Политика конфиденциальности

Политика в отношении обработки персональных данных

Индивидуального предпринимателя Мерикина Михаила Игоревича

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — Политика) определяет порядок и условия обработки персональных данных, а также меры по обеспечению их безопасности в ИП Мерикина Михаила Игоревича (далее — Компания).
1.2. Политика разработана в соответствии с законодательством РФ, включая Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных».
1.3. Политика вступает в силу с момента утверждения и действует бессрочно до замены новой редакцией.

2. Термины и определения
• Персональные данные — любая информация, относящаяся к прямо или косвенно определяемому физическому лицу.
• Оператор — лицо, самостоятельно или совместно с другими организующее обработку персональных данных.
• Пользователь — совершеннолетнее дееспособное лицо, использующее сайт Компании.
• Сайт — совокупность веб-страниц по адресу https://mm-cars.ru.
• Cookies — текстовые файлы, сохраняемые на устройстве пользователя, содержащие данные об активности в сети.

3. Порядок и условия обработки персональных данных

3.1. Обработка осуществляется как с использованием автоматизации, так и без неё.
3.2. Согласие на обработку персональных данных:
• Получается при сборе данных.
• Должно быть конкретным, информированным и подтверждаемым.
3.3. Обработка может быть поручена третьим лицам только по договору и с согласия субъекта, если иное не установлено законом.
3.4. Лица, обрабатывающие данные по поручению, обязаны соблюдать законодательство и положения настоящей Политики.
3.5. Цели обработки:
• Продвижение товаров/услуг.
• Анализ и улучшение работы сайта.
3.6. Категории субъектов:
• Сотрудники и бывшие сотрудники.
• Родственники сотрудников.
• Клиенты.
• Представители контрагентов.
• Посетители и пользователи сайта.
3.7. Обрабатываемые данные могут включать:
• ФИО
• Адрес
• Телефон
• Email
• Платёжные реквизиты
• Иные данные, необходимые для целей, указанных выше.
3.8. Не обрабатываются: биометрические данные, сведения о расовой принадлежности, политических взглядах, религиозных убеждениях, интимной жизни.
3.9. Получение данных у третьих лиц возможно только с письменного согласия субъекта.
3.10. Трансграничная передача персональных данных не осуществляется.
3.11. Срок хранения — не дольше, чем требуется для достижения целей.
3.12. Обработка прекращается при достижении целей, отзыве согласия или выявлении нарушений.
3.13. В случае утечки данных Компания уведомляет Роскомнадзор в течение:
• 24 часов — о факте инцидента
• 72 часов — о результатах внутреннего расследования
3.14. Данные также обрабатываются в рамках оказания услуг и заключения договоров.
3.15. Обращения граждан (в т.ч. электронные) обрабатываются для подготовки ответов.

4. Обработка электронных пользовательских данных (в т.ч. Cookies)

4.1. Сайт собирает данные пользователей автоматически с помощью сервисов аналитики.
4.2. Использование сайта и согласие с cookies подтверждается при первом входе.
4.3. Сбор информации осуществляется с использованием Яндекс.Метрики и может включать:
• Запросы, IP-адрес, данные браузера, устройство
• Длительность посещения, история просмотров
• Геолокацию, дату и время активности
4.4. Оператор сервиса — ООО «Яндекс», г. Москва. Пользователь может отключить Яндекс.Метрику по ссылке.
4.5. Cookies уничтожаются или обезличиваются при достижении целей.

5. Сроки хранения персональных данных

5.1. Сроки определяются в соответствии с законодательством РФ.
5.2. При обработке без автоматизации данные хранятся обособленно.
5.3. Раздельное хранение осуществляется по назначению.
5.4. Контроль над сохранностью обеспечивают ответственные сотрудники Компании.

6. Уничтожение персональных данных

6.1. При выявлении неточностей данные подлежат актуализации.
6.2. При нарушениях — обработка прекращается.
6.3. При достижении целей данные уничтожаются или обезличиваются не позднее 30 дней.
6.4. Уничтожение с машинных носителей осуществляется методами, исключающими восстановление:
• Перезапись случайными битами
• Удаление записей
• Обнуление журнала файловой системы
• Полная перезапись адресного пространства
6.5. Физическое уничтожение материальных носителей персональных данных осуществляется путем их сжигания или измельчения до степени, исключающей возможность восстановления хранящейся на них информации.
6.6. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается комиссией Компании, состав которой утверждается приказом директора Компании.
6.7. По окончании процедуры уничтожения составляется соответствующий Акт об уничтожении документов, содержащих персональные данные.

7. Права субъектов персональных данных

7.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
• подтверждение факта обработки персональных данных Компанией;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Компанией способы обработки персональных данных;
• наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

7.2. Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.3. Если субъект персональных данных считает, что Компания осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Компании в вышестоящий орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор) или в судебном порядке.

7.4. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

8. Сведения о реализуемых мерах обеспечения безопасности персональных данных

8.1. Важнейшим условием реализации целей деятельности Компании является обеспечение необходимого и достаточного уровня безопасности информационных систем персональных данных, соблюдения конфиденциальности, целостности и доступности обрабатываемых персональных данных и сохранности носителей сведений, содержащих персональные данные на всех этапах работы с ними.

8.2. В Компании в соответствии с действующим законодательством Российской Федерации разработан и введен в действие комплекс организационно-распорядительных, функциональных и планирующих документов, регламентирующих и обеспечивающих безопасность обрабатываемых персональных данных.

8.3. Созданные в Компании условия и режим защиты информации, отнесенной к персональным данным, позволяют обеспечить защиту обрабатываемых персональных данных:
• назначение ответственных лиц за организацию обработки и обеспечение защиты персональных данных;
• ограничение состава работников Компании, имеющих доступ к персональным данным;
• определение уровня защищенности персональных данных при обработке в информационных системах персональных данных;
• установление правил разграничения доступа к персональным данным, обрабатываемым в информационных системах персональных данных и обеспечение регистрации и учета всех действий, совершаемых с персональными данными;
• ограничение доступа в помещения, где размещены основные технические средства и системы информационных систем персональных данных и осуществляется неавтоматизированная обработка персональных данных;
• ведение учета машинных носителей персональных данных;
• организация резервирования и восстановления работоспособности информационных систем персональных данных и персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установление требований к сложности паролей для доступа к информационным системам персональных данных;
• осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок;
• организация своевременного обновления программного обеспечения, используемого в информационных системах персональных данных и средств защиты информации;
• обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по установлению причин и устранению возможных последствий;
• контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.

9. Изменение Политики

9.1. Компания имеет право вносить изменения в настоящую Политику. При внесении изменений в наименовании Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте Компании, если иное не предусмотрено новой редакцией Политики.

9.2. Иные права и обязанности Компании определяются Федеральным законом «О персональных данных» и иными нормативными правовыми актами в области защиты персональных данных.