Горячая линия техподдержки 8 800 505 10 05

УТВЕРЖДАЮ

Генеральный директор
Ким Тэк Хюн

«1» октября 2020 года,
город Москва

ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КОНТРАГЕНТОВ
ООО «НАВИЕН РУС»

I. ОБЩИЕ ПОЛОЖЕНИЯ

  1. Настоящее Положение устанавливает порядок приема, учета, сбора, поиска, обработки, накопления и хранения информации, содержащих сведения, отнесенные к персональным данным контрагентов, а также иных лиц, не являющихся работниками ООО «НАВИЕН РУС» (далее по тексту «Оператор»).
  2. Настоящее Положение разработано и применяется, в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных», Федеральным законом от 13.03.2006 №38-ФЗ «О рекламе», Федеральным законом от 27.07.2006г. №149-ФЗ «Об информации, информационных технологиях и о защите информации», и иными нормативно-правовыми актами в области защиты персональных данных, действующими на территории Российской Федерации.
  3. Настоящее Положение применяется в отношении персональных данных которые могут быть получены Оператором:
    • от любых физических лиц, связанных с Оператором гражданско-правовыми отношениями;
    • физических лиц (работников и/или иных представителей) юридических лиц и/или индивидуальных предпринимателей, вступивших с Оператором в гражданскоправовые отношения;
    • пользователей портала сайта, размещенного по адресу - www.navien.ru (далее – «Сайт»), в том числе представители дилеров, иные третьи лица;
    • иных субъектов, в связи с наличием у Оператора правоотношений, не противоречащих законодательству Российской Федерации, и которые могут быть однозначно соотнесены с конкретным физическим лицом и его персональными данными.
  4. Согласие Субъекта на обработку персональных данных не требуется в следующих случаях:
    • обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг Положение об обработке и защите персональных данных контрагентов ООО «Навиен Рус» страница 2 из 7 субъектов, персональные данные которых подлежат обработке, а также определенного полномочия Оператора;
    • обработка персональных данных в целях исполнения договора;
    • обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
    • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов клиента, если получение его согласия невозможно.
  5. Настоящее Положение определяет действия Оператора в отношении обработки персональных данных, принятых на обработку, порядок и условия осуществления обработки персональных данных физических лиц, передавших свои персональные данные для обработки Оператору (далее именуемые – «Субъект персональных данных», «Субъект») с использованием и без использования средств автоматизации, устанавливает процедуры, направленные на предотвращение нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.
  6. Оператор обрабатывает персональные данные на законной и справедливой основе для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов Оператора и Субъектов персональных данных.
  7. Оператор осуществляет обработку следующих персональных данных:
    • фамилия, имя, отчество;
    • дата рождения;
    • номер контактного телефона;
    • адрес электронной почты (e-mail);
    • тип, серия и номер документа, удостоверяющего личность;
    • дата выдачи документа, удостоверяющего личность и информация о выдавшем его органе;
    • должность;
    • адрес места проживания и адрес регистрации;
    • идентификационный номер налогоплательщика;
    • номер страхового свидетельства государственного пенсионного фонда;
    При получении персональных данных посредством сайта или звонков через Колл- центр, Оператор осуществляет обработку следующих персональных данных:
    • фамилия, имя, отчество (при наличии);
    • номер контактного телефона;
    • адрес электронной почты (e-mail);
    • место проживания;
    • сведения об используемом браузере (или иной программе, с помощью которой осуществляется доступ к сайту);
    • IP-адрес;
    • данные из файлов cookie;
    • реферер (адрес предыдущей посещенной пользователем страницы);
    • время доступа.
    При получении персональных данных, не указанных в настоящем разделе, такие данные подлежат немедленному уничтожению.
  8. Оператор гарантирует, что третьи лица не имеют доступа к таким данным, которые могут использоваться Оператором, кроме случаев, явно оговоренных действующим законодательством Российской Федерации и настоящим Положением.
  9. Оператор осуществляет обработку персональных данных Субъектов персональных данных путем ведения баз данных автоматизированным, механическим, ручным способами в целях:
    • выполнения норм гражданского законодательства РФ о договорных обязательствах, заключение и исполнение договоров и/или соглашений с контрагентами;
    • обработки заказов, запросов или других действий Субъекта персональных данных;
    • информирования о статусе заказа;
    • анализа качества предоставляемого Оператором сервиса и улучшению качества обслуживания клиентов Оператора;
    • в случае выраженного согласия Субъекта персональных данных, в целях продвижения товаров, работ и услуг Оператора на рынке, оповещения о проводимых акциях, мероприятиях, скидках, проведения маркетинговых кампаний Оператора;
    • в иных целях в случае, если соответствующие действия Оператора не противоречат действующему законодательству, деятельности Оператора, и на проведение указанной обработки получено согласие Субъекта персональных данных;
    • в целях осуществления аналитики Сайта, отслеживания и понимания принципов использования Сайта посетителями, совершенствования функционирования Сайта, решения технических проблем Сайта, разработки новых продуктов, расширения услуг, выявления популярности мероприятий и определения эффективности рекламных кампаний; обеспечения безопасности и предотвращения мошенничества.
  10. Оператор осуществляет обработку персональных данных посредством совершения любого действия (операции) или совокупности действий (операций), включая следующие:
    • сбор;
    • запись;
    • систематизацию;
    • накопление;
    • хранение;
    • уточнение (обновление, изменение);
    • извлечение;
    • использование;
    • передачу (распространение, предоставление, доступ);
    • обезличивание;
    • блокирование;
    • удаление;
    • уничтожение.
  11. Оператор может осуществлять трансграничную передачу персональных данных в случаях заключения договоров с контрагентами и иными третьими лицами, находящимися за рубежом, в объеме, необходимым для заключения и исполнения таких договоров. При трансграничной передаче персональных данных в государства, не являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, или не обеспечивающие адекватной защиты персональных данных, субъекты персональных данных дают согласие в письменной форме на такую передачу.

