ПОЛОЖЕНИЕ ПО ОРГАНИЗАЦИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И ПРОВЕДЕНИЮ МЕРОПРИЯТИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПРИ ИХ ОБРАБОТКЕ ООО «АВТОСАЛОН КАНИЩЕВО»

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее «Положение по организации обработки персональных данных и проведению мероприятий по обеспечению безопасности при их обработке ООО «АВТОСАЛОН КАНИЩЕВО» (далее - Положение) принято в ООО «АВТОСАЛОН КАНИЩЕВО» (далее - Общество) в целях определения порядка обработки персональных данных в Обществе следующих категорий субъектов персональных данных:

1.1.1. сотрудников Общества:

работников, состоящих с Обществом в трудовых отношениях;
нештатных сотрудников, с которыми заключены договоры гражданско-правового характера (далее - нештатные сотрудники);

1.1.2. членов семей работников Общества;

1.1.3. кандидатов на замещение вакантной должности в Обществе;

1.1.4. работников официальных дилеров SUZUKI;

1.1.5. контактных лиц контрагентов Общества, журналистов;

1.1.6. клиентов SUZUKI (физических лиц - владельцев автомобилей/мототехники бренда SUZUKI;

1.1.7. потенциальных клиентов SUZUKI (физических лиц, не являющихся владельцами, но проявляющих интерес к автомобилям/мототехнике бренда SUZUKI);

1.1.8. собственников бизнеса официальных дилеров SUZUKI, а также в целях соблюдения конфиденциальности и защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

1.2. Настоящее Положение определяет понятие и состав обрабатываемых персональных данных, принципы, цели и порядок организации их обработки, регламентирует доступ к персональным данным и порядок ознакомления с ними, устанавливает меры защиты персональных данных, права и обязанности Общества, его работников и иных лиц, действующих по поручению, при обработке персональных данных, ответственность Общества и иных лиц, действующих по поручению, за нарушение действующего законодательства РФ в области персональных данных и их защиты, а также локальных актов Общества.

1.3. Настоящее Положение разработано на основании Конституции Российской Федерации, Трудового Кодекса Российской Федерации, Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и других нормативных правовых актов РФ, а также локальных актов Общества.

1.4. Настоящее Положение и все дополнения и изменения к нему утверждаются и вводятся в действие приказом Генерального директора Общества.

1.5. Все работники Общества должны быть ознакомлены с настоящим Положением, а также со всеми дополнениями и изменениями к нему под подпись.

1.6. При оформлении на работу в Общество сотрудники Административного департамента Отдела по работе с персоналом и административным вопросам Группы по

работе с персоналом обязаны сообщить трудоустраивающемуся сотруднику о действующем в Обществе режиме конфиденциальности, обработки и защиты персональных данных, который должен представить «Обязательство о неразглашении персональных данных» по форме, утвержденной в Приложении № 1 к настоящему Положению.

2. СОСТАВ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЦЕЛИ И СПОСОБЫ ОБРАБОТКИ, СРОКИ ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ

ДАННЫХ

2.1 Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому субъекту персональных данных.

При этом персональные данные работника - это информация, необходимая Обществу в связи с трудовыми отношениями и касающаяся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника.

2.2 Обработка персональных данных работников Общества

2.2.1 Перечень персональных данных:

фамилия, имя, отчество;
данные документа, удостоверяющего личность (данные паспорта: серия, номер, когда и каким органом выдан, код подразделения);
дата рождения (число, месяц, год);
место рождения;
пол;
адрес регистрации (по паспорту/временной);
адрес фактического проживания;
место работы, должность;
идентификационный номер налогоплательщика;
номер страхового пенсионного свидетельства;
табельный номер/идентификационный номер/номер пропуска на территорию работы;
сведения об образовании (среднем специальном/ высшем/ послевузовском/ дополнительном с указанием специальности (направления), квалификации (степени), года окончания и прочих сведений, которые содержатся в дипломах, свидетельствах, аттестатах, сертификатах), владение иностранными языками, профессия;
ученая степень, награды;
семейное положение, наличие детей (фамилии, имена, отчества и год рождения);
сведения об инвалидности (группа, номер и серия справки, срок действия);
стаж работы;
сведения финансового характера: оклад, ставка, иные начисления и выплаты, о счетах в банке для начисления заработной платы и иных выплат, сведения о подлежащих уплате и уплачиваемых налогах и страховых взносах во внебюджетные фонды;
сведения, содержащиеся в трудовом договоре (номер договора, дата заключения, срок испытания и иные условия труда);
цифровые (математические) модели особенностей строения папиллярных узоров пальцев рук;;
сведения по учету рабочего времени (включая отпуска и иные записи об отсутствии на рабочем месте, статус отпуска, число проработанных часов и число часов по договору или стандартам отдела, график работы);
сведения о воинском учете;
номерной знак транспортного средства (если применимо, для парковки личного автомобиля на территории офиса);
контактная информация (мобильный/рабочий/домашний телефон и адрес электронной почты);
предыдущие фамилия, имя;
данные заграничного паспорта (серия, номер, когда и каким органом выдан, код подразделения);
цель визита в страну;
дата прибытия и отъезда из страны;
место пребывания в стране;
сведения о судимости;
сведения об отношении к проституции, наркотикам, торговле людьми.

2.2.2 Цели обработки персональных данных:

обеспечение соблюдения законов и иных нормативных правовых актов - при ведении кадрового делопроизводства, расчете и начислении заработной платы и иных выплат, при предоставлении отчетности в налоговые органы, Пенсионный Фонд РФ, Фонд социального страхования, при предоставлении персональных данных работников в Федеральную миграционную службу РФ для оформления/продления срока действия разрешения на работу, рабочих виз, при оформлении договора (полиса) медицинского страхования, при оформлении командировок, заказе билетов и бронировании гостиниц, при оформлении доверенностей, при оформлении полисов добровольного медицинского страхования;
содействие работникам в трудоустройстве;
содействие в обучении и продвижении по службе - при предоставлении услуг корпоративной мобильной связи, при предоставлении корпоративного автотранспорта, при проведении курсов повышения квалификации;
обеспечение личной безопасности работников;
контроль количества и качества выполняемой работы и обеспечение сохранности имущества - при оформлении пропусков для доступа в офис, при оформлении пропусков на личный автотранспорт, при регистрации и предоставлении прав доступа работникам в ИТ-системах, при учете рабочего времени в биометрической системе.

2.2.3 Действия, совершаемые с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных - действия (операции), совершаемые с

использованием средств автоматизации и без использования таких средств (неавтоматизированная обработка).

2.2.4 Срок обработки персональных данных работников Общества, в том числе срок хранения составляет: 75 (семьдесят пять) лет после прекращения действия трудового договора в соответствии с положениями действующего законодательства РФ. По истечении срока обработки персональные данные должны быть удалены и уничтожены.

