Правила оказания услуг

ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ

ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

1. Общие положения

1.1.  Настоящая Политика конфиденциальности (далее – «Политика») разработана в соответствии с законодательством Российской Федерации о персональных данных, в т.ч. нормативно-методическими документами по вопросам безопасности персональных данных при их обработке в информационных системах.

1.2.  В целях настоящей Политики используются следующие термины:

1)   персональные данные – информация, относящаяся к физическому лицу (пользователю, субъекту персональных данных), которую Пользователь самостоятельно предоставляет Обществу при создании учетной записи, регистрации, а также в процессе использования сервиса «AutoRent»;

2)   Пользователь – пользователь сети «Интернет», использующий функциональные возможности сервиса «AutoRent», субъект персональных данных;

3)   Общество – Общество с ограниченной ответственностью «АВТОРЕНТ», ОГРН 1177847156167, оказывающее услуги физическим лицам – арендодателям и арендаторам транспортных средств, использующим сервис «AutoRent» для возникновения, изменения, прекращения правоотношений по аренде транспортных средств, посредством Интернет-ресурса – веб-сайта, расположенного по адресу https://auto.rent, а также мобильного приложения «AutoRent» (далее – «Сайт», «Мобильное приложение»), самостоятельно организующее и осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

4)   обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

5)   информационная система Общества – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств сервиса «AutoRent».

1.3.  Настоящая Политика определяет порядок и условия обработки Обществом персональных данных, полученных через Сайт и Мобильное приложение, включая особенности автоматизированной и мануальной обработки персональных данных, порядок доступа к персональным данным, систему защиты персональных данных, порядок организации внутреннего контроля и ответственность сотрудников Общества за нарушения при обработке персональных данных.

1.4.  Действие настоящей Политики распространяется на все процессы по сбору,

систематизации, накоплению, хранению, уточнению, использованию, распространению (в том числе передачу), обезличиванию, блокированию, уничтожению персональных данных, полученных через Сайт и Мобильное приложение.

1.5.  Настоящая Политика вступает в силу с момента ее утверждения генеральным директором Общества и действует бессрочно, до замены ее новой редакцией Политики. Все изменения в Политику вносятся приказом.

1.6.  Все работники Общества, имеющие доступ к персональным данным пользователей Сайта и Мобильного приложения, должны быть ознакомлены с настоящей Политикой под роспись.

 

2.   Цели и задачи обработки персональных данных

2.1.  Обработка персональных данных Обществом ограничивается достижением конкретных, заранее определенных и законных целей, изложенных в регламентирующих документах, размещенных на Сайте и в Мобильном приложении (Правила оказания услуг, Пользовательское соглашение). Обществом не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.2.   Обществом не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. В частности, сведения, полученные через учетные записи разных Пользователей, не объединяются между собой.

2.3.  Обработке подлежат только персональные данные, которые отвечают целям их обработки. Обрабатываемые персональные данные (их содержание и объем) не должны быть избыточными по отношению к заявленным целям их обработки.

2.4.  Основной целью обработки персональных данных Пользователей Сайта и Мобильного приложения является: оказание Обществом услуг по предоставлению доступа к функциональным возможностям сервиса «AutoRent».

2.5.  Информационная система Общества обеспечивает решение следующих задач:

· аутентификация Пользователя Сайта и Мобильного приложения;

· идентификация Пользователя Сайта и Мобильного приложения;

· учет, включая хранение сведений о заказанных Пользователем услугах, об оказанных Пользователю услугах, об оказываемых Пользователем услугах, о накопленных Пользователем бонусах, предоставляющих право на скидки, о качестве услуг;

· защита материалов, предоставленных Пользователем Сайта и Мобильного приложения, от несанкционированного доступа третьих лиц.

 

3.   Персональные данные, обрабатываемые в информационной системе

3.1.  В информационной системе Общества обрабатываются персональные данные Пользователей, в т.ч. арендаторов, арендодателей транспортных средств.

Данный перечень может пересматриваться по мере необходимости.

