Toyota


Политика об обработке персональных данных ООО «ТМ-Сервис»


1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Положение об обработке персональных данных (далее — «Положение») издано и применяется ООО «ТМ-Сервис» (далее — «Оператор») в соответствии с п. 2 ч. 1 и ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон).
Настоящее Положение определяет политику Оператора в отношении обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений, связанных с обработкой персональных данных, содержит сведения о реализуемых требованиях к защите персональных данных.
Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством РФ в области персональных данных.
1.2. Целью обработки персональных данных является:
1.2.1. организация участия Пользователя в мероприятиях, в том числе в качестве участника мероприятия;
1.2.2. предоставление информации Пользователю, включая информацию рекламного характера, в том числе, но не ограничиваясь, о наличии специальных предложений, проведении мероприятий, акций, презентаций в отношении продукции Toyota;
1.2.3. проведение исследований рынка и опросов потребителей, направленных на дальнейшее улучшение качества предлагаемых Уполномоченными Дилерами/Партнерами товаров и услуг;
1.2.4. выполнение требований законодательных актов, нормативных документов.
Указанные действия могут совершаться Тойота Мотор либо иными третьими лицами, привлеченными Тойота Мотор в соответствии с законодательством РФ, посредством e-mail, sms-сообщений, почтовой рассылки, телефонных звонков, посредством любых иных средств связи.
1.3. Обработка организована Оператором на следующих принципах:
— осуществления обработки персональных данных на законной и справедливой основе, законности целей и способов обработки персональных данных;
— недопустимости обработки персональных данных, не совместимой с целями обработки;
— обработки только персональных данных, которые отвечают целям их обработки;
— соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
— недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
— обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
— хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
1.4. Способы обработки персональных данных:
— с использованием средств автоматизации;
— без использования средств автоматизации.
1.5. Для выполнения поставленных целей и задач Оператор назначает ответственного за организацию обработки персональных данных в должности начальника отдела по работе с клиентами, именуемого далее «начальник ОРК».
1.5.1. Начальник ОРК получает указания непосредственно от руководителя Оператора и подотчетен ему. Начальнику ОРК предоставляются сведения, указанные в ч. 3 ст. 22 Закона.
1.5.2. Руководитель Оператора:
— оказывает содействие начальнику ОРК в выполнении им своих обязанностей;
— организует устранение выявленных нарушений законодательства РФ, нормативных правовых актов уполномоченного федерального органа исполнительной власти, внутренних документов Оператора, а также причин и условий, способствовавших совершению нарушения.
1.6 Настоящее Положение и изменения к нему утверждаются руководителем Оператора и вводятся в действие приказом Оператора.
1.7. Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под роспись до начала работы с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных (с данным Положением и изменениями к нему). Обучение указанных работников организуется руководителем Оператора.
1.8. Сотрудники Оператора:
— оказывают содействие начальнику ОРК в выполнении им своих обязанностей;
— незамедлительно доводят до сведения своего непосредственного руководителя и начальника ОРК (в части его компетенции) сведения о предполагаемых нарушениях законодательства РФ и внутренних документов Оператора другими сотрудниками Оператора или контрагентами Оператора.
1.9. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии с Законом.
1.10. Режим конфиденциальности персональных данных Оператор обеспечивает в соответствии с Положением Оператора о коммерческой тайне.
1.11. Оператор проводит опубликование в информационно-телекоммуникационной сети Интернет и размещение на информационных стендах настоящего Положения, определяющего политику Оператора в отношении обработки персональных данных, содержащего сведения о реализуемых требованиях к защите персональных данных, а также изменений к нему, иным образом обеспечивает неограниченный доступ к указанным документам.
1.12. Оператор представляет настоящее Положение, иные документы, и (или) иным образом подтверждает принятие мер, указанных в ч. 1 ст. 18.1 Закона, по запросу уполномоченного органа по защите прав субъектов персональных данных в течение 30 (тридцати) дней.
1.13. Условия обработки персональных данных Оператором:
1.13.1 Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Законом и настоящим Положением.
1.13.2. Обработка персональных данных осуществляется в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации Оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
3) обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
4) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных);
5) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
1.14. Оператор на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

