1. Общие положения
1.1. Настоящая Политика обработки персональных данных Общества с ограниченной ответственностью «СберАвто» (далее – Политика), разработана в соответствии Федеральным законом Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ), Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, а также иными федеральными законами и нормативными актами Российской Федерации, определяющими случаи и особенности обработки ПДн и обеспечения безопасности и конфиденциальности такой информации (далее – Законодательство ПДн).
1.2. Положения и требования Политики направлены на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн в Обществе с ограниченной ответственностью «СберАвто» (далее – Компания).
1.3. Политика устанавливает:
− принципы обработки ПДн;
− права субъектов ПДн;
− обязанности Компании при осуществлении обработки ПДн;
− правовые основания обработки ПДн;
− категории субъектов ПДн и цели обработки ПДн;
− состав обрабатываемых ПДн;
− порядок и условия обработки ПДн;
− условия соблюдения Конфиденциальности ПДн и обеспечения безопасности ПДн;
− порядок взаимодействия с субъектами ПДн и Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор).
1.4. Политика является основой для организации обработки и защиты персональных данных в Компании, в том числе для разработки локальных нормативных актов (ВНД/ОРД), регламентирующих порядок обработки и защиты персональных данных в Компании, и
определяет:
− принципы обработки персональных данных, которыми руководствуется Компания при осуществлении деятельности;
− правовые основания обработки персональных данных;
− цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов персональных данных, персональные данные которых обрабатываются, способы, сроки обработки и хранения персональных данных, порядок их уничтожения;
− основных участников системы управления процессом обработки и защиты персональных данных;
− основы организации процесса управления обработкой персональных данных;
− основы порядка рассмотрения обращений субъектов персональных данных по вопросам обработки персональных данных;
− меры обеспечения Конфиденциальности ПДн и безопасности персональных данных;
− права и обязанности Компании и субъектов персональных данных.
1.5. Ознакомление работников Компании с Политикой, в том числе с изменениями Политики, осуществляется на бумажном носителе под подпись в соответствии с локальными нормативными документами Компании и трудовым законодательством РФ, а если работник является участником кадрового электронного документооборота (КЭДО), то в электронном виде согласно заключённому соглашению о КЭДО с Компанией.
1.6. Положения и требования Политики являются обязательными для исполнения всеми работниками Компании, имеющими доступ к ПДн.
1.7. Политика подлежит размещению на сайте Компании https://sberauto.com/ в информационно-телекоммуникационной сети Интернет, а также на всех страницах сайта Компании и в официальных мобильных приложениях «СберАвто», с использованием которых осуществляется сбор ПДн субъектов ПДн
1.8. Субъекты персональных данных могут ознакомиться с условиями Политики в информационно-телекоммуникационной сети «Интернет» на официальном сайте Компании, размещенном по интернет-адресу: https://sberauto.com/.
1.9. Термины и определения, используемые в Политике, приведены по тексту Приложения № 1 к Политике. В случае отсутствия в Приложении № 1 к Политике используемого термина, толкование и применение термина при необходимости осуществляется в соответствии с положениями применимых нормативных правовых актов Российской Федерации.
2. Принципы обработки персональных данных
Обработка ПДн в Компании осуществляется с соблюдением следующих принципов, установленных законодательством Российской Федерации:
− обработка ПДн осуществляется на законной и справедливой основе;
− обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
− не допускается обработка ПДн, несовместимая с целями сбора ПДн;
− не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
− обработке подлежат только ПДн, которые отвечают целям их обработки;
− содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки ПДн и не должны быть избыточными по отношению к заявленным целям их обработки;
− при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Компания принимает необходимые меры по удалению или уточнению неполных и (или) неточных данных;
− хранение ПДн в форме, позволяющей определить субъекта ПДн, осуществляется не дольше, чем этого требуют цели их обработки, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого является субъект ПДн;
− обрабатываемые ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законодательством о ПДн.
