Термины и определения
Безопасность персональных данных — состояние защищенности персональных данных от неправомерных действий, характеризуемое способностью пользователей, технических средств и информационных систем обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке, независимо от формы их представления.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Процесс обработки персональных данных — бизнес-процесс Компании, в рамках которого осуществляется обработка персональных данных.
Субъект персональных данных — физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных. Субъектами персональных данных являются: клиенты, представители и родственники клиентов, работники Компании и кандидаты на устройство, работники контрагентов Компании и прочие физические лица, чьи персональные данные обрабатываются в Компании.
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Компания – «ООО ММС Рус», находящееся по адресу: г. Москва, ул. Обручева, 30/1, стр. 1, являющееся оператором, организующим и осуществляющим обработку персональных данных, устанавливающим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, правила и требования по их защите.
В настоящей Политике применены следующие обозначения и сокращения:
ИСПДн — информационная система персональных данных.
ПДн — персональные данные.
Политика – Политика в области обработки и защиты персональных данных.
Общие положения
Во исполнение требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», Трудового кодекса РФ, приказов ФСТЭК и ФСБ, других законодательных актов Российской Федерации в области обработки и защиты персональных данных, General Data Protection Regulation, а также внутренних документов ООО «ММС Рус» (далее – Компания) обеспечивает легитимность обработки и безопасность ПДн в своей деятельности. Настоящая Политика является в том числе «Codes of conduct» (предусмотренными согласно General Data Protection Regulation Art. 28(5), Art. 40).
Компания включена в Реестр операторов, осуществляющих обработку ПДн (далее – «Реестр»). Указанный Реестр опубликован на сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в сети «Интернет» по адресу: //rkn.gov.ru/personal-data/register/.
Принципы обработки ПДн
Принципами обработки ПДн в Компании являются:
обработка ПДн осуществляется на законной и справедливой основе (lawfulness, fairness and transparency);
Цели обработки ПДн
В соответствии с принципами обработки ПДн в Компании определены состав обрабатываемых ПДн и цели их обработки. Состав и цели обработки ПДн соответствуют требованиям действующего законодательства РФ в области обработки и защиты ПДн.
Компания при обработке ПДн преследует исключительно те цели, которые были определены перед началом сбора данных. Последующие изменения целей возможны только в ограниченной мере и подлежат обоснованию и информированию об этом субъекта ПДн.
Правила обработки ПДн
Обработка ПДн осуществляется Компанией на законной основе. В случаях, предусмотренных действующим законодательством, Компания осуществляет получение согласия (письменного согласия) субъекта на обработку его ПДн по установленной действующим законодательством форме. Если Компания получает ПДн от третьего лица, то она в обязательном порядке требует подтверждения от этого лица, что оно имеет все необходимые основания для передачи ПДн в Компанию.
Компания в ходе своей деятельности вправе поручать обработку ПДн третьему лицу, если иное не предусмотрено действующим законодательством. При этом обязательным условием поручения обработки ПДн (в виде договора или доверенности) другому лицу является обязанность по соблюдению конфиденциальности и обеспечению безопасности ПДн при их обработке, а также обязательство третьего лица использовать данные исключительно в заранее определенных целях и объемах.
При поручении обработки или передаче ПДн другому лицу возможны случаи осуществления трансграничной передачи. В этом случае Компания следует требованиям законодательства и осуществляет передачу только на территорию иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн. В противном случае, Компания следует требованиям части 4 статьи 12 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
В Компании запрещено принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.
В Компании НЕ обрабатываются ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни. Компании допускается обработка следующих специальных категорий ПДн в отношении работников и кандидатов:
Обработка данных о судимости допускается только при поступлении на работу, связанную с деятельностью, к осуществлению которой в соответствии с законом не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию (в соответствии со ст. 65 ТК РФ). При этом объем обрабатываемых данных о судимости ограничивается справкой о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям, выданной в соответствии с законодательством.
Обработка биометрических ПДн (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются в Компании для установления личности субъекта ПДн) в Компании осуществляется только для целей идентификации субъектов ПДн (клиентов) при их посещении ряда территорий Компании. При этом для целей идентификации используется фотография в паспорте субъекта ПДн, который предоставляет сам субъект ПДн. В качестве согласия на обработку ПДн выступает конклюдентное согласие субъекта ПДн на обработку его ПДн при передаче паспорта в руки представителя Компании. Компания не использует собственные носители ПДн и ИСПДн, содержащие биометрические ПДн, для идентификации субъекта ПДн
Компания НЕ размещает ПДн субъекта ПДн в общедоступных источниках без его письменного согласия.
Компания организовывает процессы взаимодействия с субъектами ПДн таким образом, чтобы субъект мог обратиться в Компанию по всем предусмотренным в законодательстве вопросам, связанным с обработкой его ПДн (информация об обрабатываемых ПДн, о третьих лицах, запросы на уточнение, прекращение обработки, блокировку и уничтожение).
Предоставление ПДн органам государственной власти и местного самоуправления, в суды, правоохранительные органы, а также иным надзорным органам осуществляется Компанией в случаях и в порядке, предусмотренных законодательством РФ.
Установление правил и порядка обработки ПДн
Компания во внутренних документах, обязательных для исполнения всеми работниками Компании, а также партнерами, контрагентами и прочими третьими лицами в части, их касающейся, определяются:
Требования к конфиденциальности и обеспечению безопасности ПДн (integrityandconfidentiality)
С целью обеспечения безопасности ПДн при их обработке в Компании реализуются требования действующего законодательства в области обработки и обеспечения безопасности ПДн. Для этих целей в Компании введена, функционирует и проходит периодический пересмотр (контроль) система защиты ПДн.
Компания применяет необходимые и достаточные организационные и технические меры, включающие в себя, в том числе:
В Компании назначены лица, ответственные за организацию обработки и обеспечения безопасности ПДн. Руководство Компании заинтересовано в обеспечении безопасности ПДн, обрабатываемых в рамках выполнения основной деятельности Компании, как с точки зрения требований действующего законодательства, так и с точки зрения минимизации рисков.
Права субъектов персональных данных
Субъекты персональных данных имеют право на получение у Компании информации, касающейся обработки своих персональных данных, а также возможность ознакомления с этими персональными данными, за исключением случаев, ограниченных законодательством Российской Федерации, запросить у Компании актуальную информацию о третьих лицах (наименование и адрес лица), которым осуществляется передача персональных данных, требовать уточнения (обновление, изменение) своих персональных данных, а также удаления и уничтожения своих персональных данных в случае их обработки Компанией, нарушающих законные права и интересы субъектов персональных данных, законодательство Российской Федерации и локальные акты Компании.
Субъекты персональных данных имеют право в любое время отозвать свое согласие на обработку персональных данных, обрабатываемых Компанией для установленных целей. Персональные данные субъектов будут уничтожены Компанией по истечении установленного срока хранения персональных данных. Форма отзыва согласия на обработку персональных данных и порядок отзыва представлены по адресу //www.mitsubishi-motors.ru/pdp_recall.doc.
В отношении возникновения у субъекта персональных данных права на обжалование действий или бездействия Компании в целях защиты своих прав и законных интересов, а также иные права субъекта персональных данных, осуществляются в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
Заключительные положения
В случае если какое-либо из положений настоящей Политики является или становится незаконным, недействительным, это не затрагивает действительность остальных положений настоящей Политики.
В случае изменения нормативно-правовых актов, использованных в настоящей Политике, настоящая Политика продолжает свое действие в части, не противоречащей действующему законодательству. В остальной части Компания руководствуется нормами действующего законодательства.