Политика в области обработки и защиты персональных данных клиентов в ООО «Каскад-Авто»

1. Общие положения

1.1. Настоящая Политика в области обработки и защиты персональных данных клиентов в ООО «Каскад-Авто» (далее – Политика), расположенному по адресу: 460507, Оренбургская обл., Оренбургский р-н, Пригородный п, Левая сторона дороги Оренбург-Орск 12.350 км (далее – Оператор или Компания), разработана с целью соблюдения прав и законных интересов субъекта персональных данных при их обработке.

1.2. Настоящая Политика разработана во исполнении требований п. 2 ч. 1 ст. 18.1 Федерального закона "О персональных данных" от 27.07.2006 N 152-ФЗ, определяющего в качестве меры, направленной на обеспечение выполнения оператором своих обязанностей, издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

1.3. Действие настоящей Политики распространяется на все операции, совершаемые Оператором с персональными данными с использованием средств автоматизации или без их использования.

1.4. Принципами обработки персональных данных в Компании являются:

·       обработка персональных данных должна осуществляться на законной и справедливой основе;

·       обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей;

·       не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

·       не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

·       обработке подлежат только персональные данные, которые отвечают целям их обработки;

·       содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

·       при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных, принимаются необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

·       хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

·       

2. Основные понятия

В целях настоящей Политики используются следующие основные понятия:

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Пользователь сайта (пользователь) – человек, посетивший данный сайт, а также пользующийся его программами и продуктами.

Cookies — короткий фрагмент данных, пересылаемый веб-браузером или веб-клиентом веб-серверу в HTTP-запросе, всякий раз, когда Пользователь пытается открыть страницу Интернет-магазина. Фрагмент хранится на компьютере Пользователя.

IP-адрес — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу TCP/IP.

3. Состав и цели обработки персональных данных, субъекты персональных данных

3.1. Политика применяется к обработке персональных данных Компанией в том числе в следующих случаях:

·       использование веб-сайтов и мобильных приложений, владельцем которых является Компания[1];

·       любые обращения в Компанию в любой форме, направление жалоб, комментариев или замечаний и предложений;

·       посещение офисов и иных помещений Компании;

·       продажа автомобилей и иных товаров, проведение работ (включая сервисное обслуживание автомобилей), оказание услуг (включая информационные услуги с использованием веб-сервисов);

·       в иных случаях.

3.2. Субъектами, чьи персональные данные обрабатываются в соответствии с Политикой, являются:

·       клиенты (потенциальные клиенты) Компании и их представители, а также клиенты дилерских и сервисных предприятий Мерседес-Бенц в России, чьи персональные данные могут быть переданы Компании в соответствии с договорами с такими предприятиями при условии обеспечения предприятиями законности такой передачи и обработки персональных данных, и чьи персональные данные могут быть переданы Компанией дилерским и сервисным предприятиям Мерседес-Бенц в России с целью исполнения заявок/запросов клиентов;

·        контрагенты или бизнес-партнеры (потенциальные контрагенты или бизнес-партнеры) Компании и их представители и работники;

·        иные лица в случаях, предусмотренных пунктом 3.1 выше.

3.4. В соответствии с принципами, указанными в пункте 1.4 Политики, устанавливаются следующие цели обработки персональных данных, но не ограничиваясь: 

·       предоставление информации (включая информацию рекламного характера), в том числе, но не ограничиваясь, о товарах и услугах «Мерседес-Бенц», наличии специальных предложений, акций в отношении них, о финансовых услугах, связанных с приобретением и использованием указанных товаров и услуг, о проведении мероприятий, презентаций;

·       продвижение товаров, работ и услуг на рынке путем осуществления прямых контактов;

·       подготовка и направление предложений о приобретении товаров и услуг «Мерседес-Бенц», финансовых услуг, связанных с ними;

·       заключение и исполнение любых договоров;

·       организация участия клиента в различных мероприятиях, инициируемых Компанией;

·       проведение исследований рынка и других статистических исследований, в том числе исследований индекса удовлетворенности качеством предоставленных товаров и услуг, опросов клиентов;

·       обработка возможных рекламаций и иных обращений;

·       управление взаимоотношениями с клиентами, контрагентами и бизнес-партнерами, включая использование и сопровождение информационных систем, автоматическое формирование в указанных системах проектов договоров и иных документов;

·       использование предоставленных данных в качестве контактных данных для связи;

·       выполнение требований законодательства, а также осуществление прав и законных интересов Компании.

