Политика обработки персональных данных Фольксваген Центр ВАГНЕР

Политика обработки персональных данных ООО «ВАГНЕР-АВТО»

УТВЕРЖДЕНО
приказом генерального директора
ООО «ВАГНЕР-АВТО»
от 16 апреля 2021 г. № 05

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
в обществе с ограниченной ответственностью «ВАГНЕР-АВТО»

1.ОБЩИЕ ПОЛОЖЕНИЯ
1.1 Настоящая политика обработки персональных данных (далее – Политика) ООО «ВАГНЕР-АВТО» (далее – Оператор), ИНН 7801214832, адрес места нахождения: 196210, г. Санкт-Петербург, вн. тер. г. муниципальный округ Пулковский меридиан, ул. Стартовая, дом 5, литера А, помещ. 1-н часть 75, разработана с целью обеспечения защиты прав и свобод субъекта персональных данных (далее - ПДн) при обработке его персональных данных.
1.2 В Политике используются следующие основные понятия:
- персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия граждан, или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
- информация – сведения (сообщения, данные) независимо от формы их представления;
- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.3. Права и обязанности субъектов персональных данных
1.3.1. В целях защиты своих персональных данных, хранящихся в Обществе, субъект персональных данных имеет право:
– получить доступ к своим персональным данным;
– получить информацию, касающуюся обработки его персональных данных
– требовать исключения или исправления неверных или неполных персональных данных;
– получать свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
– дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
– определять своих представителей для защиты своих персональных данных;
– требовать сохранения и защиты своей личной и семейной тайны;
– обжаловать в суде любые неправомерные действия или бездействия Оператора при обработке и защите его персональных данных.

2. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1 Персональные данные обрабатываются Оператором в следующих целях: 2.2 осуществление и выполнение возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, в частности:
— выполнение требований законодательства в сфере труда и налогообложения;
— ведение текущего бухгалтерского и налогового учёта, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической отчётности;
— выполнение требований законодательства по определению порядка обработки и защиты персональных данных граждан, являющихся клиентами или контрагентами ООО «ВАГНЕР-АВТО» (далее – субъекты персональных данных).
2.1.2. осуществления прав и законных интересов ООО «ВАГНЕР-АВТО» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами ООО «ВАГНЕР-АВТО», или третьих лиц либо достижения общественно значимых целей;
2.1.3. в иных законных целях.

3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных осуществляется в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иными федеральными законами и нормативно-правовыми актами; положением об обработке персональных данных клиентов в ООО «ВАГНЕР-АВТО»; договорами, заключаемыми между оператором и субъектом персональных данных; согласием на обработку персональных данных.

4. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. К категориям субъектов персональных данных относятся:
4.1.1. работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
4.1.2. клиенты и контрагенты оператора (физические лица);
4.1.3. представители/работники клиентов и контрагентов оператора (юридических лиц).
4.2. Перечень пдн работников оператора, бывших работников, кандидатов на замещение вакантных должностей, а также родственников работников, обрабатываемых Оператором (далее – Перечень пдн):
4.2.1. Фамилия, имя, отчество (в т.ч. Прежние) субъекта, дата и место его рождения, состав семьи, образование,
4.2.2. Паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ) и гражданство;
4.2.3. Адрес места жительства (по паспорту и фактический) и дата регистрации по месту жительства или по месту пребывания;
4.2.4. Номера телефонов (мобильный, домашний, рабочий) и/или факса, адрес электронной почты;
4.2.5. Информация о трудовом стаже, предыдущих местах работы
4.2.6. Реквизиты страхового свидетельства государственного пенсионного страхования
4.2.7. Реквизиты свидетельства о постановке на налоговый учет
4.2.8. Информация о воинской обязанности
4.2.9. Сведения о квалификации
4.3. Перечень ПДн клиентов и контрагентов оператора (физические лица), обрабатываемых Оператором (далее – Перечень пдн):
4.3.1. Фамилия, имя, отчество (в т.ч. прежние), дата и место рождения;
4.3.2. Паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ) и гражданство;
4.3.3. Адрес места жительства (по паспорту и фактический) и дата регистрации по месту жительства или по месту пребывания;
4.3.4. Номера телефонов (мобильный, домашний, рабочий) и/или факса, адрес электронной почты;
4.3.5. Сведения об имуществе (имущественном положении): - автотранспорт (государственные номера и другие данные из свидетельств о регистрации транспортных средств и из паспортов транспортных средств);
4.3.6. Данные водительского удостоверения;
4.4. Перечень ПДн представителей/работников клиентов и контрагентов оператора (юридических лиц), обрабатываемых Оператором (далее – Перечень ПДн):
4.4.1. Фамилия, имя, отчество (в т.ч. прежние), дата и место рождения;
4.4.2. Паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ) и гражданство;
4.4.3. Адрес места жительства (по паспорту и фактический) и дата регистрации по месту жительства или по месту пребывания;
4.5. В ходе осуществления Оператором своей деятельности Перечень ПДн может быть изменен.
4.6. Оператор не обрабатывает ПДн о политических, религиозных и философских убеждениях, а также о личной жизни клиента Оператора. Указанные категории ПДн в деятельности Оператора не используются и не обрабатываются.
4.7. Сведения о расовой и национальной принадлежности клиентов Оператора не обрабатываются. Фотографии, находящиеся в документах, удостоверяющего личность клиента Оператора, и иные аналогичные данные не относятся к сведениям о расовой и национальной принадлежности.