3. Права субъекта персональных данных
Субъект ПДн имеет право:
− свободно, своей волей и в своем интересе предоставлять свои ПДн и давать согласие на их обработку;
− отозвать свое согласие на обработку ПДн;
− получать информацию, касающуюся обработки своих ПДн в порядке, форме и в сроки, установленные Законодательством о ПДн;
− требовать уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее;
− требовать прекращения обработки своих ПДн;
− требовать прекращения обработки своих ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи;
− заявлять возражение против решения, принятого исключительно на основании Автоматизированной обработки ПДн;
− обжаловать действия или бездействие Компании в Роскомнадзор или в судебном порядке, если считает, что Компания осуществляет обработку его ПДн с нарушением требований Закона № 152-ФЗ или иным образом нарушает его права и свободы;
− принимать предусмотренные законодательством Российской Федерации меры по защите своих прав и законных интересов, в том числе право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
4. Обязанности Компании при обработке персональных данных
Компания при осуществлении обработки ПДн в праве:
− Осуществлять обработку ПДн, полученных Компанией законным способом, в рамках установленных целей;
− Поручить обработку ПДн третьему лицу с согласия субъектов ПДн, на основании заключения с этим лицом договора (в том числе поручить обработку ПДн контрагенту такого третьего лица);
− Совершать иные действия с ПДн, не противоречащие законодательству РФ.
− Получить ПДн от лица, не являющегося субъектом ПДн, с соблюдением требований действующего законодательства РФ.
Компания при осуществлении обработки ПДн обязана:
− опубликовать или иным образом обеспечить неограниченный доступ к Политике, к сведениям о реализуемых требованиях к защите ПДн, а также обеспечить возможность доступа к
Политике с использованием средств соответствующей информационно-телекоммуникационной сети;
− уведомить Роскомнадзор о своем намерении осуществлять обработку ПДн, об изменениях сведений, указанных в уведомлении, а также в случае прекращения обработки ПДн в порядке и в сроки, установленные Законом № 152-ФЗ;
− при сборе ПДн предоставить субъекту ПДн по его просьбе информацию, касающуюся обработки его ПДн;
− в случае, если ПДн получены Компанией не от субъекта ПДн, то до начала обработки таких ПДн предоставить субъекту ПДн информацию, предусмотренную Законом №152-ФЗ, за исключением случаев предусмотренных п. 4 ч. 4 ст.18 Закона № 152-ФЗ ;
− разъяснить субъекту ПДн юридические последствия отказа предоставить ПДн и (или) дать согласие на обработку ПДн, если Предоставление ПДн и (или) получение согласия на обработку ПДн является обязательным в соответствии с законодательством Российской Федерации;
− обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе № 152-ФЗ;
− не раскрывать и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации;
− разъяснить субъекту ПДн порядок принятия решения на основании исключительно Автоматизированной обработки ПДн и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения;
− предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к субъекту ПДн, в той форме, в которой были направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе;
− внести необходимые изменения в ПДн при наличии сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными;
− немедленно прекратить по требованию субъекта ПДн обработку его ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи;
− уничтожить ПДн при наличии сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
− в случае отзыва субъектом ПДн согласия на обработку его ПДн прекратить их обработку и уничтожить его ПДн, за исключением случаев, предусмотренных Законодательством о ПДн;
− по требованию субъекта ПДн прекратить обработку и уничтожить его ПДн, за исключением случаев, предусмотренных Законодательством о ПДн;
− принимать необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, Распространения ПДн, а также от иных неправомерных действий в
отношении ПДн;
− уведомить Роскомнадзор в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, в порядке и сроки, установленные Законодательством о ПДн;
− осуществлять взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности;
− сообщать в Роскомнадзор, по запросу этого органа необходимую информацию;
− осуществлять иные обязанности, предусмотренные Законодательством о ПДн.
5. Правовые основания обработки персональных данных
Правовыми основаниями обработки ПДн в Компании являются:
− Конституция Российской Федерации;
− Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
− Гражданский кодекс Российской Федерации от 30.10.1994 № 51-ФЗ;
− Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ;
− Федеральный закон Российской Федерации от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
− Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
− Федеральный закон Российской Федерации от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
− Федеральный закон Российской Федерации от 25.12.2008 № 273-ФЗ «О противодействии коррупции»;
− Федеральный закон Российской Федерации от 13.03.2006 № 38-ФЗ «О рекламе»;
− Федеральный закон Российской Федерации от 7.07.2003 № 126-ФЗ «О связи»;
− Федеральный закон Российской Федерации от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
− Федеральный закон Российской Федерации от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
− Федеральный закон Российской Федерации от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
− Федеральный закон Российской Федерации от 28.12.2003 № 426-ФЗ «О специальной оценке условий труда»;
− Федеральный закон Российской Федерации от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
− Постановление Правительства Российской Федерации от 27.11.2006 г. № 719 «Об утверждении Положения о воинском учете»;
− Приказ Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;
− иные применимые нормативные правовые акты РФ.
