Положение об обработке персональных данных в ООО «Субару Мотор»
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение об обработке персональных данных в ООО «Субару Мотор» (далее – «Положение») издано и применяется Обществом с ограниченной ответственностью «Субару Мотор» (далее – «Оператор») в соответствии с законодательством Российской Федерации о персональных данных в отношении любых действий (операций) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
1.2. Целями сбора и обработки персональных данных являются:
- обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных;
- обеспечение сохранности жизни и здоровья владельцев автомобилей торговой марки Subaru, оказания квалифицированных услуг владельцам автомобилей торговой марки Subaru;
- предоставление доступа на информационные порталы, на официальные сайты в сети Интернет, для участия в мероприятиях и рекламных акциях, для участия в тренингах;
- маркетинговые, аналитические и статистические исследования, связанные с продажей, пользованием и техническим обслуживанием автомобилей торговой марки Subaru, оказанием услуг по их техническому обслуживанию и ремонту, финансовых услуг, услуг помощи на дорогах, обеспечением безопасной эксплуатации автомобилей торговой марки Subaru, организацией и помощью в проведении своевременного гарантийного и негарантийного ремонта автомобилей торговой марки Subaru;
- а также любой иной способ, не противоречащий законодательству Российской Федерации о персональных данных.
1.3. Оператором осуществляется обработка следующих основных видов Персональных данных (далее – «ПД»):
1) фамилия, имя, отчество;
2) должность, место работы;
3) адрес регистрации, адрес места жительства;
4) семейное положение;
5) дата (день, месяц, год) рождения;
6) паспортные данные (серия, номер, кем и когда выдан, код подразделения);
7) номер водительского удостоверения;
8) контактные данные (номера домашнего, личного, рабочего телефонов, адрес электронной почты);
9) иные сведения, относимые законодательством Российской Федерации к персональным данным.
1.4. Оператор осуществляет обработку ПД следующих категорий субъектов ПД:
1) бывшие и нынешние сотрудники Оператора;
2) кандидаты на замещение вакантных должностей Оператора;
3) сотрудники и представители контрагентов Оператора;
4) покупатели и собственники автомобилей Оператора;
5) потенциальные покупатели автомобилей Оператора;
6) иные третьи лица, вступающие или вступавшие во взаимоотношения с Оператором, требующие обработки ПД.
1.5. В соответствии с поставленными целями и задачами Оператор в каждом структурном подразделении назначает ответственных за организацию обработки ПД из числа руководителей структурных подразделений.
1.6. Сотрудники Оператора, непосредственно осуществляющие обработку ПД, должны быть ознакомлены под роспись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящим Положением и иными документами, определяющими политику Оператора в отношении обработки персональных данных, и изменениями к ним. Обучение указанных работников организуется Ответственным сотрудником в соответствующем структурном подразделении (департаменте или отделе) Оператора.
1.7. Правовыми основаниями обработки ПД Оператором являются Трудовой кодекс Российской Федерации, договоры, заключаемые Оператором с субъектами ПД, и согласия субъектов ПД на обработку ПД.
2. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. На основании Целей обработки ПД, указанных в п. 1.2. Положения соответствующим структурным подразделением Оператора определяется цель обработки ПД в рамках направления его деятельности.
2.2. Сотрудники Оператора, ответственные за обработку ПД обязаны:
- организовывать правовые, организационные и технические меры для обеспечения защиты ПД, обрабатываемых Оператором;
- осуществлять внутренний контроль за соблюдением требований законодательства Российской Федерации о ПД;
- организовывать прием и обработку обращений и запросов субъектов ПД или их представителей;
- в случае нарушения требований к защите ПД принимать необходимые меры по восстановлению нарушенных прав субъектов ПД.
2.3. Ответственные сотрудники Оператора вправе:
- иметь доступ к любой информации, касающейся обработки ПД;
- привлекать к реализации мер, направленных на обеспечение безопасности ПД, иных сотрудников Оператора с возложением на них соответствующих обязанностей и закреплением ответственности;
- получать информацию от любого структурного подразделения Оператора путем направления запроса.