II. ПОЛУЧЕНИЕ, ИСПОЛЬЗОВАНИЕ И РАСКРЫТИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Оператор получает и начинает обработку персональных данных Субъекта с момента получения его согласия. Согласие на обработку персональных данных может быть дано Субъектом персональных данных в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством, в том числе посредством совершения Субъектом персональных данных конклюдентных действий. В случае отсутствия согласия Субъекта персональных данных на обработку его персональных данных, такая обработка не осуществляется.
  2. Персональные данные Субъектов персональных данных получаются Оператором:
    • путем личной передачи Субъектом персональных данных при внесении сведений в учетные формы в письменном виде на бумажных носителях в офисах Оператора;
    • путем личной передачи Субъектом персональных данных при внесении сведений в учетные формы в электронном виде на Сайте;
    • путем личной передачи Субъектом персональных данных при обращении в Колл- центр и сообщения их в устной форме по телефону;
    • иными способами, не противоречащими законодательству Российской Федерации и требованиям международного законодательства о защите персональных данных.
  3. Согласие на обработку персональных данных считается предоставленным посредством совершения Субъектом персональных данных любого действия или совокупности следующих действий:
    • заполнения документа на бумажном носителе в офисе Оператора;
    • оформления заказа на Сайте Оператора в личном кабинете;
    • проставления на Сайте в соответствующей форме отметки о согласии на обработку персональных данных в объеме, для целей и в порядке, предусмотренных в предлагаемом перед получением согласия для ознакомления тексте;
    • сообщения персональных данных в устной форме, при обращении в Колл-центр по телефону .
  4. Согласие считается полученным в установленном порядке и действует до момента направления Субъектом персональных данных соответствующего заявления о прекращении обработки персональных данных по месту нахождения Оператора.
  5. Субъект персональных данных может в любой момент отозвать свое согласие на обработку персональных данных при условии, что подобная процедура не нарушает требований законодательства Российской Федерации. В случае отзыва Субъектом персональных данных согласия на обработку его персональных данных, Оператор должен прекратить их обработку или обеспечить прекращение такой обработки (если обработка осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей их обработки, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (Тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Оператором и Субъектом персональных данных, либо если Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных Федеральным законом №152-ФЗ «О персональных данных» от 27.07.2006 г. или другими федеральными законами.