3.2.  Персональные данные Пользователей, обрабатываемые в информационной системе Общества, включают:

· фамилию, имя, отчество;

· пол, дату и место рождения;

· адрес проживания, контактный телефон, адрес электронной почты;

· паспортные данные;

· реквизиты водительского удостоверения, данные паспорта транспортного средства, реквизиты свидетельства о регистрации транспортного средства.

3.3.  Персональные данные, относящиеся к другим категориям (расовая, национальная, религиозная принадлежность, политические взгляды, философские убеждения, состояние здоровья, биометрические данные и пр.) в информационной системе не обрабатываются.

 

4.   Доступ к персональным данным

4.1.  Сотрудники Общества, которые в силу выполняемых должностных обязанностей постоянно работают с персональными данными, получают допуск к необходимым персональным данным на срок допущения к работе (в соответствии с трудовым договором, должностной инструкцией, приказами / распоряжениями руководителя Общества).

4.2.  Список лиц, имеющих доступ к персональным данным в информационной системе, поддерживается Обществом в актуальном состоянии.

4.3.  Обществом установлен разрешительный порядок доступа к персональным данным. Сотрудникам Общества предоставляется доступ к работе с персональными данными исключительно в пределах и объеме, необходимых для выполнения ими своих должностных обязанностей, на основании решения руководителя Общества. При этом каждый сотрудник подписывает с Обществом соглашение об обеспечении конфиденциальности персональных данных.

4.4.  Разовый допуск к работе с персональными данными в связи со служебной необходимостью может быть получен сотрудником Общества по согласованию с руководителем Общества только в исключительных обстоятельствах.

4.5.  Доступ к персональным данным Пользователей третьих лиц, не являющихся сотрудниками Общества, без согласия Пользователя запрещен, за исключением доступа сотрудников органов исполнительной власти, осуществляемого в рамках мероприятий по контролю и надзору за исполнением законодательства.

Исключение составляют случаи, прямо предусмотренные Правилами оказания услуг, когда в рамках сервиса «AutoRent» данные Пользователя предоставляются им самостоятельно для оказания им / ему услуги, оформления заказа на услугу.

4.6.  Доступ сотрудника Общества к персональным данным Пользователя прекращается с даты прекращения трудовых отношений с Обществом, либо с даты изменения должностных обязанностей сотрудника и/или исключения сотрудника из списка лиц, имеющих право доступа к персональным данным, либо с даты прекращения договорных отношений с Пользователем. В случае увольнения все носители, содержащие персональные данные, которые в соответствии с должностными обязанностями находились в распоряжении работника во время работы, должны быть переданы им соответствующему должностному лицу Общества.

 

5.   Основные требования по защите персональных данных

5.1.  При обработке персональных данных в информационной системе Общество обеспечивает:

а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным Пользователей и / или передачи их лицам, не имеющим права доступа к такой информации;

б) своевременное обнаружение фактов несанкционированного доступа к персональным данным Пользователей;

в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

г) возможность незамедлительного восстановления персональных данных Пользователей, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

д) постоянный контроль над обеспечением уровня защищенности персональных данных Пользователей.

5.2.  Общество принимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных Пользователей.

5.3.  Обществом в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» осуществлена классификация информационной системы Общества.

5.4.  Обществом на основании Приказа Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» разработан и внедрен комплекс мер по защите и обеспечению безопасности персональных данных Пользователей в информационной системе.

5.5.  Обществом используется технические средства и программное оборудование для обработки и защиты персональных данных Пользователей, ведется учет съемных носителей информации. Указанные технические средства размещаются в офисах Общества.

5.6.  Обществом организован процесс обучения сотрудников использованию средств защиты персональных данных, эксплуатируемых Обществом. Обучение по данному направлению обязательно для лиц, имеющих постоянный доступ к персональным данным, и лиц, эксплуатирующих технические и программные средства информационной системы и средства защиты информационной системы. Допуск к работе сотрудников осуществляется только после прохождения соответствующего курса обучения.

5.7.  Сотрудники Общества обязаны незамедлительно сообщать ответственному должностному лицу об утрате или недостаче носителей информации, содержащих персональные данные, а также о причинах и условиях возможной утечки информации. В случае попытки посторонних лиц получить от сотрудника персональные данные, обрабатываемые Обществом, сотрудник обязан незамедлительно известить об этом соответствующее должностное лицо Общества.