2.3 Обработка персональных данных нештатных сотрудников:

2.3.1 Перечень персональных данных:

фамилия, имя, отчество;
данные документа, удостоверяющего личность (данные паспорта: серия, номер, когда и каким органом выдан, код подразделения);
дата рождения (число, месяц, год);
место рождения;
адрес регистрации (по паспорту/временной);
адрес фактического проживания;
идентификационный номер налогоплательщика;
номер страхового пенсионного свидетельства;
сведения об образовании для подтверждения квалификации и возможности выполнить обязательства по договору гражданско-правового характера;
сведения финансового характера: размер оплаты работ/услуг по договору гражданско-

правового характера, иные начисления и выплаты, о счетах в банке для начисления оплаты и иных выплат, сведения о подлежащих уплате и уплачиваемых налогах и страховых взносах во внебюджетные фонды;

сведения, содержащиеся в договоре гражданско-правового характера (номер договора, дата заключения, срок действия договора и иные условия о выполнении обязательств);
контактная информация (мобильный/рабочий/домашний телефон и адрес электронной

почты).

2.3.2 Цель обработки персональных данных:

выполнение требований действующего законодательства РФ;
исполнение заключенного договора;
расчет и начисление заработной платы и иных выплат.

2.3.3 Действия,

совершаемые с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных - действия (операции), совершаемые с использованием средств автоматизации и без использования таких средств (неавтоматизированная обработка).

2.3.4 Срок обработки персональных данных, в том числе срок хранения составляет: 5 (пять) лет после прекращения действия договора гражданско-правового характера в соответствии с положениями действующего законодательства РФ. По истечении срока обработки персональные данные должны быть удалены и уничтожены.

2.4 Обработка персональных данных членов семьи работников Общества

2.4.1 Перечень персональных данных:

фамилия, имя, отчество
степень родства;
дата рождения;
место рождения;
номер контактного телефона (для связи в экстренных случаях);
данные документа, удостоверяющего личность (данные паспорта: серия, номер, когда и каким органом выдан, код подразделения);
адрес регистрации (по паспорту/временной);
адрес фактического проживания;
предыдущие фамилия, имя;
данные заграничного паспорта (серия, номер,когдаи каким органом выдан, код подразделения);
цель визита в страну;
дата прибытия и отъезда из страны;
место пребывания в стране;
сведения о судимости;
сведения об отношении к проституции, наркотикам, торговлелюдьми.

2.4.2 Цели обработки персональных данных:

выполнение требований действующего законодательства РФ о правовом положении иностранных граждан в РФ и миграционном учете;
содействие в оформлении виз и билетов.

2.4.3 Действия,

совершаемые с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, совершаемые с использованием средств автоматизации и без использования таких средств (неавтоматизированная обработка).

2.4.4 Срок обработки персональных данных, в том числе срок хранения составляет: 75 (семьдесят пять) лет после прекращения действия трудового договора в соответствии с положениями действующего законодательства РФ. По истечении срока обработки персональные данные должны быть удалены и уничтожены.

2.5 Обработка персональных данных кандидатов

2.5.1 Перечень персональных данных:

фамилия, имя, отчество;
данные документа, удостоверяющего личность (данныепаспорта: серия, номер, когда и каким органом выдан, код подразделения);
дата рождения (число, месяц, год);
место рождения;
адрес регистрации (по паспорту/временной);
адрес места жительства;
сведения об образовании (среднем профессиональном/неоконченном

высшем/высшем/послевузовском/дополнительном с указанием специальности (направления), квалификации (степени), года окончания, курса для продолжающих обучение и прочих сведений, которые содержатся в дипломах, свидетельствах, аттестатах, сертификатах), владение иностранными языками;

семейное положение, наличие детей;
опыт и стаж работы (с указанием наименований компаний, должности, выполняемых обязанностей, периода работы; даты увольнения и причины увольнения);
контактная информация (мобильный/рабочий/домашний телефон и адрес электронной почты);
для военнообязанных - наличие военного билета или приписного свидетельства, реквизиты документа.

2.5.2 Цель обработки персональных данных:

подбор персонала на замещение вакантных должностей Общества.

2.5.3 Действия, совершаемые с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, совершаемые с использованием средств автоматизации и без использования таких средств (неавтоматизированная обработка).

2.5.4 Срок обработки персональных данных, в том числе срок хранения составляет: 10 лет. По истечении срока обработки персональные данные должны быть удалены и уничтожены.

2.6 Обработка персональных данных работников официальных дилеров SUZUKI

2.6.1 Перечень персональных данных:

фамилия, имя, отчество;
место работы, должность;
контактная информация (мобильный/рабочий телефон и адрес электронной почты);
данные документа, удостоверяющего личность (данные паспорта: серия, номер, когда и каким органом выдан, код подразделения);
номер и срок действия водительского удостоверения;
дата рождения (число, месяц, год);
место рождения;
адрес регистрации (по паспорту/временной);
адрес фактического проживания;
результаты прохождения обучения (в баллах);
предыдущие фамилия, имя;
данные заграничного паспорта (серия, номер, когда и каким органом выдан, код подразделения);
цель визита в страну;
дата прибытия и отъезда из страны;
место пребывания в стране;
сведения о судимости;
сведения об отношении к проституции, наркотикам, торговле людьми.

2.6.2 Цели обработки персональных данных:

исполнение обязательств, закрепленных в дилерском соглашении в части продаж, сервисного и послепродажного обслуживания автомобилей, мототехники;
содействие в оформлении виз и билетов;
контроль деятельности официальных дилеров SUZUKI в части поддержания и продвижения бренда.

2.6.3 Действия,

совершаемые с персональными данными: сбор, запись, систематизация, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных, совершаемые с использованием средств автоматизации и без использования средств (неавтоматизированная обработка).

2.6.4 Срок обработки персональных данных, в том числе срок хранения: до увольнения работника из соответствующего дилера SUZUKI. По истечении срока обработки персональные данные должны быть удалены и уничтожены.

2.7 Обработка персональных данных контактных лиц контрагентов Общества, журналистов

2.7.1 Перечень персональных данных:

фамилия, имя отчество;
должность, место работы;
контактная информация (мобильный/рабочий телефон и адрес электронной почты);
данные документа, удостоверяющего личность (данные паспорта: серия, номер, когда и каким органом выдан, код подразделения);
номер и срок действия водительского удостоверения;
дата рождения (число, месяц, год);
место рождения;
адрес регистрации (по паспорту/временной);
адрес фактического проживания;
предыдущие фамилия, имя;
данные заграничного паспорта (серия, номер, когда и каким органом выдан, код подразделения);
цель визита в страну;
дата прибытия и отъезда из страны;
место пребывания в стране;
сведения о судимости;
сведения об отношении к проституции, наркотикам, торговле людьми.

2.7.2 Цели обработки персональных данных:

заключение и исполнение договоров;
взаимодействие с журналистами в рамках проведения маркетинговых мероприятий;
содействие в оформлении виз и билетов.

2.7.3 Действия,

2.7.4 Срок обработки персональных данных, в том числе срок хранения: 5 (пять) лет после прекращения отношений с контрагентами в соответствии с положениями действующего законодательства РФ. По истечении срока обработки персональные данные должны быть удалены и уничтожены.

