Политики возложен на Ответственного за организацию обработки персональных данных; 13.2. Лица, нарушающие или не исполняющие требования настоящей Политики, привлекаются к дисциплинарной или административной ответственности в порядке, установленном законодательством Российской Федерации; 13.3. Предоставление ПДн посторонним лицам, в том числе работникам, не имеющим права их обрабатывать, распространение ПДн, утрата съемных машинных носителей ПДн, а также иные нарушения обязанностей по обработке ПДн, установленных настоящей Политикой и иными локальными нормативными актами, влечет наложение на совершившего нарушение работника, имеющего доступ к ПДн, дисциплинарного взыскания: замечания, выговора или увольнения. 13.4. Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.