 

6.   Согласие Пользователя на обработку персональных данных

6.1.  Пользователь принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

6.2.  В случае получения согласия на обработку персональных данных от представителя Пользователя полномочия такого представителя проверяются Обществом.

6.3.  На Сайте и в Мобильном приложении размещен текст согласия на обработку персональных данных.

6.4.  Согласие на обработку персональных данных может быть дано Пользователем путем нажатия соответствующих активных клавиш на Сайте / в Мобильном приложении.

 

7.   Права Пользователя

Пользователь имеет право:

7.1.  На получение информации от Общества, касающейся обработки его персональных данных. Сведения должны быть предоставлены Пользователю Обществом в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим Пользователем, за исключением случаев, предусмотренных законом.

7.2.  Требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные Пользователя являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством меры по защите своих прав.

7.3.  Заявлять возражения против принятия на основании исключительно автоматизированной обработки его персональных данных решений Обществом, порождающих юридические последствия в отношении Пользователя, или иным образом затрагивающих его права и законные интересы.

7.4.  Обжаловать ненадлежащие действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

 

8.   Права и обязанности Общества

8.1.  Общество при обработке персональных данных в информационной системе вправе:

· самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей Общества по защите персональных данных, предусмотренных законодательством Российской Федерации;

· в случае отзыва Пользователем согласия на обработку персональных данных  продолжить обработку его персональных данных при наличии оснований, предусмотренных законодательством Российской Федерации;

· отказать Пользователю в выполнении повторного запроса сведений, не соответствующего условиям, предусмотренным законодательством. Отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Обществе.

8.2.  Общество при обработке персональных данных в информационной системе обязано:

· при получении доступа к персональным данным не раскрывать третьим лицам и не распространять персональные данные без согласия Пользователя, если иное не предусмотрено законом или договором, заключенным с Пользователем;

· представить доказательство получения согласия Пользователя на обработку его персональных данных или доказательство наличия законных оснований обработки персональных данных без такого согласия;

· прекратить по требованию Пользователя обработку его персональных данных в целях продвижения услуг путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи;

· при сборе персональных данных предоставить Пользователю по его просьбе информацию, предусмотренную законом;

· если персональные данные получены не от Пользователя, Общество, за исключением случаев, предусмотренных законом, до начала обработки таких персональных данных должно предоставить Пользователю следующую информацию:

1) наименование Общества;

2) цель обработки персональных данных и ее правовое основание;

3) установленные законом права Пользователя;

4) источник получения персональных данных.

· положения предшествующего пункта не распространяются на случаи, когда персональные данные третьих лиц предоставляются Пользователем для целей оказания таким третьим лицам услуг в случаях, предусмотренных Правилами оказания услуг;

· принимать меры, необходимые и достаточные для обеспечения выполнения

обязанностей Общества по защите персональных данных в соответствии с законом;

· при осуществлении сбора персональных данных посредством сервиса «AutoRent» опубликовать настоящую Политику, а также обеспечить возможность неограниченного доступа Пользователей к данному документу с использованием Сайта и Мобильного приложения;

· при обработке персональных принимать установленные настоящей Политикой и иными локальными актами Общества меры для защиты персональных данных Пользователей от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

· сообщить в порядке, предусмотренном законом, Пользователю или его представителю информацию безвозмездно о его персональных данных, подвергнутых обработке, а также предоставить возможность ознакомления с этими персональными данными в течение 30 дней с даты получения запроса;

· в случае отказа в предоставлении информации о наличии персональных данных о соответствующем Пользователе (Пользователю или его представителю при их обращении) Общество обязано дать в письменной форме мотивированный ответ, содержащий ссылку на положение законодательства, являющееся основанием для такого отказа, в срок, не превышающий 30 дней со дня обращения Пользователя или его представителя.