2.8 Обработка персональных данных клиентов SUZUKI

2.8.1 Перечень персональных данных:

фамилия, имя отчество;
дата рождения (число, месяц, год);
пол;
данные документа удостоверяющего личность (данные паспорта: серия, номер, когда и каким органом выдан, код подразделения);
дата рождения (число, месяц, год);
место рождения;
адрес регистрации (по паспорту/временной);
адрес фактического проживания;
образование;
семейное положение;
номер расчетного счета;
контактная информация (мобильный/рабочий/домашний телефон и адрес электронной почты);
сведения о приобретенных автомобилях/мототехнике бренда SUZUKI (данные из паспорта технического средства - VIN-номер, модель и т.д.), стоимость, реквизиты договоров.

2.8.2 Цели обработки персональных данных:

предоставление рекламной и маркетинговой информации о специальных предложениях, проведении специальных мероприятий, акций, презентаций и т.д. в отношении бренда SUZUKI;
проведение исследований, опросов бренда SUZUKI;
продвижение бренда SUZUKI на российском рынке товаров;
сервисное и послепродажное обслуживание, в том числе оказание помощи на дорогах;
контроль работы дилеров, исследование удовлетворенности клиентов SUZUKI.

2.8.3 Действия,

2.8.4 Срок обработки персональных данных, в том числе срок хранения: 10 лет. По истечении срока обработки персональные данные должны быть удалены и уничтожены.

2.9 Обработка персональных данных потенциальных клиентов SUZUKI

2.9.1 Перечень персональных данных:

фамилия, имя отчество;
пол;
почтовый адрес;
контактная информация (мобильный/рабочий/домашний телефон и адрес электронной почты).

2.9.2 Цели обработки персональных данных:

предоставление рекламной и маркетинговой информации о специальных предложениях, проведении специальных мероприятий, акций, презентаций и т.д. в отношении бренда SUZUKI;
проведение исследований бренда SUZUKI;
продвижение бренда SUZUKI на российском рынке товаров, в т.ч. посредством проведения конкурсов бренда SUZUKI в социальных сетях.

2.9.3 Действия,

2.9.4 Срок обработки персональных данных: прекращается по достижении целей их обработки. Хранение персональных данных потенциальных клиентов SUZUKI не осуществляется.

2.10 Обработка персональных данных собственников бизнеса официальных дилеров SUZUKI

2.10.1 Перечень персональных данных:

фамилия, имя, отчество;
данные документа удостоверяющего личность (данные паспорта: серия, номер, когда и каким органом выдан, код подразделения);
адрес регистрации (по паспорту/временной);
контактная информация;
номер расчетного счета;
доля владения компаниями группы.

2.10.2 Цели обработки персональных данных:

заключение и исполнение договоров личного поручительства собственников бизнеса по обеспечению финансового риска.

2.10.3 Действия,

совершаемые с персональными данными: сбор, запись, систематизация, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), трансграничная передача, обезличивание, блокирование, удаление и уничтожение персональных данных, совершаемые с использованием средств автоматизации и без использования средств (неавтоматизированная обработка).

2.10.4 Срок обработки персональных данных, в том числе срок хранения: постоянно в соответствии с положениями действующего законодательства РФ.

2.11 Общество в целом осуществляет обработку персональных данных с использованием средств автоматизации и без использования средств (смешанная обработка) путем: сбора, записи, систематизации, хранения, уточнения (обновления, изменения), использования, передачи (предоставления, доступа), трансграничной передачи, обезличивания, блокирования, удаления, уничтожения персональных данных с передачей данных по внутренней локальной сети, с передачей по информационнотелекоммуникационной сети Интернет. Обработка персональных данных работников Общества осуществляется с учетом положений Трудового кодекса РФ.

2.12 Общество осуществляет обработку специальных категорий персональных данных (сведений о судимости, состоянии здоровья) в соответствии с требованиями действующего законодательства РФ и на основании письменного согласия субъекта персональных данных.

2.13 Общество осуществляет обработку биометрических персональных данных в соответствии с требованиями действующего законодательства РФ и на основании письменного согласия субъекта персональных данных.

2.14 Общество осуществляет трансграничную передачу персональных данных на территории иностранных государств на основании письменного согласия субъекта персональных данных.

2.15 Распространение персональных данных запрещается. Режим конфиденциальности должен соблюдаться всеми работниками и третьими лицами, которые получили доступ и осуществляют обработку персональных данных любой из категорий субъектов, указанных в п. 1.1.1 настоящего Положения.

2.16 Все формы носителей (бумажных и машинных), содержащие персональные данные, должны быть учтены в журнале по форме, утвержденной в Приложении № 10 к настоящему Положению. Журналы учета должны быть оформлены для учета каждой категории субъектов персональных данных.

3. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 Обработка персональных данных в Обществе осуществляется на основе следующих принципов:

3.1.1 законности и справедливости;

3.1.2 ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей, соответствия целей обработки персональных данных целям сбора персональных данных;

3.1.3 соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

3.1.4 достоверности персональных данных, их достаточности для целей обработки и актуальности по отношению к целям обработки, недопустимости обработки персональных данных, избыточных по отношению к заявленной цели их обработки;

3.1.5 принятия необходимых мер (либо обеспечением их принятия) по удалению или уничтожению неполных или неточных персональных данных;

3.1.6 недопустимости объединения созданных для несовместимых между собой целей обработки баз данных, содержащих персональные данные;

3.1.7 уничтожения персональных данных после достижения целей обработки или в случае утраты необходимости в их достижении;

3.1.8 личной ответственности работников Общества за сохранность и конфиденциальность персональных данных при их обработке, а также их носителей;

3.1.9 наличия четкой разрешительной системы доступа работников Общества к документам и базам данных, содержащим персональные данные;

3.1.10 хранения персональных данных в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной (выгодоприобретателем, поручителем) которого является субъект персональных данных.

3.2 Обработка персональных данных работников Общества осуществляется (должна осуществляться) Обществом при условии:

3.2.1 необходимости осуществления и выполнения возложенных законодательством РФ на Общество функций, полномочий и обязанностей;

3.2.2 необходимости исполнения договора, стороной которого является работник Общества;

3.2.3 наличия согласия работника Общества на обработку его персональных данных (Приложения №№ 2 и 3 к настоящему Положению).

3.3 Обработка персональных данных нештатных сотрудников осуществляется (должна осуществляться) Обществом при условии:

3.3.1 необходимости осуществления и выполнения возложенных законодательством РФ на Общество функций, полномочий и обязанностей;

3.3.2 необходимости исполнения договора, стороной которого является работник Общества.

3.4 Обработка персональных данных членов семей работников Общества осуществляется (должна осуществляться) Обществом при условии:

3.4.1 необходимости осуществления и выполнения возложенных законодательством РФ на Общество функций, полномочий и обязанностей;

3.4.2 наличия согласия членов семей работников Общества на обработку персональных данных (подтверждения работников об уведомлении о ней членов их семей).

3.5 Обработка персональных данных кандидатов осуществляется (должна осуществляться) Обществом при условии:

3.5.1 наличия согласия кандидата на обработку его персональных данных (Приложение №

4 к настоящему Положению, а также согласие, размещенное на web-сайте http: //www.suzuki-m otor.ru/suzuki/j ob/):

3.5.2 необходимости обработки персональных данных для осуществления прав и законных интересов Общества при условии, что при этом не нарушаются права и свободы кандидатов.

