1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика Общества с ограниченной ответственностью «КАРКРАФТ» ОГРН 5167746349271 (далее – ООО «КАРКРАФТ») от 21.11.2016 в отношении обработки персональных данных (далее - Политика) определяет принципы, порядок и условия обработки Персональных данных (далее - ПДн) ООО «КАРКРАФТ» (далее также - Общество), а также права и обязанности работников, клиентов Общества и иных субъектов в области обработки ПДн.

1.2. Термины, используемые в настоящей Политике, применяются в значениях, установленных Федеральным законом РФ «О персональных данных» и нормами действующего законодательства РФ.

1.3. Политика разработана на основе требований нормативных и правовых документов в сфере защиты и обработки персональных данных: Конституции РФ, Федеральных законов РФ «О персональных данных», «О безопасности», «Об информации, информатизации и защите информации», «О коммерческой тайне», «О связи», «Об участии в международном информационном обмене», «О техническом регулировании», Постановлений Правительства РФ, Приказов ФСТЭК России и других нормативно-правовых актов РФ.

2. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Цели обработки Персональных данных

2.1.1. Общество осуществляет обработку ПДн с целью обеспечения финансовой, хозяйственной деятельности, осуществления иной деятельности, предусмотренной Уставом Общества и действующим законодательством Российской Федерации, а также заключения и исполнения договоров с партнерами (клиентами) Общества, осуществления трудовых отношений с работниками Общества и отношений с физическими лицами, намеревающимися вступить в трудовые отношения с Обществом, а также защиты своих прав и законных интересов в судебном порядке.

2.2. Категории обрабатываемых Персональных данных

2.2.1. Общество может обрабатывать следующие категории ПДн: фамилия; имя; отчество; предыдущая фамилия; предыдущее имя; предыдущее отчество; дата рождения; гражданство; карта мигранта/разрешение на работу; пол; адрес регистрации и/или фактического проживания; почтовый адрес; место рождения; идентификационный номер налогоплательщика; стаж работы; сведения из страховых полисов обязательного (добровольного) медицинского страхования; сведения о социальных льготах; сведения о социальном статусе; сведения об образовании; сведения о заработной плате; сведения о трудовой деятельности; сведения о воинском учете; сведения о семейном положении; сведения о наличии несовершеннолетних детей; сведения о наличии фактов привлечения к уголовной, гражданской и административной ответственности; банковские реквизиты; сведения о состоянии здоровья; городской и/или мобильный номера телефонов; адрес электронной почты; количество детей (иждивенцев); среднемесячный подтвержденный / неподтвержденный доход; дата регистрации; информация о транспортном средстве (регистрационный номер, VIN); сведения о месте работы (название, должность, стаж, контактные данные); данные кредитной истории клиента; данные по использованию мобильной связи; реквизиты документа, удостоверяющего личность (паспорта): наименование, серия (при наличии) и номер, дата выдачи документа, наименование органа, выдавшего документ, код подразделения (при наличии) (различные для граждан РФ и для иностранных граждан; номер страхового свидетельства государственного пенсионного страхования.

2.2.2. Общество не обрабатывает ПДн субъекта, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

2.3. Получение Персональных данных

2.3.1. Общество получает ПДн от субъекта (его представителя) или из других источников с разрешения Субъекта в том числе при заключении или подготовке к заключению договора, стороной или выгодоприобретателем, по которому является Субъект ПДн. Обязательной частью договора является Согласие на Обработку ПДн.

2.3.2. ПДн могут быть получены Обществом не от субъекта (его представителя) в случаях, когда действующим законодательством допускается обработка ПДн без получения на то согласия субъекта ПДн, и с соблюдением требований ст. 18 Федеральным законом «О персональных данных».

2.3.3. ПДн могут быть получены Обществом с использованием государственных и иных информационных систем, в случаях, установленных действующим законодательством в соответствии с согласием Субъекта ПДн, либо без согласия Субъекта ПДн, если это допустимо в соответствии действующим законодательством.

2.3.4. Субъект обязан предоставлять Обществу достоверные сведения о себе и своевременно сообщать Обществу об изменении своих ПДн. Общество имеет право проверять достоверность сведений, сверяя данные, предоставленные субъектом, с данными, полученными из достоверных и законом разрешенных источников.

2.4. Хранение Персональных данных субъекта

2.4.1. Хранение ПДн субъектов осуществляется следующими способами: на материальных носителях (на бумажных носителях; на электронных мобильных носителях), в информационных системах.

2.4.2. Персональные данные, обрабатываемые в информационных системах, хранятся в базах данных, располагающихся в центрах обработки данных на территории Российской Федерации.

2.4.3. Хранение ПДн субъектов в структурных подразделениях Общества, работники которых имеют право доступа к Персональным данным, осуществляется в порядке, исключающем к ним доступ третьих лиц.

2.4.4. Предельный срок хранения персональных данных определяется исходя из следующего: требований законодательства (гражданского, трудового, налогового, пенсионного, о безопасности и правоохранительной деятельности); исковой давности взаимных претензий Общества и клиента; других нормативных документов.