Компания осуществляет обработку ПДн, руководствуясь вышеуказанными нормативными правовыми актами, а также:
− Уставом Компании;
− Внутренними нормативными документами Компании, регламентирующими вопросы обработки ПДн;
− договорами, заключаемыми Компанией с субъектами ПДн;
− договорами, заключаемыми с контрагентами Компании, в рамках которых Компания выступает оператором ПДн или лицом, осуществляющим обработку ПДн по поручению;
− Условиями использования сервиса «СберАвто» (https://sberauto.com);
− согласиями Субъектов ПДн на обработку их ПДн.
Компания также вправе осуществлять обработку ПДн в следующих случаях:
− когда обработка ПДн необходима для исполнения договора, стороной которого, либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договору, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
− когда обработка ПДн необходима для осуществления прав и законных интересов Компании или третьих лиц, если при этом не нарушаются права и свободы субъекта ПДн, в т.ч. в соответствии с локальными нормативными актами и иными внутренними нормативными документами Компании;
− обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном, судопроизводстве, судопроизводстве в арбитражных судах;
− обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
− в иных случаях, допустимых в соответствии с Законодательством о ПДн.
6. Категории субъектов персональных данных и цели обработки персональных данных, состав и категории обрабатываемых персональных данных, способы, сроки обработки и хранения персональных данных, порядок их уничтожения
6.1. Компания обрабатывает ПДн cсубъектов ПДн для достижения конкретных, заранее определенных и законных целей. Список целей обработки ПДн и соответствующие им категории и перечень обрабатываемых ПДН, категории субъектов ПДн, способы, сроки обработки и хранения ПДн указаны в Приложении № 2 к Политике.
6.2. Обработка ПДн, несовместимая с заявленными целями обработки, Компанией не допускается.
6.3. Компания уведомляет субъекта ПДн об использовании Cookies (о факте и о цели обработки Cookies) непосредственно до начала использования веб-сайта или мобильного приложения Компании. Субъект ПДн вправе отказать Компании в использовании Cookies или ограничить использование Cookies, за исключением случаев, когда использование Cookies необходимо для функционирования веб-сайта или мобильного приложения Компании и предоставления субъекту ПДн доступа к сайту или мобильному приложению Компании. Компания предоставляет субъекту ПДн сведения о возможности ограничить обработку Cookies. Компания обрабатывает Cookies в соответствии с условиями и правилами Политики использования Cookies (Приложение № 3 к Политике).
6.4. Компания не обрабатывает биометрические категории ПДн.
6.5. Компания обрабатывает специальные категории ПДн (состояние здоровья) исключительно в рамках трудовых отношений и в иных целях, установленных Законодательством о ПДн или заключенными договорами с контрагентами Компании.
6.6. Прекращение обработки и уничтожение ПДн осуществляется:
− по требованию субъекта прекратить обработку его ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи;
− по требованию Роскомнадзора об уничтожении недостоверных или полученных незаконным путем ПДн;
− при выявлении неправомерной обработки ПДн и отсутствии возможности обеспечить ее правомерность;
− при отзыве согласия субъекта ПДн на обработку его ПДн, за исключением случаев, предусмотренных Законодательством о ПДн;
− по требованию субъекта ПДн прекратить обработку его ПДн, за исключением случаев, предусмотренных Законодательством о ПДн;
− при утрате необходимости в достижении целей обработки ПДн;
− по достижении целей обработки;
− по истечении установленных сроков хранения ПДн.
7. Порядок и условия обработки персональных данных
7.1. Сбор ПДн
7.1.1. Сбор ПДн осуществляется непосредственно у самого субъекта ПДн и (или) через других лиц, привлекаемых для сбора данных, с последующей их передачей в Компанию.
7.1.2. При сборе ПДн на страницах сайта Компания предоставляет субъекту ПДн возможность ознакомления с Политикой и дать согласие на обработку ПДн свободно, своей волей и в своем интересе.
