Положение БН Моторс в отношении обработки и защиты ПД

1. Общие положения

1.1. Положение о работе с персональными данными клиентов, контрагентов и пользователей сайта ООО «БН-Моторс» ОГРН: 1023201063600, адрес: 241028, Брянская область, г.Брянск, проспект Станке Димитрова, д.62 (далее по тексту Общество) разработано в соответствии с Конституцией, Трудовым кодексом, Федеральным законом от 27.07.2006 № 152-ФЗ, Федеральным законом от 30.12.2020 № 519-ФЗ и иными нормативно-правовыми актами, действующими на территории России.

1.2. Настоящее Положение определяет порядок сбора, учета, обработки, накопления, использования, распространения и хранения персональных данных субъектов персональных данных и гарантии конфиденциальности сведений о лицах: работниках, клиентах и (или) представителях компаний-клиентов, контрагентах и (или) представителях компаний-контрагентов и пользователях сайта ООО «БН-Моторс», которые предоставили ООО «БН-Моторс» свои персональные данные, определяет периодичность и способы уничтожения носителей, содержащих персональные данные субъектов персональных данных.

1.3. обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия государственным служащим Роскомнадзора в прохождении государственной службы (лицам, замещающим должности руководителей подведомственных Роскомнадзору федеральных государственных унитарных предприятий, в целях содействия выполнения работы), формирования кадрового резерва государственной гражданской службы, обучения и должностного роста, учета результатов исполнения государственными служащими Роскомнадзора должностных обязанностей, обеспечения личной безопасности государственных служащих Роскомнадзора, лиц, замещающих должности руководителей подведомственных Роскомнадзору федеральных государственных унитарных предприятий, и членов их семьи, обеспечения государственным служащим Роскомнадзора установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества, а также в целях противодействия коррупции.Цель настоящего Положения – защита персональных данных клиентов, контрагентов и пользователей сайта ООО «БН-Моторс» от несанкционированного доступа и разглашения. Персональные данные вышеперечисленных лиц являются конфиденциальной, строго охраняемой информацией.

1.3.1. Основные понятия, используемые в Положении:

- персональные данные - информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

- носители персональных данных - как электронные (дискеты, компакт диски, ленты, флеш-накопители и другие), так и неэлектронные (бумажные) носители персональных данных.

1.4. В целях настоящего Положения под персональными данными понимается любая информация, прямо или косвенно относящаяся к субъекту персональных данных.

1.5. В состав персональных данных по смыслу настоящего Положения входят:

- фамилия, имя, отчество (при наличии);

- год, месяц, дата и место рождения;

- адрес места жительства физического лица;

- данные о паспорте гражданина Российской Федерации (серия и номер

общероссийского паспорта, дата его выдачи, наименование органа, выдавшего паспорт);

- идентификационный номер налогоплательщика;

- номер страхового свидетельства государственного пенсионного фонда.

- копии документов и технической являющихся предметом договорных отношений;

- юридический адрес;

- адрес электронной почты;

- контактные номера телефонов;

1.6. Документами, которые содержат персональные данные субъектов персональных данных, являются:

- контракты / договоры на оказание услуг / предоставление исключительных прав (лицензии) Общества;

- договоры гражданско-правового характера с участием Общества;

- информация из форм обратной связи с сайта Общества или e-mail рассылок, рассылок в мессенджерах Общества.

1.7. Настоящее Положение и изменения к нему утверждает директор Общества приказом. Настоящее Положение размещается на официальном сайте Общества и находится в свободном доступе. Доступ к положению есть у всех пользователей сайта.

1.8. Настоящее Положение вступает в силу с 11.03.2025.

2. Получение и обработка персональных данных

2.1. Персональные данные Общество получает непосредственно от клиентов, контрагентов или пользователей сайта. Общество вправе получать персональные данные от третьих лиц только при наличии письменного согласия субъекта персональных данных или в иных случаях, прямо предусмотренных в законодательстве.

2.2. Общество должно сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.

2.3. Общество не вправе требовать от субъекта персональных данных представления персональных данных, которые будут избыточны для целей обработки, которые преследует Общество.

2.4. Субъект персональных данных представляет Обществу достоверные сведения о себе.

2.5. Чтобы обрабатывать персональные данные субъектов персональных данных, Общество получает от каждого субъекта согласие на обработку его персональных данных. Такое согласие Общество получает, если закон не предоставляет Обществу права обрабатывать персональные данные без согласия.

2.6. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в любой момент. Для этого необходимо направить в Общество письменное уведомление об отзыве согласия. В случае отзыва согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия при наличии оснований, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ.

3. Хранение персональных данных

3.1. Общество обеспечивает защиту персональных данных субъектов персональных данных от неправомерного использования или утраты.

3.2. Лица, передавшие Оператору сведения о другом Субъекте персональных данных, не имея при этом согласия субъекта, чьи персональные данные были переданы, несут ответственность в соответствии с законодательством Российской Федерации.

3.3. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных.

3.4. Обработка персональных данных осуществляется Оператором следующими способами: неавтоматизированная обработка персональных данных, автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой, смешанная обработка персональных данных.

3.5. Сроки обработки персональных данных определены с учетом установленных целей обработки персональных данных, сроков действия договоров с субъектами персональных данных и согласий субъектов персональных данных на обработку их персональных данных, сроков, определенных законодательством о персональных данных.

3.6. Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных (если иное не предусмотрено федеральным законодательством РФ).

3.7. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

4. Использование персональных данных

4.1. Персональные данные используются для целей, связанных с взаимодействием субъекта персональных данных с Обществом: заключение договора, обмен письмами, подписка на рассылки Общества, получение услуг Общества. Общество для этих целей запрашивает общие персональные данные: фамилию, имя, отчество, дату, месяц и год рождения, место рождения, адрес, контактный номер телефона.