5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ
5.1.      При обработке ПДн без использования средств автоматизации уполномоченными сотрудниками не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.
5.2.      При разработке и использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее - типовые формы), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора и лиц, которым оператором поручена обработка ПДн, фамилию, имя, отчество и адрес субъекта ПДн, чьи персональные данные вносятся в указанную типовую форму, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
б) типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации, при необходимости получения согласия на обработку ПДн;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, чьи ПДн содержатся в типовой форме, при ознакомлении со своими ПДн, не имел возможности доступа к ПДн иных лиц, содержащихся в указанной типовой форме;
г) типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.
5.3.      Уничтожение или обезличивание ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
5.4.      Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем изготовления нового материального носителя с уточненными персональными данными.

6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
6.1.      Обработка персональных данных в Обществе осуществляется:
а) в единой информационной системе «MT DMS», включающей:
- фамилия, имя, отчество (в т.ч. прежние) субъекта, дата и место рождения субъекта;
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ) и гражданство;
- адрес места жительства (по паспорту и фактический) и дата регистрации по месту жительства или по месту пребывания;
- номера телефонов (мобильный, домашний, рабочий) и/или факса, адрес электронной почты;
- сведения об имуществе (имущественном положении): автотранспорт (государственные номера и другие данные из свидетельства о регистрации транспортного средства и из паспорта транспортного средства);
- данные водительского удостоверения;
б) в информационной системе «1С:Предприятие», включающей:
- фамилия, имя, отчество (в т.ч. прежние) субъекта;
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ) и гражданство;
- адрес места жительства (по паспорту и фактический);
6.2.      Безопасность ПДн, обрабатываемых с использованием средств автоматизации, достигается путем исключения несанкционированного, в том числе, случайного доступа к ПДн с использованием многоуровневого авторизованного доступа к документам по имени пользователя и паролю, а также средств защиты от вторжений и несанкционированного доступа.
6.3.      Уполномоченными сотрудниками при обработке ПДн в информационных системах ПДн должна быть обеспечена их безопасность с помощью системы защиты, включающей организационные меры и средства защиты информации, в том числе шифровальные (криптографические) средства. Физически база данных располагается на выделенном серверном оборудовании в конкретном помещении с установленным периодическим резервным копированием на другой сервер.
6.4.      Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств. Для этих целей используются выделенные каналы передачи данных по внутренней компьютерной сети с применением пограничного с оператором связи оборудования на основе определенных VLAN.
6.5.      Самостоятельное подключение средств вычислительной техники, применяемых для хранения, обработки или передачи персональных данных к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к информационно-телекоммуникационной сети Интернет, не допускается.
6.6.      Доступ уполномоченных сотрудников (операторов информационной системы) к ПДн в информационных системах ПДн Оператора должен требовать обязательного прохождения процедуры идентификации и аутентификации.
6.7.      Структурными подразделениями (сотрудниками) Оператора, ответственными за обеспечение безопасности ПДн при их обработке в информационных системах, должно быть обеспечено:
а) своевременное обнаружение фактов несанкционированного доступа к ПДн и немедленное доведение этой информации до руководства Оператора;
б) недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
в) возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
г) постоянный контроль за обеспечением уровня защищенности ПДн;
д) знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) при обнаружении нарушений порядка предоставления ПДн незамедлительное приостановление предоставления ПДн пользователям информационной системы до выявления причин нарушений и устранения этих причин;
з) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
6.8. В случае выявления нарушений порядка обработки ПДн в информационных системах Оператора, уполномоченными сотрудниками принимаются меры по установлению причин нарушений и их устранению.

7. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ, ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. В случае предоставления субъектом персональных данных фактов о неполных, устаревших, недостоверных или незаконно полученных персональных данных Оператор обязан внести необходимые изменения, уничтожить или блокировать их, а также уведомить о своих действиях субъекта персональных данных.
7.2. В случае подтверждения факта неточности персональных данных персональные данные подлежат их актуализации оператором, а или неправомерности их обработки такая обработка должна быть прекращена.
7.3. При достижении целей обработки персональных данных, а также в случае истечения срока согласия на обработку персональных данных или отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
-           иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
-           оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
-           иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
7.4. Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.