7.1.3. Сбор и обработка ПДн субъекта в целях продвижения товаров, работ, услуг Компании и иных третьих лиц с помощью средств связи осуществляется только при условии получения предварительного согласия на это субъекта.
7.1.4. Если в соответствии с законодательством Российской Федерации Предоставление ПДн и (или) получение Компанией согласия на обработку ПДн являются обязательными, Компания разъясняет субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.
7.1.5. Если ПДн получены не от субъекта ПДн, Компания до начала обработки таких ПДн предоставляет субъекту ПДн следующую информацию:
− наименование и адрес Компании;
− цель обработки ПДн и ее правовое основание;
− перечень ПДн;
− предполагаемые пользователи ПДн;
− установленные Законодательством о ПДн права субъекта ПДн;
− источник получения ПДн, за исключением случаев, предусмотренных п. 4 ч. 4 ст.18 Закона № 152-ФЗ.
7.1.6. Компания освобождается от обязанности предоставлять субъекту перечисленные сведения, в случаях, если субъект уведомлен об осуществлении обработки его ПДн, либо если ПДн получены Компанией на основании федерального закона или в связи с исполнением договора,
стороной которого является субъект, а также когда обработка ПДн осуществляется для статистических или иных исследовательских целей Компании.
7.1.7. Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно Автоматизированной обработки ПДн только при наличии согласия в письменной
форме субъекта ПДн или в случаях, предусмотренных законодательством Российской Федерации, устанавливающими меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.
7.2. Условия передачи ПДн третьим лицам.
7.2.1. Предоставление ПДн органам государственной власти, органам местного самоуправления, а также иным уполномоченным органам допускается в случаях и на основаниях, предусмотренных законодательством Российской Федерации.
7.2.2. Передача ПДн между подразделениями Компании осуществляется только между работниками, имеющими доступ к ПДн субъектов.
7.2.3. Представителю субъекта ПДн субъекта предоставляются в порядке, установленном действующим законодательством Российской Федерации, при наличии документов, подтверждающих полномочия представителя, и документов, удостоверяющих личность представителя.
7.2.4. Передача ПДн субъекта третьему лицу осуществляется только с согласия субъекта ПДн, если иное не предусмотрено Законодательством о ПДн. В согласии субъекта ПДн указывается сведения о третьем лице (третьих лицах), которому (которым) передаются ПДн, перечень передаваемых ПДн, а также цель передачи ПДн.
7.2.5. Передача ПДн или поручение обработки ПДн третьему лицу осуществляется на основании договора, существенными условиями которого являются соблюдение третьим лицом Конфиденциальности ПДн и обеспечение безопасности ПДн в соответствии с требованиями Законодательства о ПДн.
7.2.6. При передаче ПДн третьим лицам, которые на основании договоров получают доступ или осуществляют обработку ПДн, Компания ограничивает эту информацию только теми ПДн, которые необходимы для выполнения указанными лицами их функций (услуг, работ).
7.3. Трансграничная передача ПДн
Трансграничная передача ПДн не осуществляется.
7.4. Хранение ПДн
7.4.1. Хранение ПДн осуществляется в информационных системах Компании и на бумажных носителях.
7.4.2. Документы на бумажных носителях, резервные копии без данных информационных
систем хранятся в специально выделенных помещениях Компании, доступ к которым
предоставляется работникам в соответствии с должностными обязанностями.
7.5. Прекращение обработки и уничтожение ПДн.
7.5.1. В случае обращения субъекта с требованием прекратить обработку его ПДн в целях
продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью
средств связи, Компания незамедлительно прекращает их обработку.
7.5.2. В случае выявления неправомерной обработки ПДн, осуществляемой Компанией
или лицом, действующим по поручению Компании, Компания в срок, не превышающий 3 (трех)
рабочих дней с даты этого выявления, прекращает неправомерную обработку ПДн или
обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим
по поручению Компании. В случае, если обеспечить правомерность обработки ПДн невозможно,
Компания в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной
обработки ПДн, уничтожает такие ПДн или обеспечивает их уничтожение.
7.5.3. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом
ПДн или его представителем сведений, подтверждающих, что ПДн являются незаконно
полученными или не являются необходимыми для заявленной цели обработки, Компания
уничтожает такие ПДн.