III. ПРАВИЛА И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. К обработке персональных данных допущены только те сотрудники Оператора, на которых возложена такая обязанность в соответствии с их служебными (трудовыми) обязанностями. Оператор требует от своих сотрудников соблюдения конфиденциальности и обеспечения безопасности персональных данных, при их обработке.
  2. Оператор может осуществлять обработку персональных данных самостоятельно, а также с привлечением третьих лиц, которые привлекаются Оператором и осуществляют обработку для выполнения указанных в настоящем Положении целей.
  3. В случае поручения обработки персональных данных третьему лицу, объем передаваемых третьему лицу для обработки персональных данных и количество используемых этим лицом способов обработки должны быть минимально необходимым и для выполнения им своих обязанностей перед Оператором. В отношении обработки персональных данных третьим лицом устанавливается обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке.
  4. В процессе предоставления услуг, при осуществлении внутрихозяйственной деятельности Оператор использует автоматизированную, с применением средств вычислительной техники, так и неавтоматизированную, с применением бумажного документооборота, обработку персональных данных. Принятие решений, порождающих юридические последствия в отношении Субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных Оператором не производится. Оператор хранит персональную информацию Субъектов персональных данных в соответствии с внутренним регламентом.
  5. В отношении персональной информации Субъекта персональных данных сохраняется конфиденциальность, кроме случаев добровольного предоставления Субъектом информации о себе для общего доступа неограниченному кругу лиц. В данном случае Субъект персональных данных соглашается с тем, что определенная часть его персональной информации становится общедоступной.

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Оператором гарантирует конфиденциальность полученной информации.
  2. Оператор требует от иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом.
  3. Все работники Оператора обязаны обеспечивать конфиденциальность персональных данных, а также иных сведений, установленных Оператором, если это не противоречит действующему законодательству Российской Федерации.
  4. Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении них. Оператор обеспечивает, чтобы все реализуемые мероприятия по организационной и технической защите персональных данных осуществлялись на законных основаниях, в том числе в соответствии с требованиями законодательства Российской Федерации по вопросам обработки персональных данных.
  5. Оператор применяет необходимые и достаточные правовые, организационные и технические меры по обеспечению безопасности персональных данных, включающие в себя:
    • определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
    • применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
    • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
    • оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
    • учет машинных носителей персональных данных;
    • обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
    • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
    • проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передача их лицам, не имеющим права доступа к такой информации;
    • своевременное обнаружение фактов несанкционированного доступа к персональным данным и принятием необходимых мер;
    • недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их
    • функционирование;
    • установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
    • контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
  6. В состав мер по обеспечению безопасности персональных данных, реализуемых Оператором в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
    • идентификация и аутентификация субъектов доступа и объектов доступа;
    • управление доступом субъектов доступа к объектам доступа;
    • ограничение программной среды;
    • защита машинных носителей информации, на которых хранятся и (или)
    • обрабатываются персональные данные;
    • регистрация событий безопасности;
    • антивирусная защита;
    • обнаружение (предотвращение) вторжений;
    • обеспечение целостности информационной системы и персональных данных;
    • защита среды виртуализации;
    • защита технических средств;
    • защита информационной системы, ее средств, систем связи и передачи данных;
    • выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них;
    • управление конфигурацией информационной системы и системы защиты персональных данных.
  7. В целях обеспечения соответствия уровня защиты персональных данных требованиям Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» и Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» Оператор не раскрывает информацию о конкретных применяемых средствах и мерах обеспечения информационной безопасности персональных данных.
  8. Оператор обязуется не разглашать полученную от Субъекта персональных данных информацию. Не считается нарушением предоставление Оператором информации агентам и третьим лицам, действующим на основании договора с Оператором, для исполнения обязательств перед Субъектом персональных данных. Не считается нарушением обязательств разглашение информации в соответствии с обоснованными и применимыми требованиями закона.