2. СТРУКТУРНЫЕ ПОДРАЗДЕЛЕНИЯ ОПЕРАТОРА
ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработку персональных данных организует отдел по работе с клиентами (далее - ОРК).
ОРК находится в непосредственном подчинении начальника ОРК.
2.2. Начальник ОРК:
1) доводит до сведения работников Оператора положения законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
2) организует обработку персональных данных сотрудниками Оператора;
3) организует прием и обработку обращений и запросов субъектов персональных данных или их представителей.
4) осуществляет внутренний контроль за соблюдением Оператором и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных. Данный контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер.
5) контролирует прием и обработку обращений и запросов субъектов персональных данных или их представителей.
2.3. Сотруднику Оператора, имеющему право осуществлять обработку ПД, предоставляются уникальный логин и пароль для доступа к соответствующей информационной системе Оператора в установленном порядке.
Информация может вноситься как в автоматическом режиме — при уточнении, извлечении, использовании и передаче информации, так и в ручном режиме — при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
2.4. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах Оператора, достигается путем исключения неправомерного, в том числе случайного, доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также принятия следующих мер по обеспечению безопасности:
1) определение актуальных угроз безопасности персональных данных при их обработке в информационных системах Оператора;
2) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
3) оценка эффективности принимаемых мер по обеспечению безопасности ПД;
4) обеспечение бесперебойной работы компьютерной техники с персональными данными в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации;
5) обнаружение и регистрация фактов несанкционированного доступа к персональным данным, принятие мер по недопущению повторения данных фактов;
6) восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
7) установление правил доступа к персональным данным, обрабатываемым в информационных системах Оператора, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах Оператора;
8) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем.
2.5. ОРК совместно с сотрудниками Оператора обеспечивают:
1) своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных;
2) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
3) соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
4) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
5) при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин;
6) разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
2.6. Обмен персональными данными при их обработке в информационных системах Оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
2.7. Доступ сотрудников Оператора к персональным данным, находящимся в информационных системах Оператора, предусматривает обязательное прохождение процедуры идентификации и аутентификации.

3. ПОРЯДОК ОБЕСПЕЧЕНИЯ ОПЕРАТОРОМ ПРАВ СУБЪЕКТА
ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Законом и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.
3.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном Законом.
3.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке, установленном гражданским законодательством РФ.
3.4. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных.
3.4.1. Индивидуальное устное общение с потенциальными потребителями производится по специально выделенным телефонным линиям Оператора. При этом рабочее место сотрудника Оператора, которому поручено общение, обеспечивается техническими средствами, позволяющими в автоматизированном режиме вести регистрацию телефонных вызовов, а также (с согласия субъекта персональных данных) вести аудиозапись переговоров. В данном случае аудиозапись полученного устного согласия является надлежащей.
3.4.2. Письменным предварительным согласием субъекта персональных данных является собственноручно заполненная им форма согласия на бумажном носителе, а также заполнение формы согласия с помощью системы обратной связи.
3.5. Оператор немедленно прекращает по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 Закона.
3.6. Оператор сообщает в порядке, предусмотренном статьей 14 Закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставляет возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 30 (тридцати) дней с даты получения запроса субъекта персональных данных или его представителя.
3.7. Оператор безвозмездно предоставляет субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего нахождения в рабочее время.
3.8. Оператор в течение 7 (семи) дней с момента изменения или уничтожения персональных данных по требованию субъекта персональных данных или его представителя обязан уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

4. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка персональных данных осуществляется в целях, указанных в настоящем Положении.
4.2. В соответствии с целями обработки персональных данных сотрудники Оператора осуществляют сбор персональных данных по следующим процедурам: в телефонном режиме, при использовании сервиса обратной связи, при личном обращении субъекта персональных данных.
4.3. Запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача персональных данных осуществляются сотрудниками Оператора во взаимодействии с отделом информационных технологий.
4.4. Обезличивание, блокирование, удаление, уничтожение персональных данных осуществляются только ОРК во взаимодействии с отделом информационных технологий.
Уничтожение документов на бумажных носителях осуществляется с помощью специальной техники путем измельчения документов, гарантирующего невозможность восстановления текста.
Уничтожение по окончании срока обработки персональных данных на электронных носителях производится удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.


5. КОНТРОЛЬ, ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ
ИЛИ НЕИСПОЛНЕНИЕ ПОЛОЖЕНИЯ

5.1. Контроль за исполнением Положения возложен на ОРК.
5.2. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной или уголовной ответственности.

(На основании приказа № 23-к от 30.06.2017 года.)