2.4. Обработка ПД организуется соответствующим структурным подразделением Оператора в рамках направления деятельности данного структурного подразделения в следующем порядке:
А) Сотрудники структурного подразделения Оператора доводят до сведения соответствующего Ответственного лица цели, объем, сроки и порядок планируемой обработки ПД;
Б) В ходе согласования обработки ПД определяются:
- способ обработки ПД (вручную; с использованием средств автоматизации; с привлечением третьих лиц);
- форма согласия на обработку ПД (отдельная письменная форма; пункт в документе; подтверждение по электронной почте, позволяющее с определенной точностью установить, что данное согласие было получено от субъекта ПД, которым ПД были/будут предоставлены; отдельный документ, размещенный в информационно-телекоммуникационных сетях);
- необходимость указания в форме согласия иных операторов ПД с целью получения соответствующего согласия субъекта ПД;
- срок обработки и хранения ПД;
- порядок изменения, уточнения и уничтожения ПД по истечении срока или достижения целей обработки ПД;
В) Непосредственные сбор, обработка и хранение ПД осуществляются под контролем руководителей соответствующих структурных подразделений Оператора;
Г) При истечении срока или достижении целей обработки ПД, а также в случае получения соответствующих требований и/или обращений субъектов ПД подлежат уничтожению в согласованном в разделе 4 настоящего Положения порядке.
2.5. В случае получения требований или обращений субъектов ПД или их представителей о внесении исправлений или об уничтожении ПД, Оператор в течение 30 (тридцати) дней с момента подобного исправления или уничтожения обязан направить уведомление субъекту ПД или его представителю о внесенных изменениях или предпринятых мерах по уничтожению ПД, а также уведомить третьих лиц, которым ПД этого субъекта были переданы, о необходимости внесения изменений или уничтожения ПД.
2.6. Обработка персональных данных допускается только при условии получения Оператором согласия субъекта ПД, выраженного в форме, описанной в подпункте б) пункта 2.4 настоящего Положения.
Рекомендуемые формы согласия на обработку персональных данных приведены в Приложениях №№ 1 и 2 к настоящему Положению.
2.7. Контроль за исполнением сотрудниками Оператора при обработке ПД требований законодательства Российской Федерации и положений документов, определяющих политику Оператора в отношении обработки ПД, возложен на руководителя соответствующего структурного подразделения Оператора. Обезличивание, блокирование, удаление, уничтожение ПД осуществляются сотрудниками соответствующего структурного подразделения Оператора только по согласованию с Ответственным сотрудником соответствующего структурного подразделения.
2.8. ООбработка ПД с использованием средств автоматизации может, кроме всего прочего, осуществляться в системе Incadea на базе Microsoft Dynamics Navision, программе «1C: Зарплата и Управление персоналом 8.3» (редакция 2.5) и системе Customer Relationship Management (CRM). В случае обработки ПД с использованием указанных средств автоматизации, отдельное согласование способа обработки персональных данных Ответственными сотрудниками не требуется.
2.9. Сотруднику Оператора для обработки ПД с использованием указанных выше средств автоматизации сотрудниками Департамента информационных технологий и решений Оператора предоставляются уникальные логин и пароль для доступа в соответствующую информационную систему Оператора.
2.10. Обеспечение безопасности ПД, обрабатываемых с использованием средств автоматизации Оператора, достигается сотрудниками ответственного структурного подразделения Оператора путем исключения несанкционированного, в том числе случайного, доступа к ПД, а также принятия дополнительных, согласованных и соответствующих уровню возможной угрозы мер по обеспечению безопасности ПД, в том числе установления обязательного прохождения сотрудниками Оператора процедур идентификации и аутентификации.
2.11. Обмен ПД при их обработке с использованием средств автоматизации Оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
2.12. В рамках обработки ПД Оператором в определенных случаях может осуществляться трансграничная передача ПД иностранным юридическим лицам, являющимся участниками и/или учредителями Оператора, при условии получения соответствующего согласия субъекта ПД на подобную передачу.
2.13. Передача ПД сотрудников Оператора и/или третьих лиц аудиторским организациям или индивидуальным аудиторам в рамках осуществляемой ими аудиторской деятельности также требует получения соответствующего согласия субъекта ПД.
