Политика обработки и защиты персональных данных
1. Введение
1.1. Важнейшим условием реализации целей деятельности Оператора персональных данных (далее – «Оператор», «Общество»), является обеспечение необходимого и достаточного уровня информационной безопасности активов, к которым в том числе относятся персональные данные и коммерческие процессы, в рамках которых они обрабатываются.
1.2. Обработка и обеспечение безопасности информации, отнесенной к персональным данным в Обществе осуществляется в соответствии с Федеральным законом от 27.07.2006г. №152-ФЗ «О персональных данных»; Трудовым Кодексом РФ; Законом РФ от 07.02.1992г. №2300-1 «О защите прав потребителей»; Постановлением Правительства РФ от 31.12.2020г. №2463
«Об утверждении Правил продажи товаров по договору розничной купли-продажи, перечня товаров длительного пользования, на которые не распространяется требование потребителя о безвозмездном предоставлении ему товара, обладающего этими же основными потребительскими свойствами, на период ремонта или замены такого товара, и перечня непродовольственных товаров надлежащего качества, не подлежащих обмену, а также о внесении изменений в некоторые акты Правительства Российской Федерации», а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и позволяет обеспечить защиту персональных данных, обрабатываемых как в информационных системах персональных данных, т.е. в системах, целью создания которых является обработка персональных данных, так и в иных информационных системах, в которых персональные данные обрабатываются совместно с информацией, защищаемой в соответствии с требованиями, установленными для этой информации (режим защиты сведений, составляющих коммерческую тайну и др.).
1.3. Настоящая Политика определяет принципы, порядок и условия обработки и защиты персональных данных и действует в отношении всех персональных данных (далее по тексту – «Данные»), которые Общество может получить от субъекта персональных данных, являющегося стороной по гражданско-правовому договору, а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее по тексту – «Работник»).
1.4. Персональные данные являются конфиденциальной, строго охраняемой информацией и на них распространяются все требования, установленные внутренними документами Общества к защите конфиденциальной информации.

2. Понятие и состав персональных данных. Термины и принятые сокращения.
2.1. Перечень персональных данных, подлежащих защите в Обществе, формируется в соответствии с ФЗ РФ от 27 июля 2006г. №152-ФЗ «О персональных данных».
2.2. Сведениями, составляющими персональные данные (далее по тексту – «персональные данные», «ПД»), является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.5. Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.6. Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом настоящим Федеральным законом от 27.07.2006г. N152-ФЗ «О персональных данных».
2.7. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.8. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.9. Блокирование персональных данных – временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.10. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПД в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.11. Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

