Политика обработки и защиты персональных данных (устаревшее, не используется)
Вступает в силу с: 2024-03-20
Опубликовано в: 2024-03-20
1. Общие положения
1.1. Настоящая Политика обработки и защиты персональных данных (далее – "Политика") оператора персональных данных – Общества с ограниченной ответственностью «ВиСиАр» (далее – "Компания"), зарегистрированная по адресу: Российская Федерация, 141402, Московская область, г. Химки, ул. Ленинградская, вл. 39, стр. 6, помещ. ОВ02_11_07_08, определяет основные принципы, порядок и условия обработки персональных данных, требования к защите персональных данных, а также основные права и обязанности субъектов персональных данных и оператора персональных данных.
1.2. Настоящая Политика является основным руководящим нормативным актом Компании для служебного использования, определяющим требования в отношении обработки и защиты персональных данных.
1.3. Компания обеспечивает неограниченный доступ к настоящей Политике путем публикации ее на веб-сайте по ссылке.
2. Принципы обработки персональных данных
2.1. Обработка персональных данных Компанией осуществляется в соответствии с принципами:
- законности и справедливости целей и способов обработки персональных данных;
- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- соответствия объема и содержания обрабатываемых персональных данных целям обработки персональных данных;
- недопустимости обработки персональных данных, которая может быть несовместима с целями сбора персональных данных;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях актуальности персональных данных для целей их обработки;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
3. Цели обработки персональных данных
3.1. Компания осуществляет обработку персональных данных для следующих целей:
- осуществление и выполнение возложенных законодательством Российской Федерации и международными договорами Российской Федерации на Компанию функций, полномочий и обязанностей;
- содействие в трудоустройстве;
- исполнение прав и обязанностей сторон трудовых отношений;
- информационное обеспечение деятельности Компании;
- содействие в предоставлении информации при оформлении кредитов работниками по их запросу;
- организация корпоративных мероприятий;
- взаимодействие в рамках Volvo Car Group;
- согласование, заключение, исполнение договоров и иных сделок;
- заключение и исполнение договоров купли-продажи, аренды автомобиля VOLVO и иных договоров c клиентами;
- проведение маркетинговых, аналитических и статистических исследований, опросов, связанных с продажей автомобилей VOLVO, оказанием услуг по их обслуживанию и ремонту, финансовых услуг по программам "Финансовые услуги Volvo Car", услуг помощи на дорогах, в том числе для проведения опросов в целях оценки степени удовлетворенности клиентов уровнем оказанных услуг;
- оказание услуг, связанных с эксплуатацией автомобиля VOLVO (в том числе гарантийное и сервисное обслуживание, услуги помощи на дороге);
- обеспечение безопасной эксплуатации автомобилей VOLVO, сохранности жизни и здоровья владельцев и пользователей автомобилей VOLVO, информирование о кампаниях отзыва продукции;
- информирование об обновлениях или изменениях, вносимых в продукцию и услуги Компании, дилерского центра и рекомендованного сервисного партнера, включая информацию об изменениях, вносимых в Политики и Условия;
- информирование о новой продукции, услугах и мероприятиях Компании, дилерского центра и рекомендованного сервисного партнера;
- оценка и совершенствование предложений Компании, информационное взаимодействие с клиентами;
- продвижение товаров, работ, услуг Компании и ее партнеров, дилерского центра, рекомендованного сервисного партнера на рынке в т.ч. путем осуществления прямых контактов с клиентами с помощью средств связи (в том числе по сетям электросвязи посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, сети Интернет, факса, СМС-сообщений, электронной почты);
- персонализация предложений клиентам в рамках продвижения товаров, работ, услуг Компании, дилерских центров, рекомендованных сервисных партнеров и ее партнеров, определение клиента в качестве постоянного и увеличение степени удовлетворенности качеством обслуживания;
- администрирование и рассмотрение запросов, жалоб, претензий, иных обращений, а также защита интересов Компании и клиентов в рамках досудебных и судебных разбирательств;
- проверка обоснованности предоставления скидок на автомобиль VOLVO в случае участия клиента в программах поддержки продаж Компании;
- проверка благонадежности клиента (в частности, при аренде автомобиля в рамках услуги Volvo Car Drive);
- содействие в оформлении страхования автомобиля;
- идентификация пользователя как многократного посетителя веб-сайтов ООО «ВиСиАр»;
- анализ поведения посетителей сайта ООО «ВиСиАр» с тем, чтобы оптимизировать взаимосвязь с пользователями сайтов и структуру веб-сайтов ООО «ВиСиАр»;
- создание профиля интересов пользователя веб-сайта, чтобы иметь возможность отображать важные для пользователя веб-сайта рекламные объявления продуктов и услуг Volvo на других веб-сайтах;
- персонализация предложений пользователям веб-сайтов в рамках продвижения товаров, работ, услуг Компании, дилерских центров, рекомендованных сервисных партнеров и ее партнеров.