2.14. При личном обращении или получении запроса субъекта ПД или его представителя о предоставлении им сведений об Операторе и обработанных им ПД сотрудник соответствующего структурного подразделения Оператора должен проверить, содержаться ли в запросе информация об основном документе, удостоверяющем личность субъекта ПД или его представителя, и имеется ли подтверждение факта взаимодействия Оператора с данным лицом / данными лицами в части обработки их ПД, а также незамедлительно довести данную информацию до непосредственного руководителя и Ответственного сотрудника.
Информацию о документе, удостоверяющем личность, следует по возможности сверить с оригиналом данного документа.
Полномочия представителя субъекта персональных данных должны подтверждаться доверенностью, оформленной в соответствии с требованиями законодательства Российской Федерации, копия которой должна быть предоставлена Оператору.
2.15. Запрошенные сведения предоставляются субъекту ПД в бумажном или электронном виде. По требованию субъекта ПД сведения, предоставленные в электронном виде, могут быть продублированы на бумаге. Документ с запрошенными сведениями оформляется в свободной форме и заверяется Ответственным сотрудником Оператора.
2.16. В случае возникновения вопросов, выявления проблем или нарушений в процессе обработки ПД, сотрудникам Оператора необходимо обращаться за консультацией в Отдел по юридическим вопросам и управлению рисками Оператора.
3. ДОСТУП И НОСИТЕЛИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Работникам Оператора доступ к ПД других работников Оператора и/или иных лиц предоставляется в соответствии с целями обработки ПД. Предоставление дополнительного доступа к ПД или доступа лицам, не указанным в настоящем Положении, осуществляется по письменному заявлению с санкции лиц, указанных в п. 3.3 настоящего Положения. Заявление передается и хранится в Отделе по работе с персоналом Оператора.
3.2. Общедоступными для всех работников Оператора сведениями о других работниках Оператора являются исключительно фамилия, имя, отчество, день и месяц рождения, должность, адрес электронной почты, местный и служебные (в том числе мобильный) телефоны. Перечень работников Общества с конфиденциальными номерами служебных мобильных телефонов определяется решением Генерального директора Оператора.
3.3. Генеральный директор Оператора и Менеджер по персоналу Департамента по работе с персоналом и общим вопросам Оператора имеют доступ к ПД всех работников Оператора.
3.4. Сотрудники Департамент учета, отчетности и финансового контроля Оператора имеют доступ к ПД, предоставляемым работниками Оператора в процессе трудовой деятельности, с целью производства выплат заработной платы или предоставления отчетности по налогам и взносам.
3.5. Менеджер по персоналу Департамента по работе с персоналом и общим вопросам Оператора имеет доступ к ПД, предоставляемым работниками Оператора для оформления полиса добровольного медицинского страхования.
3.6. Сотрудники Департамента информационных технологий и решений Оператора имеют доступ к ПД, имеющимся в Обществе в электронном виде, в соответствии с фактической организацией автоматизированной обработки информации.
3.7. Носителями ПД работников Оператора являются:
1) Любые документы, предоставленные претендентами на замещение вакансий Оператора, а также документы, формируемые Отделом по работе с персоналом Оператора на основании сведений, предоставленных претендентами;
2) Любые документы, предъявляемые работником при заключении трудового договора;
3) Любые документы, предоставляемые работником Оператора в процессе трудовой деятельности;
4) Любые документы, формируемые и хранимые Отделом по работе с персоналом Оператора.
3.8. Носителями ПД работников иных организаций являются любые документы, содержащие персональные данные работников иных организаций.
4. РЕЖИМ ХРАНЕНИЯ, ИСПОЛЬЗОВАНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Документы, содержащие ПД, должны храниться в закрытых на замок шкафах или сейфах.
4.2. В электронном виде ПД хранятся на носителях, доступ к которым осуществляется только при выполнении установленных процедур идентификации и аутентификации в соответствии с настоящим Положением и установленной политикой информационной безопасности Оператора.
4.3. Уничтожение документов на бумажных носителях, содержащих ПД, осуществляется с помощью бумагорезательной машины путем измельчения документов на куски, гарантирующего невозможность восстановления текста.
4.4. Уничтожение по окончании срока обработки ПД на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление ПД, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
5. ВЗАИМОДЕЙСТВИЕ С ДРУГИМИ ОПЕРАТОРАМИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ С ПРИМЕНЕНИЕМ СИСТЕМЫ ЭЛЕКТРОННОГО ВЗАИМОДЕЙСТВИЯ
5.1. На основании двух- или многосторонних соглашений при условии получения соответствующего предварительного согласия субъекта ПД Оператор может осуществлять обработку персональных данных совместно с другими операторами ПД в рамках электронного информационного взаимодействия, необходимого для достижения целей обработки ПД.
