Политика обработки персональных данных

1. Общая часть

1.1. Настоящее «Положение о порядке обработки, хранения и защиты персональных данных» (далее – Положение) определяет цели, устанавливает порядок создания, обработки и защиты персональных данных субъектов персональных данных  ИП Кичигиным В. А. ИНН 590417761111  ОГРН 317 5958 00008102 (далее - Оператор).

1.2. Основанием для разработки данного локального нормативного акта являются:

• Конституция РФ от 12.12.1993г;
• Гражданский кодекс РФ;
• Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
• Федеральный закон от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановление Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

1.3. Целью настоящего Положения является определение порядка обработки персональных данных субъектов персональных данных Оператора, обеспечение защиты их прав и свобод при обработке персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных.

1.4. Субъект персональных данных считается ознакомившимся и согласившимся с настоящим Положением и условиями обработки персональных данных при использовании им Сайта 159avto.ru.

1.5. В случае несогласия с условиями настоящего Положения субъект персональных данных должен прекратить использование Сайта 159avto.ru.

1.6. Положение может быть изменено Оператором в любой момент и без какого-либо предварительного уведомления субъекта персональных данных. Новая редакция Положения вступает в силу с момента её размещения на сайте Оператора, если иное не предусмотрено Положением.

1.7. Актуальная версия Положения всегда находится на сайте Оператора.

2. Основные понятия, используемые в настоящем положении

2.1. Для целей настоящего Положения применяются следующие термины и определения:

Сайт

– Интернет-Сайт, принадлежащий Оператору, расположенный в сети Интернет по адресу https://159avto.ru/

Субъект персональных данных

– физическое лицо, чьи персональные данные обрабатываются Оператором.

Персональные данные

 - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

Персональные данные

 – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). К такой информации, в частности, можно отнести: 

• фамилию, имя, отчество;
• контактный телефон;
• адрес электронной почты;
• адрес фактического проживания;
• адрес, по которому уже предоставляются услуги, либо планируется предоставление услуги.

Документы, содержащие персональные данные

- анкета субъекта персональных данных, профиль пользователя (субъекта персональных данных); копии личных документов, необходимых для оформления гражданско-правового договора.

Обработка персональных данных

- любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъекта персональных данных.

Распространение персональных данных

- действия, направленные на передачу персональных данных третьим лицам, с письменного согласия субъекта персональных данных.

Использование персональных данных

- действия (операции) с персональными данными, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Блокирование персональных данных

- временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных

- действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных

- действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных

- совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных

- обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Несанкционированный доступ (несанкционированные действия) к информационным системам персональных данных

- доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных.

Общедоступные персональные данные

- персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с Федеральными законами не распространяется требование соблюдения конфиденциальности.

Файл-сookie

- небольшой фрагмент текста, передаваемый в браузер с Сайта и хранящийся на устройстве субъекта персональных данных и позволяющий оптимизировать работу Сайта.

3. Общие принципы и условия обработки персональных данных

3.1. Обработка персональных данных осуществляется на основе принципов:

• законности целей и способов обработки персональных данных и добросовестности;
• соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
• недопустимости объединения баз данных информационных систем персональных данных, созданных для различных целей обработки;
• соответствия содержания обрабатываемых персональных данных заявленным целям их обработки. Объем персональных данных не должны быть избыточным по отношению к заявленным целям их обработки;
• достоверности персональных данных и актуальности по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по уточнению неполных или неточных данных.

3.2. Обработка персональных данных осуществляется для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является или будет являться субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

3.3. В целях обеспечения прав и свобод человека и гражданина Оператор и его представители при обработке персональных данных обязаны соблюдать следующие общие требования:

1. обработка персональных данных может осуществляться исключительно в целях исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
2. все персональные данные субъекта персональных данных Оператор должен получать у него самого. Если, по какой-либо уважительной причине персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие;
3. при определении объема и содержания обрабатываемых персональных данных Оператор должен руководствоваться Конституцией РФ, законодательством РФ в сфере защиты персональных данных и обработки информации и иными локальными нормативными актами в области защиты персональных данных;
4. Оператор не имеет права получать и обрабатывать персональные данные, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных»;
5. при принятии решений, затрагивающих интересы субъекта персональных данных и/или порождающих юридические последствия в отношении него, Оператор не имеет права основываться на его персональных данных, полученных исключительно в результате их автоматизированной обработки или электронным путем;
6. решение, порождающее юридические последствия в отношении субъекта персональных данных Оператора или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки персональных данных только при наличии его согласия в письменной форме или в случаях, предусмотренных Федеральным законодательством, устанавливающим также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных. Оператор обязан разъяснить субъекту персональных данных порядок принятия такого решения, возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты своих прав и законных интересов;
7. Оператор обязан рассмотреть возражение субъекта персональных данных против решения, принятого на основании исключительно автоматизированной обработки его персональных данных, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения;
8. защита персональных данных от неправомерного их использования или утраты должна быть обеспечена Оператором за счет своих средств, в порядке, установленном Федеральным Законом и другими нормативными документами;
9. субъекты персональных данных должны быть ознакомлены с настоящим Положением, устанавливающим порядок обработки их персональных данных, а также об их правах и обязанностях в этой области.