3. Обработка персональных данных, ее цели.
3.1. Общество осуществляет обработку персональных данных в следующих целях:
3.1.1. Осуществления Обществом деятельности, предусмотренной Уставом, действующим законодательством РФ, в частности: Законом РФ от 08.02.1998г. №14-ФЗ  «Об Обществах с ограниченной ответственностью», Законом РФ от 07.02.1992г. №2300-1 «О защите прав потребителей»; Постановлением Правительства РФ от 31.12.2020г. №2463 «Об утверждении Правил продажи товаров по договору розничной купли-продажи, перечня товаров длительного пользования, на которые не распространяется требование потребителя о безвозмездном предоставлении ему товара, обладающего этими же основными потребительскими свойствами, на период ремонта или замены такого товара, и перечня непродовольственных товаров надлежащего качества, не подлежащих обмену, а также о внесении изменений в некоторые акты Правительства Российской Федерации» и другими нормативными актами РФ;
3.1.2. Осуществления гражданско-правовых отношений: заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и Уставом Общества;
3.1.3. Осуществления трудовых отношений: организации кадрового учета Общества, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также Уставом Общества;
3.1.4. Информирования о товарах/услугах, сообщения о технических нововведениях, учета предоставленной информации в базах данных, проведения маркетинговых программ с помощью различных средств связи, в том числе, для продвижения товаров, работ и услуг, проведения статистических исследований, исследований, направленных на улучшение качества услуг;
3.1.5. В иных целях, не противоречащих действующего законодательству РФ.
3.2. Оператор должен сообщить субъекту сведения об Операторе, целях обработки ПД, способах получения ПД, категории и перечне ПД, подлежащих получению, об условиях при которых ПД могут передаваться Оператором, перечне действий с ПД, сроке, в течение которого действует согласие, и порядке его отзыва.
3.3. Документы, содержащие ПД, создаются путем:
•​копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство, водительское удостоверение и др.) с незамедлительным уничтожением копий после достижения цели обработки;
•​внесения сведений в учетные формы;
•​получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).
•     оформление субъектами персональных данных согласий на обработку персональных данных.
3.4. Обработка ПД.
3.4.1. Обработка персональных данных осуществляется:
•​с согласия субъекта персональных данных на обработку его персональных данных.
Субъект персональных данных оформляет отдельное согласие на обработку персональных данных для каждой цели обработки персональных данных, в том числе субъект персональных данных предоставляет отдельное согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
•​в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;
•​в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).
3.4.2. Категории субъектов персональных данных.
Обрабатываются ПД следующих субъектов ПД:
•​физические лица, состоящие с Обществом в трудовых отношениях;
•​физические лица, уволившиеся из Общества;
•​физические лица, являющиеся кандидатами на работу в Обществе;
•​физические лица, состоящие с Обществом в гражданско-правовых отношениях, либо планирующие/способные вступить в такие правоотношения в будущем;
•      физические лица, являющиеся уполномоченными представителями юридических лиц, вступающих с Обществом в гражданско-правовые отношения.
3.4.3. Обработка персональных данных ведется:
•​с использованием средств автоматизации (автоматизированной системы управления базами данных (СУБД), а также иных программных средств, специально разработанных по поручению Оператора, объединение персональных данных в единую информационную систему. При этом используемыми способами обработки данных являются (включая, но не ограничиваясь): автоматическая сверка почтовых кодов с базой кодов, автоматическая проверка написания названий улиц/населенных пунктов, автоматическая проверка действительности VIN кодов, государственных номерных знаков автомобилей, уточнение данных путем телефонной, почтовой связи или с помощью сети Интернет, сегментация базы по заданным критериям.
•​без использования средств автоматизации.
3.4.4. Не допускается предоставление третьим лицам/распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ.
3.5. Хранение персональных данных.
3.5.1. ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
3.5.2.​ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
3.5.3.​ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
3.5.4.​Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.
3.5.5.​Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
3.6. Уничтожение персональных данных.
3.6.1. Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
3.6.2.​ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.
3.6.3.​Факт уничтожения ПД подтверждается документально актом об уничтожении носителей.
3.7. Передача персональных данных.
3.7.1. Оператор предоставляет/распространяет ПД третьим лицам в следующих случаях:
•​субъект выразил свое согласие на такие действия;
•​передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.
3.7.2.​Перечень лиц, которым передаются ПД. Третьи лица, которым передаются ПД:
•​Пенсионный фонд РФ для учета (на законных основаниях);
•​налоговые органы РФ (на законных основаниях);
•​Фонд социального страхования РФ (на законных основаниях);
•​территориальный фонд обязательного медицинского страхования (на законных основаниях);
•​страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);
•​банки для начисления заработной платы (на основании договора);
•​органы МВД России в случаях, установленных законодательством,
•​лица, которым Оператором поручена обработка ПД, а также, иные уполномоченные лица и контрагенты на законных основаниях, при условии соблюдения такими лицами требований законодательства об обеспечении конфиденциальности персональных данных и безопасности при их обработке.
4. Защита персональных данных
4.1. В соответствии с требованиями нормативных документов Оператором выполняются мероприятия по защите персональных данных правового, организационного и технического характера.
4.2. Правовые мероприятия защиты представляют собой разработку и введение комплекса правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование мероприятий по защите ПД.
4.3. Организационные мероприятия защиты включают в себя организацию структуры управления средствами защиты ПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
4.4. Технические мероприятия защиты включают в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.
4.5. Основными мерами защиты ПД, используемыми Оператором, являются:
4.5.1.Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПД.
4.5.2.​Оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона 27.07.2006г. N 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом
4.5.3. Определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мер и мероприятий по защите ПД.
4.5.4.​Разработка политики в отношении обработки персональных данных.
4.5.5.​Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД.
4.5.6.​Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
4.5.7.​Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
4.5.8.​Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
4.5.9.​Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ.
4.5.10.​Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
4.5.11.​Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
4.5.12.​Ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
4.5.13.​Осуществление внутреннего контроля и аудита.
5. Сроки обработки персональных данных
5.1. Сроки обработки персональных данных определяются в соответствие со сроком действия договора с субъектом персональных данных, сроком исковой давности, сроком, указанным в согласии субъекта ПД на обработку его ПД, а также иными требованиями законодательства РФ и локальными документами Общества.

6. Права и обязанности субъекта персональных данных и Оператора
6.1. Права субъекта персональных данных. Субъект персональных данных имеет право
•​требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
•​требовать предоставить перечень своих персональных данных, обрабатываемых Обществом и источник их получения;
•​получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
•​требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
•​обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
•​на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
6.2. Общество, как оператор персональных данных, обязано:
•​при сборе ПД предоставить информацию об обработке ПД;
•​опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;
•​принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
•​давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.
6.3. Общество, как оператор персональных данных, имеет право:
•​отстаивать свои интересы в суде;
•​предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
•​отказывать в предоставлении персональных данных в случаях; предусмотренных законодательством;
•​использовать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством.
7. Принципы и условия обработки персональных данных
7.1. Обработка персональных данных Обществом осуществляется на основе принципов:
•​законности и справедливости целей и способов обработки персональных данных;
•​соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Общества;
•​соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
•​достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
•​недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
•​хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
•​уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
7.2. Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации.
8. Заключительные положения
8.1. Настоящая Политика является внутренним документом Общества, общедоступной информацией Общества и подлежит размещению в Уголке Потребителя и/или на сайте Общества.
8.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
8.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных Общества.
8.4. Ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Общества.