· в срок, не превышающий 7 рабочих дней со дня предоставления Пользователем или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Общество обязано внести в них необходимые изменения;

· в срок, не превышающий 7 рабочих дней со дня представления Пользователем или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными, или не являются необходимыми для заявленной цели обработки, Общество обязано уничтожить такие персональные данные;

· сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса;

· в случае выявления неправомерной обработки персональных данных, осуществляемой Обществом, Общество в срок, не превышающий 3 рабочих дней, обязано прекратить неправомерную обработку персональных данных. В случае если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий 10 рабочих дней, обязано уничтожить такие персональные данные;

· в случае достижения цели обработки персональных данных Общество обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Пользователь;

· в случае отзыва Пользователем согласия на обработку его персональных данных прекратить их обработку и в случае, если сохранение персональных данных более не требуется, уничтожить персональные данные в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Пользователь;

· назначить лицо, ответственное за организацию обработки персональных данных.

 

9.   Порядок обработки и защиты персональных данных

9.1.  Обеспечение конфиденциальности персональных данных, обрабатываемых Обществом, является обязательным требованием для всех лиц, которым персональные данные стали известны в силу должностных обязанностей.

9.2.  Персональные данные Пользователь на бумажных носителях, обрабатываемые Обществом, хранятся у сотрудников, имеющих допуск к обработке соответствующих  персональных данных. Право допуска сотрудников к мануальной (неавтоматизированной) обработке персональных данных определяется трудовым договором, должностной инструкцией, а также приказами / распоряжениями руководителя Общества.

9.3.  Носители персональных данных не должны оставаться без присмотра. При покидании рабочего места сотрудники, осуществляющие обработку персональных данных, должны убирать носители в сейф, запираемый шкаф или иным образом ограничивать несанкционированный доступ к носителям. При утере или порче персональных данных осуществляется по возможности их восстановление.

9.4.  Документы, содержащие персональные данные Пользователей (договоры, акты, сопутствующие документы), носители информации (флеш-карты и т.п.) хранятся в офисах Общества, запираются на ключ. Ответственное лицо, осуществляющее контроль, определяется приказом руководителя Общества.

9.5.  При работе с программными средствами информационной системы Общества,

реализующей функции просмотра и редактирования персональных данных, запрещается демонстрация экранных форм, содержащих такие данные, лицам, не имеющим соответствующего допуска.

9.6.  При получении персональных данных сотрудником Общества, который в силу должностных обязанностей работает с соответствующим разделом сервиса «AutoRent», в обязательном порядке проводится проверка достоверности персональных данных. Сотрудники, осуществляющие ввод информации, несут ответственность за достоверность и полноту введенной информации.

9.7.  Особенности мануальной обработки персональных данных, содержащихся на бумажных носителях, установлены Обществом в соответствии с Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

9.8.  При мануальной обработке персональных данных на бумажных носителях:

· не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы;

· персональные данные обособляются от иной информации, в частности, путем фиксации их на отдельных бумажных носителях.

9.9.  Хранение персональных данных Обществом осуществляется в форме, позволяющей определить Пользователя, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения не установлен законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Пользователь.

9.10.   Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

9.11.   Уточнение персональных данных при осуществлении их мануальной обработки производится путем обновления или изменения данных на материальном

носителе, а если это не допускается техническими особенностями материального носителя – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

9.12.   Уничтожение носителей, содержащих персональные данные Пользователей, осуществляется в следующем порядке:

· персональные данные на бумажных носителях уничтожаются путем использования шредеров, установленных в офисе Общества;

· персональные данные, размещенные в памяти персональных компьютеров, уничтожаются путем удаления их из памяти компьютеров;

· персональные данные, размещенные на флеш-карте или ином носителе информации, уничтожаются путем удаления файла с носителя, при необходимости путем нарушения работоспособности флеш-карты или иного носителя.

9.13.   Офисы Общества по окончании рабочего дня запираются, окна закрываются, включается сигнализация.

9.14.   Сетевое оборудование, серверы располагаются в местах, недоступных для посторонних лиц (в специальных помещениях, шкафах, коробах).

9.15.   Уборка помещений и обслуживание технических средств информационной системы осуществляются под контролем ответственных лиц, с соблюдением мер, исключающих несанкционированный доступ к персональным данным, носителям информации, программным и техническим средствам обработки, передачи и защиты информации в информационной системе.