3.4. Обработка персональных данных осуществляется смешанным путем:

1. неавтоматизированным способом обработки персональных данных;
2. автоматизированным способом обработки персональных данных (с помощью ПЭВМ и специальных программных продуктов).

3.5. Обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и Постановлением Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

3.6. В целях оптимизации работы Сайта и отслеживания активности Оператор вправе осуществлять сбор обезличенных данных субъектов персональных данных при помощи файлов Сookie и посредством сервисов, таких как Яндекс.Метрика, Yandex SmartCaptcha (но не ограничиваясь), осуществляющих сбор и хранение данных субъекта персональных данных.

3.7. Субъект персональных данных вправе отказаться от всех Сookie-файлов путем изменения настроек браузера, а также путем изменения настроек сервиса при наличии технической возможности.

3.8. При отказе от использования Сookie-файлов субъект персональных данных соглашается с тем, что часть функций и сервисов Сайта могут быть ему недоступны для использования.

4. Получение персональных данных

4.1. Получение персональных данных осуществляется путем предоставления их субъектом персональных данных, посредством ввода персональных данных в регистрационные поля при оформлении заказа или регистрации Личного кабинета на интернет-сайте Оператора «https://159avto.ru/», а также при оформлении заказа по телефонным сетям общего пользования, за исключением случаев, предусмотренных действующим законодательством РФ.

4.2. Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Ознакомление с настоящим Положением, заполнение анкеты и других документов с персональными данными со слов субъекта персональных данных или документов за его подписью является гарантией этого.

4.3. В случае необходимости проверки персональных данных Оператор должен заблаговременно сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.

5. Хранение и использование персональных данных

5.1. Порядок хранения и использования документов, содержащих персональные данные осуществляется в соответствии с:

• Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральным законом от 27.07.2006 г № 152-ФЗ «О персональных данных».

5.2. Доступ к персональным данным имеют сотрудники Оператора, допущенные к работе с персональными данными приказом Генерального директора. Данным категориям сотрудников в их должностные обязанности включается пункт о сохранении конфиденциальности обрабатываемой информации.

5.3. Персональные данные субъектов персональных данных преимущественно хранятся на электронных носителях. Основными бумажными документами, содержащими персональные данные, являются:

• договор купли-продажи;
• сопроводительная документация при доставке товара;
• претензии и исковые заявления, относящиеся к субъектам персональных данных;
• ответы на претензии и возражения на исковые заявления, относящиеся к субъектам персональных данных.

5.4. Документы, содержащие персональные данные, хранятся в специальных металлических шкафах, расположенных в служебных помещениях, Оператора которые, как и кабинеты сотрудников Оператора, по окончании рабочего дня закрываются на ключ, ставятся на сигнализацию и сдаются под охрану. Оператор обеспечивает ограничение доступа к персональным данным лицам, не уполномоченным законом либо Оператором для получения соответствующих сведений.

5.5. Хранение оконченных производством документов, содержащих персональные данные субъектов персональных данных, осуществляется в служебных помещениях Оператора.

5.6. Персональные данные субъектов персональных данных могут также храниться в электронном виде в персональных компьютерах. Доступ к электронным базам данных ограничен паролем. Возможна передача персональных данных по внутренней сети с использованием технических и программных средств защиты информации, с доступом только для сотрудников Оператора, допущенных к работе с персональными данными приказом Генерального директора и только в объеме, необходимом данным сотрудникам для выполнения своих должностных обязанностей.

5.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом № 152-ФЗ «О персональных данных», договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законодательством. Хранение документов, содержащих персональные данные, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.

6. Защита персональных данных

6.1. Защита информации о персональных данных представляет собой принятие правовых, организационных и технических мер, направленных на:

• обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• соблюдение конфиденциальности информации ограниченного доступа;
• реализацию права на доступ к информации.

6.2. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

6.3. Для обеспечения безопасности персональных данных субъектов персональных данных при неавтоматизированной обработке предпринимаются следующие меры:

6.3.1. Определяются места хранения персональных данных субъектов персональных данных (согласно настоящего Положения), которые оснащаются следующими средствами защиты:

• в служебных помещениях находятся специально оборудованные металлические шкафы. По окончании рабочего дня помещения закрываются на ключ и сдаются под охрану;
• все действия по обработке персональных данных осуществляются только сотрудниками Оператора, допущенными, согласно Списка должностей утвержденного Приказом Генерального директора, к работе с персональными данными, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.

6.3.2. При обработке персональных данных на материальных носителях, не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо не совместимы. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если не имеется возможности осуществлять их отдельно, должны быть приняты следующие меры:

• при необходимости использования или распространения о