3.6 Обработка персональных данных работников официальных дилеров SUZUKI осуществляется (должна осуществляться) Обществом при условии:

3.6.1 наличия согласия работника официального дилера SUZUKI на обработку его персональн^1х данных (Приложение № 7 к настоящему Положению, а также согласие, размещенное на web-сайтах: https://marketing.suzuki-motor.ru/, https://moto.suzuki-motor.ru, https://sales.suzuki-motor.ru, https://service.suzuki-motor.ru. https://sp.suzuki-motor.ru. https://fiIes.suzuki-motor.ru:

3.6.2 необходимости обработки персональных данных для осуществления прав и законных интересов Общества при условии, что при этом не нарушаются права и свободы работников официальных дилеров SUZUKI.

3.7 Обработка персональных данных контактных лиц контрагентов Общества, журналистов осуществляется (должна осуществляться) Обществом при условии:

3.7.1 необходимости осуществления и выполнения возложенных законодательством РФ на Общество функций, полномочий и обязанностей;

3.7.2 наличия согласия журналиста на обработку его персональных данных (Приложение

№ 6 к настоящему Положению);

3.7.3 необходимости обработки персональных данных для осуществления прав и законных интересов Общества при условии, что при этом не нарушаются права и свободы контактных лиц контрагентов Общества.

3.8 Обработка персональных данных клиентов SUZUKI осуществляется (должна осуществляться) Обществом при условии:

3.8.1 наличия согласия клиента SUZUKI на обработку его персональных данных (Приложение № 8 к настоящему Положению, а также согласие, размещенное на web-сайте: http:

//www. suzuki-motor.ru/;

3.8.2 необходимости обработки персональных данных для осуществления прав и законных интересов Общества при условии, что при этом не нарушаются права и свободы клиентов SUZUKI.

3.9 Обработка персональных данных потенциальных клиентов SUZUKI осуществляется (должна осуществляться) Обществом при условии:

3.9.1 наличия согласия потенциального клиента SUZUKI на обработку его персональных данных (Приложение № 9 к настоящему Положению);

3.9.2 необходимости обработки персональных данных для осуществления прав и законных интересов Общества при условии, что при этом не нарушаются права и свободы потенциальных клиентов SUZUKI;

3.9.3 необходимости обработки персональных данных, доступ неограниченного круга лиц к которым предоставлен потенциальными клиентами SUZUKI, т.е. сделаны общедоступными.

3.10 Обработка персональных собственников бизнеса официальных дилеров SUZUKI осуществляется (должна осуществляться) Обществом при условии:

3.10.1 необходимости осуществления и выполнения возложенных законодательством РФ на Общество функций, полномочий и обязанностей;

3.10.2 наличия согласия собственника бизнеса официального дилера SUZUKI на обработку его персональных данных (Приложение № 5 к настоящему Положению).

4. ПРАВА И ОБЯЗАННОСТИ ОБЩЕСТВА ПРИ СБОРЕ И ДАЛЬНЕЙШЕЙ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1 Общество при сборе и дальнейшей обработке персональных данных вправе:

4.1.1 получать согласие на обработку персональных данных по формам, утвержденным в Приложениях №№ 2-9 к настоящему Положению, применяемым к соответствующим категориям субъектов персональных данных, а также поручить обработку персональных данных иному лицу, в том числе сбор персональных данных, и устанавливать способы получения согласия субъектов персональных данных, не нарушающих их законные права и интересы, и в соответствии с Федеральным законом от

27.07.2006 № 152-ФЗ «О персональных данных». Способы получения согласий установлены в разделе 6 настоящего Положения. В случаях, когда в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» согласие может быть получено в любой форме, Общество обеспечивает такой механизм его получения, при котором возможно подтвердить данный факт;

4.1.2 устанавливать правила обработки персональных данных и вносить изменения и дополнения в настоящее Положение, самостоятельно разрабатывать и применять формы документов, необходимых для исполнения настоящего Положения (согласий, уведомлений и запросов для обработки персональных данных, журналов, форм приказов, актов и прочие). Данные формы должны быть утверждены и приняты в установленном порядке в Обществе;

4.1.3 организовать и реализовать право субъекта на доступ к своим персональным данным в сроки, по правилам, с учетом ограничений, установленных в ст.14, ст.18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Регламент взаимодействия с субъектами персональных данных приведен в разделе 7 настоящего Положения;

4.1.4 осуществлять иные права, предусмотренные действующим законодательством РФ и локальными актами Общества.

4.2 Общество при сборе и дальнейшей обработке персональных данных обязано:

4.2.1 осуществлять обработку персональных данных исключительно в целях, утвержденных в разделе 2 настоящего Положения, для каждой категории субъектов персональных данных;

4.2.2 получать персональные данные (осуществлять сбор) у самих субъектов или их законных представителей;

4.2.3 если персональные данные получены не от субъектов или их законных представителей, предоставить им до начала обработки персональных данных информацию согласно ч.3 ст.18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», по форме, утвержденной в Приложении № 10 к настоящему Положению, либо получить подтверждение об уведомлении субъектов об обработке их персональных данных Обществом (в форме соответствующих разделов в договорах/соглашениях с третьими лицами, от которого осуществляется получение персональных данных, или в форме включения соответствующих абзацев в согласие лица, от которого осуществляется получение персональных данных);

4.2.4 по требованию/запросу субъектов персональных данных предоставлять сведения, касающиеся обработки их персональных данных. Работники Общества обязаны осуществлять взаимодействие с субъектами в соответствии с регламентом взаимодействия, предусмотренном в разделе 7 настоящего Положения;

4.2.5 вести журнал регистрации и учета обращений субъектов и уполномоченного органа по защите прав субъектов персональных данных по форме, утвержденной в Приложении № 12 к настоящему Положению, и предоставлять субъектам персональных данных доступ к их персональным данным при наличии надлежащим образом оформленного запроса по форме, утвержденной в Приложения № 14 к настоящему Положению или личного обращения субъекта персональных данных, его законного представителя;

4.2.6 организовать обработку, в том числе обеспечить хранение, и выполнять меры по защите персональных данных от неправомерного их использования, утраты, распространения в порядке, установленном действующим законодательством РФ, за счет собственных средств.

4.3 Общество должно обеспечить:

4.3.1 предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права на доступ к ним;

4.3.2 своевременное обнаружение фактов несанкционированного доступа к персональным данным;

4.3.3 предупреждение возможности неблагоприятных последствий в результате нарушения порядка доступа к персональным данным;

4.3.4 недопущение воздействия на технические средства обработки персональных данных, в результате которого нарушается их функционирование;

4.3.5 возможность незамедлительного восстановления информации, содержащей персональные данные, модифицированной или уничтоженной вследствие несанкционированного доступа к ней в рамках установленного в Обществе временного интервала;

4.3.6 постоянный контроль над установленным уровнем защищенности персональных данных при их обработке в информационных системах персональных данных Общества;

4.3.7 исполнять иные обязанности, предусмотренные действующим законодательством РФ и локальными актами Общества.

5. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ОБРАБОТКЕ ИХ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1 Субъекты персональных данных имеют право:

5.1.1 на получение сведений, касающихся обработки своих персональных данных;

5.1.2 отозвать согласие (частично отозвать согласие) на обработку персональных данных для соответствующей категории субъектов персональных данных по форме, утвержденной в Приложении № 13 к настоящему Положению;

5.1.3 требовать от Общества уточнения своих персональных данных, их блокирования и уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

5.1.4 на защиту своих прав и законных интересов в области персональных данных, на обжалование неправомерных действий или бездействий Общества по обработке персональных данных в уполномоченном органе по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) и ее территориальные управления) и (или) в судебном порядке;

5.1.5 иные права, предусмотренные законодательством РФ и локальными актами Общества.

5.2 Субъекты персональных данных обязаны:

5.2.1 осведомиться о своих правах и обязанностях в области персональных данных до предоставления Обществу своих персональных данных;

5.2.2 ознакомиться с документами, определяющие политику Общества в отношении обработки персональных данных;

5.2.3 своевременно сообщать Обществу об изменениях своих персональных данных и ин^1х дополнительных сведений, дополнениях в документы, содержащие персональные данные, и представлять подтверждающие изменения документы;

5.2.4 осуществлять свои права в соответствии с законодательством, нормативными правовыми актами и локальными актами Общества в области персональных данных и их защиты;

5.2.5 исполнять иные законные требования Общества и обязанности, предусмотренные действующим законодательством РФ и локальными актами Общества в области персональных данных.

6. ОСОБЕННОСТИ ПОЛУЧЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ НЕ ОТ СУБЪЕКТОВ. ПОЛУЧЕНИЕ И ОТЗЫВ СОГЛАСИЙ

6.1 В случае если Общество получает персональные данные субъектов от другого лица (в частности, при предоставлении работниками персональных данных членов семей для оформления виз) или от третьего лица (в частности, при получении от дилеров персональных данных их работников) должны соблюдаться следующие условия:

6.1.1 лицо, предоставляющее персональные данные Обществу, подтверждает уведомление субъектов о таком предоставлении, подписывая соответствующую форму согласия;

6.1.2 в договоре/соглашении с третьим лицом, от которого Общество получает персональные данные, должно содержаться положение о том, что субъекты уведомлены о предоставлении их персональных данных Обществу.

6.2 При невозможности получения от лица или контрагента уведомления субъектов персональных данных о предоставлении их персональных данных Обществу, Общество должно направить субъектам персональных данных уведомления о получении их персональных данных по форме, утвержденной в Приложении № 10 к настоящему Положению, и получить согласия напрямую от субъектов персональных данных по формам, утвержденным в Приложениях №№ 5, 7-9 к настоящему Положению.

6.3 Особенности получения согласий работников Общества

6.3.1 Согласие на обработку персональных данных должно быть получено сотрудником Группы по работе с персоналом Отдела по работе с персоналом и административным вопросам Административного департамента лично у работника в письменном виде при сборе персональных данных при приеме на работу (до подписания трудового договора, заполнения карточек и предоставления документов) по формам, утвержденным в Приложениях №№ 2 и 3 к настоящему Положению. Содержание такого согласия должно отвечать требованиям к письменной форме согласия, предусмотренным

ч.4 ст.9 Федерального закона от 27.07.2016 № 152-ФЗ «О персональных данных».

6.3.2 В случае, если в ходе трудовых отношений появляются новые цели обработки персональных данных (в том числе, их передачи), требующие в соответствии с действующим законодательством РФ получения согласия работника, такое согласие должно быть получено сотрудником Группы по работе с персоналом Отдела по работе с персоналом и административным вопросам Административного департамента лично у работника до момента совершения соответствующих действий по обработке персональных данных.

6.4 Особенности получения персональных данных членов семей работников Общества

6.4.1 Получение персональных данных членов семей работников Общества осуществляется в порядке, предусмотренном п.6.1.1 настоящего Положения.

6.5 Особенности получения согласий кандидатов

6.5.1 В случае, когда кандидат направляет свое резюме на электронную почту Общества с web-сайта http://www.suzuki-motor.ru/suzuki/job/ согласие на обработку персональных данных должно быть получено посредством проставления кандидатом отметки в соответствующем поле до момента отправки резюме.

6.5.2 Согласие на обработку персональных данных должно быть получено сотрудником Группы по работе с персоналом Отдела по работе с персоналом и административным вопросам Административного департамента лично у кандидата по форме, утвержденной в Приложении № 4 к настоящему Положению, до начала обработки персональных данных, в том числе, их передачи.

6.6 Особенности получения согласий работников официальных дилеров SUZUKI

6.6.1 Согласие на обработку персональных данных при обучении работников официальных дилеров SUZUKI, оформлении виз и билетов для участия в обучении, тренингах, мотивационных поездках должно быть получено от работников официальных дилеров SUZUKI при невозможности выполнения положений п.6.1.2 настоящего Положения. Лицо, ответственное за организацию обработки персональных данных, совместно с Руководителем Департамента продаж и маркетинга и Руководителем Департамента послепродажного обслуживания организует процесс направления работнику официального дилера SUZUKI уведомления о получении персональных данных по форме, утвержденной в Приложении № 10 к настоящему Положению вместе с формой согласия по форме, утвержденной в Приложении № 7 к настоящему Положению.

6.6.2 Согласие на обработку персональных данных работников официальных дилеров SUZUKI может быть получено через web-сайты:

В случае, когда работник официального дилера SUZUKI направляет свои персональные данные через вышеуказанные web-сайты, согласие на обработку персональных данных должно быть получено посредством проставления работником официального дилера SUZUKI отметки в соответствующем поле до момента отправки персональных данных.

6.6.3

6.7 Особенности получения согласий журналистов

6.7.1 Согласие на обработку персональных данных должно быть получено сотрудником Отдела маркетинга Департамента продаж и маркетинга и/или сотрудником Отдела сервисного маркетинга Департамента послепродажного обслуживания лично у журналиста по форме, утвержденной в Приложении № 6 к настоящему Положению, до начала обработки персональных данных, в том числе, их передачи.

6.8 Особенности получения согласий клиентов SUZUKI

6.8.1 Согласие на обработку персональных данных Обществом (в том числе, их передачу в Общество, хранение в Обществе и т.д.) должно быть получено официальными дилерами SUZUKI, осуществляющими сбор персональных данных непосредственно у клиентов SUZUKI, по форме, утвержденной в Дилерском соглашении, до их передачи в Общество.

6.8.2 В отношении клиентов SUZUKI, оформивших кредит, согласие на обработку персональных данных должно быть получено при невозможности выполнения положений п.6.1.2 настоящего Положения. Лицо, ответственное за организацию обработки персональн^1х данных совместно с Руководителем Департамента продаж и маркетинга и Руководителем Департамента послепродажного обслуживания организует процесс направления клиенту SUZUKI, оформившему кредит, уведомления о получении персональных данных по форме, утвержденной в Приложении № 10 к настоящему Положению вместе с формой согласия по форме, утвержденной в Приложении № 8 к настоящему Положению.

6.8.3 В случае, когда клиент SUZUKI направляет свои персональные данные, используя личный кабинет на web-сайте http://www.suzuki-motor.ru/, согласие на обработку персональных данных должно быть получено посредством проставления клиентом SUZUKI отметки в соответствующем поле до момента отправки персональных данных.