2.4.5. Сроки хранения бумажных материальных носителей персональных данных определяются в соответствие со сроком действия договора с субъектом ПДн, приказом Росархива от 06.10.2000 «Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения», Постановлением ФКЦБ РФ от 16.07.2003 N 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ», сроком исковой давности, а также иными требованиями законодательства.

2.5. Использование Персональных данных субъекта

2.5.1. Доступ к ПДн субъекта имеют работники Общества, которым ПДн необходимы в связи с исполнением ими трудовых обязанностей.

2.5.2. Все работники Общества в независимости от трудовых обязанностей ознакамливаются под подпись с правилами обработки персональных данных до начала обработки.

2.5.3. В случае если работнику для выполнения трудовых обязанностей необходимо осуществлять обработку персональных данных, ему предоставляется доступ к соответствующим автоматизированным системам после выполнения процедуры согласования.

2.6. Передача Персональных данных субъекта третьим лицам

2.6.1. Передача ПДн субъекта третьим лицам осуществляется только при наличии соответствующего согласия субъекта.

2.6.2. Передача ПДн субъекта третьим лицам выполняется при:
- выполнении работ по подготовке, обработке и сдаче почтовых отправлений;
- выполнении работ по формированию, доставке и подтверждению о доставке SMS- сообщений/е-mail сообщений;
- взаимодействии Общества с кредитными бюро в соответствии с требованиями действующего законодательства о кредитных историях;
- для проверки предоставленных данных и сбора недостающих данных в целях рассмотрения возможности заключения соглашений о предоставлении услуг Общества;
- уступке прав требования по договорам заключенным физическими лицами с Обществом;
- организации архивного хранения документов на бумажных носителях;
- иных действиях в рамках исполнения договорных отношений.

2.6.3. Предоставление ПДн субъекта государственным органам и иным лицам по их запросам производится в соответствии с требованиями действующего законодательства.

2.7. Уничтожение Персональных данных

2.7.1. Общество прекращает обработку персональных данных субъектов в форме, позволяющей определить субъекта ПДн по достижении целей обработки, заявленных при получении ПДн от субъекта, или при получении письменного требования прекращения обработки и уничтожения персональных данных субъекта, если иное не предусмотрено требованиями действующего законодательства.

3. ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Общество обеспечивает защиту ПДн субъектов от неправомерного использования, модификации или утраты с помощью комплекса организационных и технических мер.

3.2. Целями защиты ПДн являются:
- предотвращение несанкционированного доступа к обрабатываемым ПДн;
- предотвращение несанкционированных действий по модификации, искажению, распространению, блокированию, уничтожению обрабатываемых ПДн;
- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности ПДн, обрабатываемых Обществом,
- обеспечение конфиденциальности обрабатываемых ПДн.

3.3. Защите подлежит:
- информация о ПДн субъекта;
- документы, содержащие ПДн субъекта;
- ПДн, содержащиеся на электронных и иных материальных носителях;
- ПДн, передаваемые по сетям связи.

3.4. Защита персональных данных обеспечивается согласно действующему законодательству РФ.

4. ПРАВА И ОБЯЗАННОСТИ

4.1. Права субъектов персональных данных

4.1.1. Субъект, ПДн которого обрабатываются в Обществе, имеет право:
- получать доступ к своим Персональным данным и ознакамливаться с ними;
- требовать от Общества уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки;
- получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
- обжаловать в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке неправомерные действия или бездействия Общества при обработке и защите его ПДн;
- требовать от Общества прекращения обработки и уничтожения ПДн, по достижению целей обработки;
- осуществлять иные права, предусмотренные законодательством Российской Федерации.

4.1.2. Запросы субъектов ПДн принимаются Обществом после установления личности обратившегося (в том числе с применением кодовых слов, одноразовых паролей) в порядке, установленном в договоре с субъектом или иным соглашением.

4.1.3. Запрос должен содержать информацию, позволяющую установить личность обратившегося, а также сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом, подпись субъекта персональных данных или его представителя.

4.2. Права и обязанности Общества

4.2.1. Общество, как оператор персональных данных имеет право:
- отстаивать свои интересы в суде;
- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено согласием субъекта ПДн или действующим законодательством (правоохранительные органы, налоговые органы, органы пенсионного страхования и др.);
- отказывать в предоставлении ПДн в случаях, предусмотренных законодательством;
- использовать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством.

4.2.2. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных, в случаях, когда такая обработка допускается Федеральным законом «О персональных данных» без согласия субъекта персональных данных и/или когда такая обработка обязательна в соответствии с требованиями действующего законодательства.

4.2.3. Основания для продолжения обработки персональных данных после получения отзыва включают в себя (но не ограничиваются) следующее:
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем, по которому является субъект персональных данных;
- обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей, в том числе Федеральным законом от 07.08.2001 №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», которым установлена обязанность идентифицировать лиц, находящихся на обслуживании в организации. Также в п.4 ст.7 этого Закона установлена обязанность хранения документов и сведений, необходимые для идентификации личности, не менее 5 лет после прекращения отношений с клиентом.

5. ОТВЕТСТВЕННОСТЬ

5.1. Лица, виновные в нарушении норм, регулирующих получение, Обработку и защиту ПДн Субъектов, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.