4.2. Персональные данные, представленные субъектом персональных данных, обрабатываются автоматизированным и без использования средств автоматизации способами. Персональные данные хранятся столько, сколько нужно для достижения целей их обработки.

4.3. После истечения срока нормативного хранения документов, которые содержат персональные данные субъектов персональных данных, документы подлежат уничтожению. Для этого Общество создает экспертную комиссию и проводит экспертизу ценности документов. В ходе проведения экспертизы комиссия отбирает дела с истекшими сроками хранения и по итогам отбора составляет акт о выделении к уничтожению дел, не подлежащих хранению. После чего документы уничтожаются в шредере. Персональные данные в электронном виде стираются с информационных носителей, либо физически уничтожаются сами носители, на которых хранится информация.

5. Передача и распространение персональных данных

5.1. При передаче Обществом персональных данных субъект персональных данных должен дать на это согласие в письменной или электронной форме. Если субъект оформил согласие на передачу персональных данных в электронной форме, то он подписывает согласие усиленной электронной цифровой подписью.

5.2. Общество вправе передать информацию, которая относится к персональным данным, без согласия субъекта персональных данных, если такие сведения нужно передать по запросу государственных органов, в порядке, установленном законодательством.

5.3. Общество не вправе распространять персональные данные третьим лицам без согласия субъекта персональных данных на передачу таких данных.

5.4. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

5.5. В случае если из предоставленного субъектом персональных данных согласия на распространение персональных данных не следует, что он согласился с распространением персональных данных, такие персональные данные обрабатываются Обществом без права распространения.

5.6. В случае если из предоставленного субъектом персональных данных согласия на передачу персональных данных не следует, что он не установил запреты и условия на обработку персональных данных или не указал категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, Общество обрабатывает такие персональные данные без возможности передачи (распространения, предоставления, доступа) неограниченному кругу лиц.

5.7. Согласие на распространение персональных данных может быть предоставлено Обществу:

- непосредственно;

- с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

5.8. В согласии на распространение персональных данных субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Обществом неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ Общества в установлении субъектом персональных данных запретов и условий не допускается.

5.9. Общество обязано в срок не позднее 3 (трех) рабочих дней с момента получения согласия субъекта персональных данных на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных субъекта для распространения.

5.10. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта, а также перечень персональных данных, обработка которых подлежит прекращению.

5.11. Действие согласия субъекта персональных данных на распространение персональных данных прекращается с момента поступления Обществу требования, указанного в пункте 5.10 настоящего Положения.

5.12. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений Федерального закона от 27.07.2006 № 152-ФЗ или обратиться с таким требованием в суд. Общество или третье лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение 3 (трех) рабочих дней с момента получения требования или в срок, указанный во вступившем в законную силу решении суда. Если такой срок в решении суда не указан, то Общество или третье лицо обязаны прекратить передачу персональных данных в течение 3 (трех) рабочих дней с момента вступления решения суда в законную силу.

6. Гарантии конфиденциальности персональных данных и их защита

6.1. Информация, относящаяся к персональным данным субъекта персональных данных, является служебной тайной и охраняется законом.

6.2. Субъект персональных данных вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.

6.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.
6.4. Обществом принимаются меры, обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами.

6.5. Защита персональных данных представляет собой жесткий регламентированный и динамически технологический процесс предотвращающий нарушение целостности, полноты или конфиденциальности информации в процессе управленческой деятельности Общества.

6.6. Защита персональных данных от неправомерного их использования или утраты обеспечивается Обществом за счет ее средств в порядке, установленном федеральным законом.

6.7. Приказом руководителя Общества назначается ответственный за организацию защиты персональных данных в Обществе.

6.8. Ответственный за организацию защиты персональных данных осуществляет контроль наличия в Обществе условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.

6.9. Внутренняя защита:

Для обеспечения внутренней защиты персональных данных соблюдается ряд мер:

- Руководителем общества утверждается документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе персональных данных, необходим для выполнения ими служебных (трудовых) обязанностей.

- Организовывается режим обеспечения безопасности помещений, в которых размещена информационная система персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

- Производится строгое избирательное и обоснованное распределение документов и информации между работниками;

- Рабочие места работников размещаются таким образом, при котором исключается бесконтрольное использование защищаемой информации;

- Контролируется знание работниками требований нормативно-методических документов по защите информации и сохранения тайны;

- Обеспечивается наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

- Организовывается порядок уничтожения информации;

- Внедряются программные и технические средства защиты информации в электронном виде;

- Своевременно выявляются нарушения требований разрешительной системы доступа работниками подразделения;

- Проводится расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников ответственности, принятием иных мер;

- Проводится воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе конфиденциальными документами.

6.10. Используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

6.11. Обеспечивается защита персональных данных на электронных носителях, сохранность носителей персональных данных.

6.12. Все документы, содержащие персональные данные, имеют ограниченный доступ.

6.13. Внешняя защита: Для обеспечения внешней зашиты персональных данных соблюдается ряд мер:

- Определяется и соблюдается порядок приема, учета и контроля деятельности посетителей;

- Используются технические средства охраны (электронный ключ, сигнализации);

- Соблюдается порядок охраны территории, зданий, помещений.

6.14. Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны не разглашать персональные данные.

7. Ответственность за нарушение норм, регулирующих обработку персональных данных.

Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных членов Товарищества, собственников, ведущих садоводство без участия в Товариществе, работников, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном федеральными законами, а также привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.