4. Правовые основания обработки персональных данных
4.1. Правовыми основаниями для обработки персональных данных являются в том числе:
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 15.12.2001 № 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации";
- Федеральный закон от 24.07.1998 № 125-ФЗ "Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний";
- Федеральный закон от 29.12.2006 № 255-ФЗ "Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством";
- Федеральный закон от 25.07.2002 № 115-ФЗ "О правовом положении иностранных граждан в Российской Федерации";
- Федеральный закон от 18.07.2006 № 109-ФЗ "О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации";
- Федеральный закон от 06.04.2011 № 63-ФЗ "Об электронной подписи";
- Федеральный закон от 01.04.1996 № 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования";
- Федеральный закон от 28.03.1998 № 53-ФЗ "О воинской обязанности и военной службе";
- "Основы законодательства Российской Федерации о нотариате" от 11.02.1993 № 4462-1;
- Закон Российской Федерации от 19.04.1991 № 1032-1 "О занятости населения в Российской Федерации";
- Федеральный закон от 28.12.2013 № 426-ФЗ "О специальной оценке условий труда";
- Закон Российской Федерации от 07.02.1992 № 2300-1 "О защите прав потребителей";
- Федеральный закон от 13.03.2006 № 38-ФЗ "О рекламе";
- Решение Комиссии Таможенного союза от 09.12.2011 № 877 "О принятии технического регламента Таможенного союза "О безопасности колесных транспортных средств";
- иные нормативно-правовые акты Российской Федерации, на основании которых обрабатываются персональные данные;
- устав Компании;
- договоры, заключаемые между Компанией и ее контрагентами;
- договоры, заключаемые с субъектами персональных данных;
- согласия субъектов персональных данных.
5.Обрабатываемые персональные данные
5.1. В Компании обработка персональных данных осуществляется в отношении следующих категорий субъектов персональных данных:
- кандидатов;
- работников;
- родственников работников;
- приглашаемых работников Volvo Car Group;
- членов органов управления, участников и бенефициаров Компании;
- представителей дилерских центров и рекомендованных сервисных партнеров;
- представителей контрагентов – юридических лиц, контрагентов – индивидуальных предпринимателей и их представителей, контрагентов – физических лиц;
- клиентов (физических лиц и их представителей);
- подписчиков на рассылку;
- пользователей веб-сайтов;
- посетителей.
5.2. Содержание и объем персональных данных каждой категории субъектов персональных данных определяется необходимостью достижения конкретных целей их обработки, необходимостью Компании реализовать свои права и обязанности, а также права и обязанности соответствующего субъекта персональных данных.
6. Порядок и условия обработки персональных данных
6.1. Обработка Компанией персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), блокирования, удаления, уничтожения персональных данных.
6.2. Обработка персональных данных осуществляется путем смешанной (как автоматизированной, так и неавтоматизированной) обработки, в том числе с использованием внутренней корпоративной сети и сети Интернет.
6.3. Источником информации обо всех персональных данных является непосредственно субъект персональных данных. Если иное не установлено законодательством Российской Федерации, Компания вправе получать персональные данные субъекта персональных данных от третьих лиц, но субъект персональных данных должен быть уведомлен об этом.
6.4. Компания может осуществлять передачу персональных данных субъектов персональных данных третьим лицам, включая трансграничную передачу персональных данных на территории иностранных государств, в том числе не обеспечивающих адекватную защиту прав субъектов персональных данных, при условии соблюдения требований, предусмотренных законодательством Российской Федерации.
6.5. Компания вправе поручить обработку персональных данных другому лицу с согласия соответствующего субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (поручения на обработку персональных данных). Лицо, осуществляющее обработку персональных данных по поручению, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации.
6.6. В поручении на обработку персональных данных Компанией указываются цели обработки и перечень действий (операций) с персональными данными, которые могут быть совершены лицом, осуществляющим обработку персональных данных по поручению. В поручении устанавливаются также его обязанности по обеспечению конфиденциальности и безопасности персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии с законодательством Российской Федерации.
6.7. При обработке персональных данных в Компании соблюдаются условия, обеспечивающие сохранность и конфиденциальность персональных данных.
6.8. Работники Компании, а также иные лица, получившие доступ к персональным данным, принимают обязательства по обеспечению конфиденциальности обрабатываемых персональных данных.
6.9. Хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Российской Федерации или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
6.10. После достижения целей обработки персональных данных, в случае утраты необходимости в достижении целей обработки или по окончании срока хранения персональных данных, установленного федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, производится их уничтожение.
7. Актуализация, исправление и уничтожение персональных данных
7.1. Компания предпринимает разумные меры для поддержания точности и актуальности обрабатываемых персональных данных, а также их удаления в случаях, если они признаются устаревшими, недостоверными или излишними, либо если достигнуты цели их обработки.
7.2. В случае обнаружения факта неточности персональных данных или неправомерности их обработки Компания обязана провести актуализацию или прекратить их обработку.