9.16.   В обязанности администраторов информационной системы Общества входит управление учетными записями пользователей, поддержание штатной работы информационной системы, обеспечение резервного копирования данных, а также установка и конфигурирование аппаратного и программного обеспечения информационной системы, не связанного с обеспечением безопасности персональных данных в информационной системе.

9.17.   В обязанности администраторов информационной системы также входит обеспечение соответствия порядка обработки и обеспечения безопасности персональных данных в информационной системе требованиям по конфиденциальности, целостности и доступности персональных данных, предъявляемых к конкретной информационной системе, и общим требованиям по безопасности персональных данных, установленных федеральным законодательством.

9.18.   В обязанности администраторов информационной системы Общества также входит установка, конфигурирование и администрирование аппаратных и программных средств защиты информации в информационной системе, учет и хранение машинных носителей персональных данных, периодический аудит журналов безопасности и анализ

защищенности информационной системы, а также участие в служебных расследованиях фактов нарушения установленного порядка обработки и обеспечения безопасности персональных данных.

9.19.   В целях обеспечения распределения полномочий, реализации взаимного контроля и недопущения сосредоточения, критичных для безопасности персональных данных, одному лицу (сотруднику) не рекомендуется совмещать роли пользователя информационной системы и администратора информационной системы.

9.20.   Квалификационные требования и детальный перечень прав и обязанностей

администраторов информационной системы закрепляются в соответствующих должностных инструкциях, с которыми сотрудники Общества, назначаемые на данные должности, знакомятся под роспись.

9.21.   Организация внутреннего контроля процесса обработки персональных данных Обществом осуществляется в целях изучения и оценки фактического состояния защищенности персональных данных, своевременного реагирования на нарушения установленного порядка их обработки, а также в целях совершенствования этого порядка и обеспечения его соблюдения.

9.22.   Мероприятия по осуществлению внутреннего контроля обработки и обеспечения безопасности персональных данных Пользователей направлены на решение следующих задач:

· обеспечение соблюдения сотрудниками Общества требований настоящей

Политики и нормативно-правовых актов, регулирующих защиту персональных данных;

· оценка компетентности персонала Общества, задействованного в обработке персональных данных;

· обеспечение работоспособности и эффективности технических средств информационной системы и средств защиты персональных данных, их соответствия требованиям уполномоченных органов исполнительной власти по вопросам безопасности персональных данных;

· выявление нарушений установленного порядка обработки персональных данных и своевременное предотвращение негативных последствий таких нарушений;

· принятие корректирующих мер, направленных на устранение выявленных

нарушений, как в порядке обработки персональных данных, так и в работе технических средств информационной системы.

9.23.   Результаты контрольных мероприятий оформляются актами и являются основанием для разработки рекомендаций по совершенствованию порядка обработки и обеспечения безопасности персональных данных, по модернизации технических средств информационной системы и средств защиты персональных данных, по обучению и повышению компетентности персонала Общества, задействованного в обработке персональных данных Пользователей.

 

10.   Ответственность за нарушение Политики конфиденциальности

10.1.   Руководство Общества несет ответственность за необеспечение конфиденциальности персональных данных Пользователей и несоблюдение соответствующих прав и свобод Пользователей.

10.2.   Сотрудники Общества несут персональную ответственность за несоблюдение

требований по обработке и обеспечению безопасности персональных данных, установленных настоящей Политикой, в соответствии с законодательством Российской Федерации.

10.3.   Сотрудник Общества может быть привлечен к ответственности в случаях:

· умышленного или неосторожного раскрытия персональных данных третьим лицам, за исключениями, прямо предусмотренными настоящей Политикой;

· утраты материальных носителей персональных данных;

· нарушения требований настоящей Политики и других нормативных документов Общества в части вопросов доступа к персональным данным и работы с ними.

10.4.   В случаях нарушения установленного порядка обработки и обеспечения безопасности персональных данных, несанкционированного доступа к персональным данным, раскрытия персональных данных и нанесения Пользователям материального или иного ущерба виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

 

 

 

УТВЕРЖДЕНА

 

Приказом № 2 от 16.03.2020

Генерального директора

ООО «АВТОРЕНТ»