6.9 Особенности получения согласий потенциальных клиентов SUZUKI

6.9.1 Согласие на обработку персональных данных должно быть получено от потенциальных клиентов SUZUKI при невозможности выполнения положений п.6.1.2 настоящего Положения. Лицо, ответственное за организацию обработки персональных данных совместно с Руководителем Департамента продаж и маркетинга и Руководителем Департамента послепродажного обслуживания организует процесс направления потенциальному клиенту SUZUKI уведомления о получении персональных данных по форме, утвержденной в Приложении № 10 к настоящему Положению вместе с формой согласия по форме, утвержденной в Приложении № 9 к настоящему Положению.

6.10 Субъект персональных данных имеет право отозвать свое согласие на обработку той части, которая нарушает его законные права и интересы, а также в отзыве согласия требовать удаления (уничтожения) его персональных данных, нарушающих условия обработки по настоящему Положению, по форме, утвержденной в Приложении № 14 к настоящему Положению.

6.11 С момента получения Обществом отзыва согласия субъекта на обработку его персональных данных Общество обязано немедленно прекратить обработку, в срок не более 30 (тридцати) дней удалить (уничтожить) персональные данные, нарушающие его законные права, интересы и условия обработки персональных данных, и их носители либо обеспечить их уничтожение.

7. РЕГЛАМЕНТ ВЗАИМОДЕЙСТВИЯ С СУБЪЕКТАМИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1 Все запросы и (или) обращения субъектов персональных данных, их законных представителей, а также уполномоченного органа по защите прав субъектов персональных данных, рассматриваются членами рабочей группы Ответственного за организацию обработки персональных данных.

7.2 Запросы и (или) обращения регистрируются в журнале по форме, утвержденной в Приложении № 12 к настоящему Положению, и подшиваются к нему.

7.3 Выдача работникам Общества, нештатным сотрудникам и кандидатам документов, связанных с вопросами трудоустройства, трудовой деятельностью или исполнением обязанностей по гражданско-правовым договорам (копий приказов о приеме на работу, переводах на другую работу, увольнении с работы; копии трудовой книжки, справок о месте работы, заработной плате, периоде работы в Обществе и т.д.) регулируется действующим трудовым и гражданско-правовым законодательством РФ, а также локальными актами Общества. Взаимодействие с ними осуществляют сотрудники Группы по работе с персоналом Отдела по работе с персоналом и административным вопросам Административного департамента.

7.4 Субъекты персональных данных, их законные представители имеют право на получение сведений об обрабатываемых персональных данных, в том числе содержащих:

7.1.1 сведения об Обществе как операторе, обрабатывающем персональные данные (наименование и место нахождения);

7.1.2 наличие в Обществе персональных данных;

7.1.3 подтверждение факта обработки персональных данных Обществом, указание правовых оснований и установленных целей обработки персональных данных;

7.1.4 способы обработки персональных данных, применяемые в Обществе;

7.1.5 сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом (в т.ч. поручения оператора) или на основании федерального (-ых) закона (-ов), за исключением работников, доступ которым предоставлен в связи с исполнением должностных (функциональных) обязанностей;

7.1.6 перечень обрабатываемых персональных данных, относящихся к конкретному субъекту персональных данных и источник их получения;

7.1.7 сроки обработки персональных данных, в том числе сроки их хранения;

7.1.8 порядок реализации прав субъектов персональных данных, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

7.1.9 сведения об осуществляемой или предполагаемой трансграничной передаче персональных данных с указанием наименования страны;

7.1.10 иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», к которым могут относиться соблюдение условий и принципов обработки персональных данных, сведения о выполнении требований по обеспечению безопасности персональных данных, возможные ограничения на доступ субъектов к своим персональным данным.

7.5 Помимо сведений, указанных в п. 7.4 настоящего Положения, субъекты персональных данных, их законные представители имеют право на ознакомление с персональными данными, имеющимися в Обществе и относящимися к соответствующему субъекту персональных данных.

7.6 При обращении субъектов персональных данных, их законных представителей к работнику Общества с целью получения информации о персональных данных, обрабатываемых в Обществе, работник Общества обязан уведомить об этом факте лицо, ответственное за организацию обработки персональных данных, удостовериться в правильности оформления запроса и правомерности требований, согласовать с Юридической службой Административного департамента и предоставить необходимую информацию.

7.7 Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных, его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись. Запрос может быть направлен в электронной форме и подписан электронной подписью в соответствии с действующим законодательством РФ.

7.8 Сведения о наличии персональных данных должны предоставляться в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

7.9 На письменные запросы о предоставлении сведений члены рабочей группы Ответственного за организацию обработки персональных данных обязаны предоставить соответствующий ответ либо предоставить субъекту возможность ознакомиться с его персональными данными в течение 30 (тридцати) календарных дней с момента регистрации запроса в журнале.

7.10 В случае получения письменного запроса (требования) субъектов персональных данных, их законных представителей об исключении или исправлении неверных или неполных персональных данных лицо, ответственное за организацию обработки персональных данных, проверяет наличие и содержание подтверждающих документов и направляет соответствующему подразделению Общества служебную записку на внесение необходимых исправлений в документы и базы данных, в которых обрабатываются персональные данные.

7.11 После изменения персональных данных лицо, ответственное за организацию обработки персональных данных, обязано подготовить ответ (уведомление об устранении неверных или неполных данных) и направить в адрес субъекта персональных данных, его законного представителя. Лицо, ответственное за организацию обработки персональных данных, обязано оповестить работников Общества, имеющих доступ и (или) обрабатывающих персональные данные иными действиями, о внесенных изменениях.

7.12 В случае отзыва субъектом согласия на обработку персональных данных лицо, ответственное за организацию обработки персональных данных, обязано:

7.12.1 уведомить субъекта персональных данных о возможных последствиях отзыва согласия на обработку персональных данных;

7.12.2 в случае наличия действующего договора с данным субъектом прекратить обработку персональных данных в целях, выходящих за рамки исполнения договорных обязательств перед субъектом, а также обязательств по хранению персональных данных, установленных действующим законодательством РФ;

7.12.3 в случае отсутствия действующего договора с данным субъектом прекратить обработку персональных данных субъекта и уничтожить персональные данные в срок, не превышающий 7 (семи) рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено действующим законодательством РФ.

7.13 Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований Федерального закона от

27.07.2006 № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействия Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

7.14 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7.15 Реагирование на запрос субъекта персональных данных и действия работников