3.5  . К персональным данным, обрабатываемым Оператором, относится следующая информация о субъекте персональных данных:

1)     фамилия, имя, отчество;

2)     форма обращения/пол;

3)     дата, месяц и год рождения, возраст;

4)     номер(-а) контактных телефонов;

5)     адрес(-а) электронной почты (e-mail);

6)     адрес(-а) регистрации / проживания;

7)     сведения о владении автомобилем (в том числе, марка, модель автомобиля, ВИН-номер, регистрационный знак);

8)     срок владения автомобилем, период планируемого обмена автомобиля;

9)     интересы (в том числе, к автомобилям и спортивным занятиям);

10) образ жизни и поведение субъекта (в том числе, в сети Интернет),

сфера деятельности;

11) IP-адрес;

12) информация из cookie;

13) информация о браузере пользователя (или иной программе);

14) время посещения сайта;

15) адрес ранее посещенной страницы сайта сети «Интернет»;

16) иные данные и информация, представленные субъектом и или ставшие известными Оператором (приведенный перечень может сокращаться или расширяться в зависимости от конкретного случая и целей обработки).

4. Правила обработки персональных данных

4.1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом "О персональных данных" от 27.07.2006 N 152-ФЗ и Политикой.

4.2. Обработка персональных данных Оператором осуществляется путем любых действий (операций), допустимых законодательством Российской Федерации.

Обработка осуществляется Оператором, а также иными третьими лицами, которые были привлечены Оператором к обработке, или которым были переданы персональные данные и иная информация (или предоставлен доступ к ним) в соответствии с законодательством Российской Федерации.

Передача персональных данных работника Оператора третьим лицам, осуществляется только с письменного согласия субъекта, за исключением случаев, предусмотренных законодательством.

В случае необходимости передачи Оператором персональных данных третьим лицам, она осуществляется только после подписания между Оператором и третьей стороной соглашения о неразглашении конфиденциальной информации, за исключением случаев, предусмотренных законодательством.

4.2. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, за исключением случаев, установленных законодательством Российской Федерации, когда обработка персональных данных может осуществляться без такого согласия.

4.3. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

4.4. Согласие может быть отозвано путем письменного уведомления, направленного в адрес Компании заказным почтовым отправлением.

4.5. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия Согласия или отзыв Согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.

4.6. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не осуществляется.

4.7. Обработка биометрических данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных) не осуществляется. В соответствующих случаях, при предъявлении субъектами персональных данных паспортов или иных документов, содержащих фотографию субъекта, Компания не использует данную фотографию для установления личности субъекта персональных данных (идентификация), а использует для удостоверения тождественности лица, предъявившего документ, с лицом, изображенным на фотографии в этом документе (аутентификация).

4.8. Компания не размещает персональные данные субъектов персональных данных в общедоступных источниках без его согласия.

4.9. Оператор может осуществлять трансграничную передачу персональных данных. В этом случае Компания следует требованиям законодательства РФ и осуществляет передачу только на территорию иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или обеспечивающих адекватную защиту прав субъектов персональных данных. В противном случае, Компания следует требованиям части 4 статьи 12 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

4.10. В Компании запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы

4.11. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

4.12. Предоставление персональных данных органам государственной власти и местного самоуправления, в суды, правоохранительные органы, а также иным надзорным органам осуществляется Компанией в случаях и в порядке, предусмотренных законодательством РФ.

5. Доступ к персональным данным

5.1. Доступ к персональным данным имеют работники Оператора, которым персональные данные необходимы в связи с исполнением ими должностных обязанностей.

Список лиц, имеющих доступ к персональным данным, утверждается Директором Компании.

5.2. Работники Компании, получившие доступ к персональным данным, принимают обязательства по обеспечению конфиденциальности обрабатываемых персональных данных.