7.3. Обработка персональных данных прекращается Компанией в следующем порядке и сроки (если иное не предусмотрено законодательством Российской Федерации):
- при выявлении неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления, Компания устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений Компания в срок, не превышающий десяти рабочих дней с даты выявления неправомерности действий с персональными данными, уничтожает персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Компания уведомляет субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены в уполномоченный орган по защите прав субъектов персональных данных, также этот орган;
- при достижении цели обработки персональных данных Компания прекращает обработку персональных данных и уничтожает соответствующие персональные данные в срок, не превышающий тридцати (30) рабочих дней с даты достижения цели обработки персональных данных;
- при отзыве субъектом персональных данных согласия на обработку своих персональных данных Компания прекращает обработку персональных данных и уничтожает персональные данные (за исключением персональных данных, которые хранятся в соответствии с действующим законодательством) в срок, не превышающий тридцати (30) рабочих дней с даты поступления указанного отзыва.
7.4. В случае отсутствия возможности уничтожения персональных данных в течение указанных сроков Компания осуществляет блокирование таких персональных данных или обеспечивает их блокирование и затем уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен законодательством Российской Федерации.
7.5. Уничтожение персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных.
8. Меры защиты и обеспечения безопасности персональных данных
8.1. Компания предпринимает необходимые технические и организационные меры в соответствии с законодательством Российской Федерации в области персональных данных с целью обеспечения их защиты от несанкционированного доступа, изменения, раскрытия или уничтожения.
8.2. Компания принимает следующие меры для обеспечения защиты и безопасности обрабатываемых персональных данных:
- назначено лицо, ответственное за организацию обработки персональных данных,
- изданы локальные акты по вопросам обработки персональных данных, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации;
- применяет предусмотренные соответствующими нормативными правовыми актами правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Компании;
- проводит периодические проверки условий обработки персональных данных в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в законодательстве Российской Федерации и локальных актах Компании;
- ведет учет машинных носителей персональных данных;
- применяет сертифицированные средства защиты информации;
- обеспечивает восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- устанавливает правила доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными в информационных системах персональных данных;
- обеспечивает контроль за принимаемыми мерами по обеспечению безопасности персональных данных;
- осуществляет ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными актами Компании по вопросам обработки персональных данных.
9. Права и обязанности субъектов персональных данных
9.1. Субъект персональных данных имеет право на получение информации, касающейся обработки Компанией его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Компанией способы обработки персональных данных;
- наименование и местонахождение Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального закона;
- перечень обрабатываемых персональных данных субъекта персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных законодательством в области персональных данных;
- информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
- наименование (фамилию, имя, отчество) и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные законодательством в области персональных данных.
9.2. Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Субъект персональных данных также вправе принимать предусмотренные законом меры по защите своих прав.
9.3. Субъект персональных данных вправе отозвать согласие на обработку своих персональных данных.
9.4. Если субъект персональных данных считает, что Компания осуществляет обработку его персональных данных с нарушением требований законодательства, субъект персональных данных вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
9.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами Российской Федерации.
9.6. Субъект персональных данных обязан:
- предоставлять Компании достоверные персональные данные;
- своевременно сообщать Компании об изменениях и дополнениях своих персональных данных;
- осуществлять свои права в соответствии с законом, иными нормативными правовыми актами и локальными нормативными актами Компании в области обработки и защиты персональных данных;
- исполнять иные обязанности, предусмотренные законом, иными нормативными правовыми актами и локальными нормативными актами Компании в области обработки и защиты персональных данных.
10. Права и обязанности Компании
10.1. При осуществлении обработки персональных данных Компания вправе:
- устанавливать правила обработки персональных данных в Компании, вносить изменения и дополнения в локальные нормативные акты, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей оператора персональных данных;
- осуществлять иные права, предусмотренные законом, иными нормативными правовыми актами и локальными нормативными актами Компании в области обработки и защиты персональных данных.
10.2. При осуществлении обработки персональных данных Компания обязана:
- обеспечивать обработку персональных данных исключительно в целях, для которых был осуществлен сбор персональных данных;
- принимать необходимые меры по удалению и уточнению неполных, неточных и неактуальных данных;
- получать от субъекта персональных данных согласие на обработку его персональных данных, в том числе в письменной форме, в случаях, установленных законодательством Российской Федерации;
- защищать персональные данные от их неправомерного использования или утраты;
- исполнять иные обязанности, предусмотренные законодательством Российской Федерации и локальными нормативными актами Компании в области обработки и защиты персональных данных.
11. Ответы на запросы субъектов персональных данных
11.1. Компания предоставляет субъекту персональных данных ответ на запрос о получении информации, касающейся обработки его персональных данных, на основании соответствующего письменного заявления субъекта персональных данных.
11.2. Адрес для обращений субъектов персональных данных в Компанию по вопросам обработки персональных данных:
- 141402, Московская область, г. Химки, ул. Ленинградская, вл. 39, стр. 6, помещ. ОВ02_11_07_08.