№ п/п	Виды запросов от субъекта персональных данных	Действия работников Общества	Срок для выполнения действий с персональными данными	Срок для ответа и (или) уведомления субъекта персональных данных
1	Запрос о подтверждени и обработки персональных данных	Ответ на запрос	Не позднее 30 календарных дней
2	Запрос на ознакомление с персональными данными	Ответ на запрос с датой и указанием времени для возможности ознакомления субъекта со своими персональными данными	Не позднее 30 календарных дней
3	Запрос на изменение или уточнение персональных данных	Изменить или уточнить персональные данные субъекта в случае обоснованного запроса субъекта	Не позднее 7 рабочих дней	Не позднее 7 рабочих дней
4	Запрос на уничтожение персональных данных	Уничтожить персональные данные вс обоснованного запроса субъекта	Не позднее 7 рабочих дней со дня предоставления сведений о незаконном получении персональных данных или отсутствии необходимости (наличия избыточных персональных данных) для достижения целей обработки	Не позднее 7 рабочих дней
5	Отзыв согласия на обработку персональных данных	Удалить и уничтожить персональные данные, если срок хранения более не требуется	Не позднее 30 календарных дней с момента регистрации отзыва	Не позднее 30 календарных дней
6	Запрос субъекта о наличии в Обществе недостоверных персональных данных субъекта	Заблокировать обработку персональных данных с момента получения обращения или запроса субъекта	В течение 7 рабочих дней внести изменения и снять блокировку	1)Не позднее 7 рабочих дней с 2)Не позднее 30 календарных дней в случае отказа от изменения персональных данных при отсутствии оснований
7	Неправомерная обработка персональных данных субъекта	Прекратить обработку персональных данных с момента получения обращения или запроса субъекта. Удалить и уничтожить персональные данные.	Не позднее 3 рабочих дней. В течение 10 рабочих дней	В течение 10 рабочих дней с момента удаления и уничтожения персональных данных
8	Достижение целей обработки персональных данных	Удалить и уничтожить персональные данные	В течение 30 календарных дней с момента достижения целей, в том числе срока хранения	В течение 30 календарных дней с момента достижения целей обработки

7.1 В случае получения письменного запроса (требования) от субъекта персональных данных об исключении или исправлении неверных или неполных персональных данных, персональных данных не соответствующих целям сбора и обработки персональных данных, нарушающих законные права и интересы субъекта персональных данных после выполнения мероприятий по устранению нарушений Общество обязано уведомить субъекта персональных данных по форме, утвержденной в Приложении № 15 к настоящему Положению.

8. ПОРЯДОК ДОСТУПА К ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПОРУЧЕНИЕ ОБРАБОТКИ И ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1 Работники Общества имеют право получать и обрабатывать только те персональные данные, которые необходимы для выполнения их должностных обязанностей и функций. Доступ работников должен быть санкционирован уполномоченным лицом, назначенным Ответственным за обеспечение безопасности персональных данных на основании заявки (в письменной форме, либо составленной посредством электронной почты) руководителя подразделения, к которому относится соответствующий работник Общества.

8.2 Перечень должностных лиц, допущенных к обработке персональных данных, устанавливается приказом Генерального директора Общества.

8.3 Работники Общества могут получить доступ к персональным данным и (или) их обработке только на основании заявки от уполномоченного лица по согласованию с руководителями дивизионов, составленной посредством электронной почты, а также после внесения данного лица в перечень, указанный в п. 8.2 настоящего Положения. В заявке должны быть указаны: субъекты, доступ к персональным данным которых необходим для выполнения должностных обязанностей и поручений руководящего звена, состав необходимых персональных данных и указание действий, которые будут совершаться с персональными данными.

8.4 Доступ к персональным данным может быть предоставлен без получения согласия субъектов органам власти и организациям в случае, если это предусмотрено действующим законодательством РФ (в частности, федеральная инспекция труда и федеральные органы исполнительной власти, осуществляющие функции по контролю и надзору в установленной сфере деятельности; федеральная налоговая служба и межрегиональные инспекции и управления ФНС РФ по субъектам РФ; правоохранительные органы РФ; федеральная служба государственной статистики и её территориальные органы; военные комиссариаты; фонд социального страхования РФ; пенсионные фонды РФ, Миграционная служба РФ и т.д.) с учетом административных регламентов соответствующих органов или международными договорами. До предоставления сотрудник, ответственный за направление ответа, обязан согласовать представление сведений с лицом, ответственным за организацию обработки персональных данных.

8.5 Общество вправе поручить обработку (частичную обработку) персональных данных третьим лицам только с их согласия. Третьи лица обязаны соблюдать конфиденциальность и обеспечивать безопасность полученных ими персональных данных в соответствии с действующим законодательством РФ и/ или договором/соглашением с учетом требований, указанных в ч.3 ст.6 и ст.19 Федерального закона от 27.07.2006 № 152- ФЗ «О персональных данных».

8.6 Форма согласия соответствующей категории субъектов персональных данных должна содержать согласие на поручение обработки персональных данных третьему лицу с перечислением наименований третьих лиц, перечня действий с ними и целей поручения.

8.7 Передача персональных данных третьим лица возможна с согласия субъектов персональных данных, если иное не предусмотрено федеральным законом.

8.8 Форма согласия соответствующей категории субъектов персональных данных должна содержать согласие на передачу персональных данных третьему лицу с указанием наименований третьих лиц и целей передачи персональных данных.

8.9 При передаче персональных данных работников Общества обязано выполнять следующие условия:

8.9.1 получать согласие работника строго в письменной форме с соблюдением требований к его содержанию, предусмотренных ч.4 ст.9 Федерального закона от

27.07.2006 № 152-ФЗ «О персональных данных», за исключением случаев, когда передача необходима в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом РФ или иными федеральными законами;

8.9.2 не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

8.9.3 предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами;

8.9.4 осуществлять передачу персональных данных работника в пределах Общества в соответствии с настоящим Положением, с которым работник должен быть ознакомлен под роспись;

8.9.5 разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

8.9.6 не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

8.10 передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

9. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1 Под защитой персональных данных понимается ряд правовых, организационных, организационно-технических и технических мер, направленных Обществом на:

9.1.1 обеспечение защиты персональных данных от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а

также от иных неправомерных действий в отношении таких сведений;

9.1.2 соблюдение конфиденциальности персональных данных;

9.1.3 реализацию права на доступ к персональным данным.

9.2 Общество соблюдает конфиденциальность и обеспечивает безопасность персональных данных в соответствии с требованиями действующего законодательства РФ в области персональных данных, в частности, устанавливаются и соблюдаются следующие меры, в том числе обеспечительные, согласно установленному уровню защищенности персональных данных:

9.2.1 назначение Обществом лица, ответственного за организацию обработки персональных данных;

9.2.2 ограничение и регламентация состава работников, функциональные (должностные) обязанности которых требуют доступа к персональным данным;

9.2.3 издание внутренних локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений действующего законодательства РФ, устранения последствий таких нарушений;

9.2.4 доведение до сведения работников и других лиц информации по предупреждению утраты персональных данных при работе с ними;

9.2.5 избирательное и обоснованное распределение документов и информации (в том числе, хранящейся в информационной системе персональных данных), содержащих персональные данные, между работниками, функциональные (должностные) обязанности которых требуют доступа к персональным данным;

9.2.6 организация порядка уничтожения информации, содержащей персональные данные,

если действующим законодательством РФ и (или) Обществом не установлены требования по ее хранению;

9.2.7 учет машинных носителей персональных данных;

9.2.8 определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз и их нейтрализация;

9.2.9 применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

9.2.10 защита доступа к персональным данным, хранящимся в информационной системе персональных данных, локальных сетях, паролями доступа;

9.2.11 защита персональных компьютеров, на которых осуществляется обработка персональных данных, паролями доступа и средствами защиты информации согласно установленному уровню защищенности персональных данных;

9.2.12 проверка средств защиты информации в процессе их эксплуатации;

9.2.13 обучение работников, использующих средства защиты информации, применяемые в информационной системе персональных данных, правилам работы с ними;