5.3. Субъект персональных данных имеет право:

·       на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных;

- правовые основания и цели обработки персональных данных;

- цели и применяемые способы обработки персональных данных;

- полное наименование и местонахождение ООО «Каскад-Авто», сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ООО «Каскад-Авто» или на основании законодательства Российской Федерации;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством Российской Федерации;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации;

- информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ООО «Каскад-Авто», если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные законодательством Российской Федерации;

·       требовать исправления неверных, неточных, устаревших персональных данных;

·       требовать уничтожения персональных данных в случае неправомерной обработки его персональных данных;

·       отозвать согласие на обработку персональных данных;

·       обжаловать в суде любые неправомерные действия или Компании при обработке и защите его персональных данных.

5.3. Субъекты персональных данных несут ответственность за предоставление достоверных сведений, а также за своевременное обновление предоставленных данных в случае каких-либо изменений.

5.4. Компания предпринимает разумные меры для поддержания точности и актуальности имеющихся персональных данных, а также удаления персональных данных в случаях, если они являются устаревшими, недостоверными или излишними, либо если достигнуты цели их обработки.

6. Распространение персональных данных

6.1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

6.2. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

6.3. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

6.4. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

6.5. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

6.6. Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

6.7. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

6.8. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

6.9. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в пункте 6.8 Политики.

6.10. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений статьи 12 Федерального закона "О персональных данных" от 27.07.2006 N 152-ФЗ или обратиться с таким требованием в суд.

Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.

7.  Сбор персональных данных с использованием сайта ООО «Каскад-Авто»

7.1. При сборе персональных данных субъектов посредством информационно-телекоммуникационной сети Интернет Компания обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных субъектов с использованием баз данных, находящихся на территории Российской Федерации.

7.2. Получение согласия субъекта на сбор и обработку персональных данных осуществляется в случае предоставления субъектом любых личных данных с использованием электронной формы на сайте Компании.

7.3. Сайт Компании использует файлы «cookie» и собирает сведения, в том числе с использованием сторонних сервисов («Яндекс. Метрика» и др.), о пользователях, которые необходимы Компании в целях анализа эффективности и улучшения работы сервисов сайта.

7.4. При посещении сайтов Компании информирует пользователей о сборе и использовании файлов «cookie».

7.5. Защита данных, автоматически передаваемых при просмотре рекламных блоков и посещении страниц с установленными на них статистическими скриптами системы (пикселями) осуществляется сайтом.

7.6. Последствием отключения cookies может стать невозможность доступа к некоторым разделам сайта.

7.7. Сайт собирает статистику об IP-адресах всех посетителей. Данные сведения нужны, чтобы выявить и решить технические проблемы и проконтролировать, насколько законным будет проведение финансовых платежей.

7.8. Администрация сайта обязана не разглашать персональные данные, сообщаемые Пользователями, регистрирующимися на сайте или оформляющими заказ на покупку товара, а также обеспечивать этим данным абсолютную конфиденциальность.

8. Заключительные положения

8.1. Все отношения, касающиеся обработки персональных данных, не получившие отражение в настоящей Политике, регулируются законодательством Российском Федерации.

8.2. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Любые изменения подлежат опубликованию.

8.3. В случае, если какое-либо из положений настоящей Политики является или становится недействительным, это не затрагивает действительность иных положений.

8.4. При изменении нормативно-правовых актов, использованных при составлении Политики, настоящая Политика продолжает действовать в части, не противоречащей действующему законодательству. В остальной части Компания руководствуется нормами действующего законодательства РФ.

8.5. С момента утверждения настоящей Политики предыдущая редакция утрачивает силу.

8.6. Правовыми основаниями обработки персональных данных Оператором являются:

Конституция РФ;

Гражданский кодекс РФ;

Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

Закон РФ от 27 декабря 1991 г. N 2124-1 "О средствах массовой информации";

Федеральный закон от 26 декабря 2008 г. N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля";

Указ Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера";

Постановление Правительства Российской Федерации от 06 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";

Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

Приказ Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных";

Приказ ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

Приказ Роскомнадзора от 24.02.2021 N 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения"; 

уставные документы Оператора;

договоры, заключаемые между Оператором и субъектами персональных данных;

согласия субъектов персональных данных на обработку персональных данных;

иные основания, когда согласие на обработку персональных данных не требуется в силу закона.