5.2. Оператор на основании поступивших запросов направляет другим операторам ПД информацию, включающую ПД субъектов. Подобное направление должно быть отражено в согласии на обработку ПД, предоставляемое субъектом ПД Оператору.
5.3. Оператор вправе направить другим операторам ПД запросы о предоставлении информации, включающей ПД субъектов. В ответах на запросы другие операторы ПД обязаны подтвердить наличие у них соответствующих согласий на передачу ПД от субъектов ПД.
5.4. Прекращение действия соглашения с другим оператором ПД является основанием для уничтожения Оператором обработанных в рамках такого соглашения ПД.
6. МЕРЫ И ПРОЦЕДУРЫ ПО НЕДОПУЩЕНИЮ ПРИЧИНЕНИЯ ВРЕДА
6.1. Оператором могут применяться следующие меры по недопущению причинения вреда ПД:
- правовые меры, в частности изучение и применение законодательства Российской Федерации по вопросам недопущения вреда, разработка локальных актов и их применение в сфере деятельности Оператора по обработке ПД;
- организационные меры, которые включают тщательный отбор, обучение и расстановку сотрудников Оператора, повышение их мотивации в вопросах недопущения причинения вреда ПД;
- обеспечение сохранности собственности Оператора, в том числе материальных носителей информации, путем установления и поддержания соответствующих режимов безопасности;
- недопущение попадания ПД неуполномоченным лицам путем выделения специальных помещений, оборудования или иных мест для обработки и хранения ПД;
- обеспечение информационной безопасности Оператора, бесперебойного функционирования средств автоматизации обработки ПД;
- обеспечение физической защиты объектов, находящихся на балансе Оператора, путем установления внутриобъектового и пропускного режимов и режима пожаробезопасности;
- незамедлительное восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- постоянный контроль за обеспечением уровня защищенности ПД.
6.2. Сотрудниками структурных подразделений Оператора во взаимодействии с руководителями структурных подразделений Оператора применяются следующие процедуры, направленные на предупреждение причинения и устранение причиненного вреда ПД:
- строгое соблюдение процедур получения, обработки, хранения, предоставления и распространения ПД;
- выявление нарушений процедур, их незамедлительное пресечение и доведение информации о них до непосредственного руководителя и Ответственного сотрудника;
- разработка, утверждение и ознакомление с правилами определения возможных форм причинения вреда и оценки его размера;
- предупреждение субъектов ПД о рисках причинения вреда ПД, допущенных нарушениях и подлежащих принятию мерах;
- внеочередные инструктажи по вопросам недопущения причинения вреда ПД в случае обнаружения факта причинения вреда.
- оценка уже причиненного вреда, фиксация мер, принятых по недопущению причинения вреда ПД, и их сопоставление;
- компенсация причиненного вреда, привлечение к ответственности сотрудников, допустивших причинение вреда и корректировка процедур и программ обучения сотрудников Оператора.
6.3. В случае получения запроса от субъекта ПД либо выявления нарушения, связанного с получением, обработкой, хранением или использованием ПД субъекта, сотрудник Оператора, принявший запрос либо выявивший нарушение, незамедлительно доводит эту информацию до непосредственного руководителя и Ответственного сотрудника.
7. КОНТРОЛЬ, ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ИЛИ НЕИСПОЛНЕНИЕ ПОЛОЖЕНИЯ
7.1. Контроль за исполнением настоящего Положения возложен на Отдел по юридическим вопросам и управлению рисками Оператора.
7.2. Лица, нарушающие или не исполняющие требования настоящего Положения, могут быть привлечены к дисциплинарной, административной или уголовной ответственности.
8. ПРИЛОЖЕНИЯ К НАСТОЯЩЕМУ ПОЛОЖЕНИЮ
Приложение № 1 – Форма Согласия на обработку персональных данных, предоставляемая в письменном виде;
Приложение № 2 – Форма Согласия на обработку персональных данных, предоставляемая в электронном виде на информационных порталах и Интернет-сайтах Оператора.
1911