9.2.14 проверка выполнения работниками Общества требований обработки персональных данных в информационной системе персональных данных, установленных в «Инструкции пользователя информационной системы персональных данных» и «Инструкции Администратора информационной безопасности»;

9.2.15 обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9.2.16 обеспечение и поддержание в помещениях необходимых условий для работы с конфиденциальными документами и базами данных, содержащими персональные данные;

9.2.17 регулярный контроль за соблюдением требований по обеспечению безопасности персональных данных (путем проведения внутренних проверок, установления специальных средств мониторинга и др.);

9.2.18 обнаружение фактов и расследование случаев несанкционированного доступа к персональным данным или разглашения персональных данных и привлечение виновных лиц к ответственности;

9.2.19 ознакомление работников Общества, осуществляющих обработку персональных данных, с правилами и требованиями действующего законодательства РФ, с внутренними локальными актами Общества, касающимися обработки персональных данных и требований по обеспечению безопасности, а также при необходимости обучение указанных работников;

9.2.20 проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

9.2.21 осуществление контроля за принимаемыми (принятыми) мерами по обеспечению безопасности персональных данных и уровнем защищенности персональных данных при их обработке в информационной системе персональных данных;

9.2.22 иные требования, предусмотренные действующим законодательством РФ в области персональных данных.

9.3 Реализация мер по обеспечению безопасности персональных данных осуществляется с помощью разработанной системы защиты персональных данных, нейтрализующей актуальные угрозы безопасности персональных данных.

9.4 Уровень защищенности персональных данных устанавливается решением комиссии, назначенной приказом Генерального директора, и утверждается Генеральным директором Общества.

9.5 Работники Общества, имеющие доступ и (или) обрабатывающие персональные данные иными действиями, не должны отвечать на вопросы по телефону, касающиеся персональных данных, за исключением консультаций самих субъектов персональных данных, уточнения и подтверждения сведений о субъекте персональных данных компаниям (партнёрам), с которыми Общество заключило договор (соглашение) о взаимодействии, связанном с деятельностью Общества.

10. ВРЕМЕННОЕ И ПОСТОЯННОЕ ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1 Материальные носители персональных данных, находящиеся в работе соответствующего подразделения Общества, осуществляющего обработку персональных данных, могут располагаться на рабочих столах или в специальных папках только в течение рабочего дня. По окончании рабочего дня данные носители должны убираться в запирающиеся шкафы и (или) сейфы.

Не допускается выдача личных дел работников на рабочие места. Личные дела могут выдаваться на рабочие места только Генеральному директору Общества, Специалисту по работе с персоналом Группы по работе с персоналом Отдела по работе с персоналом и административным вопросам Административного департамента и в исключительных случаях, по письменному разрешению Генерального директора, руководителю структурного подразделения (в частности, при подготовке материалов для оценки деятельности работника).

При работе с материальными носителями персональных данных работники Общества обязаны руководствоваться «Инструкцией пользователя информационной системы персональных данных».

10.2 В каждом структурном подразделении, имеющем доступ и (или) осуществляющем обработку персональных данных, должны быть определены места постоянного хранения материальных носителей персональных данных в специально отведенных сейфах и (или) запирающихся на ключ шкафах.

Хранение материальных носителей персональных данных должно быть реализовано следующим образом: носители персональных данных каждой категории персональных данных должны обрабатываться раздельно от других носителей и храниться в различных целях, установленных в разделе 2 настоящего Положения.

10.3 Лицо, ответственное за обеспечение безопасности персональных данных в информационных системах в соответствии с «Инструкцией Ответственного за обеспечение безопасности персональных данных» осуществляет организацию учета материальных носителей персональных данных.

10.4 Персональные данные на электронных носителях защищаются паролем доступа. Доступ осуществляется только через личный пароль или иным способом, не противоречащим действующему законодательству РФ. Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролем от несанкционированного доступа.

10.5 Сроки обработки и постоянного хранения персональных данных указаны в разделе 2 настоящего Положения для соответствующих категорий субъектов персональных данных. При достижении цели обработки или утрате необходимости их достижения персональные данные подлежат уничтожению или обезличиванию, если действующим законодательством РФ не предусмотрено иное.

10.6 В случае поручения Обществом третьему лицу обработки персональных данных в договоре/соглашении должен быть установлен срок обработки (а при хранении персональн^1х данных - срок их хранения), не превышающий сроков, установленных в настоящем Положении.

11. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1 Общество обязано прекратить обработку и уничтожить персональные данные (либо обеспечить прекращение и уничтожение персональных данных, если обработку осуществляет третье лицо по поручению) в случаях:

11.1.1 достижения цели обработки персональных данных, в том числе истечения срока хранения, или утраты необходимости в ее достижении;

11.1.2 отзыва согласия на обработку своих персональных данных по форме, утвержденной в Приложении № 13 к настоящему Положению, и если хранение персональных данных более не требуется для целей обработки.

11.2 Уничтожение персональных данных в случаях, указанных в п. 11.1 настоящего Положения, должно быть осуществлено в срок, не превышающий 30 (тридцати) календарных дней с момента возникновения данных обстоятельств.

11.3 В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п. 11.2 настоящего Положения, Общество осуществляет блокирование таких персональных данных (либо обеспечивает блокирование персональных данных, если обработку осуществляет третье лицо по поручению) и обеспечивает уничтожение персональных данных в срок не более шести месяцев, если иной срок не установлен федеральными законами.

11.4 Удаление и уничтожение персональных данных должно быть зафиксировано комиссией, назначенной приказом Генерального директора, в «Акте об уничтожении персональных данных» по форме, утвержденной в Приложении № 15 к настоящему Положению, по каждому такому факту, в том числе по истечении срока обработки.

12. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА РФ И ЛОКАЛЬНЫХ АКТОВ ОБЩЕСТВА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ ЗАЩИТЫ

12.1 Общество ответственно за обеспечение безопасности персональных данных. В случае поручения обработки персональных данных третьему лицу Общество обязано предусмотреть в договоре/соглашении обязанность третьего лица соблюдать требования соблюдения конфиденциальности и обеспечения безопасности персональных данных.

12.2 Общество несет ответственность за нарушение действующего законодательства РФ в области персональных данных, настоящего Положения и других локальных актов Общества в отношении персональных данных.

12.3 Работники Общества, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, административную, уголовную, гражданско-правовую ответственность в соответствии с действующим законодательством РФ.

12.4 За нарушения действующего законодательства РФ в области персональных данных и настоящего Положения, а также подписанного работником «Обязательства о неразглашении персональных данных» (Приложение № 1 к настоящему Положению), к работникам Общества могут применяться следующие дисциплинарные взыскания: замечание; выговор; увольнение.

12.5 Дисциплинарные взыскания, указанные в п. 12.4 настоящего Положения, применяются в соответствии с локальными актами Общества, трудовым законодательством, и в зависимости от тяжести последствий нарушения (-ий) для Общества и (или) сотрудника Общества или кандидата.

13. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

13.1 Ознакомление работников Общества с настоящим Положением осуществляется под роспись в листе ознакомления

13.2 Ознакомившись с настоящим Положением, работник Общества подтверждает, что с содержанием настоящего Положения он(-а) ознакомлен(-а), и что содержание настоящего Положения ему (ей) понятно.