Политика в отношении обработки персональных данных

ООО «КМР И СНГ»

Общие положения

1.1. Настоящая Политика в области обработки и защиты персональных данных (далее – «Политика») принята и действует в ООО «КМР и СНГ» (далее – «Организация»), расположенном по адресу: 115054, г. Москва, ул. Валовая, д. 26.

1.2. Во исполнение требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», Трудового кодекса РФ, приказов, рекомендаций и инструкций Министерства цифрового развития, связи и массовых коммуникаций, Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора), Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ), других законодательных актов Российской Федерации в области обработки и защиты персональных данных, а также локальных нормативных актов ООО «КМР и СНГ» (далее также «Правила защиты данных»). Организация обеспечивает легитимность обработки и безопасность персональных данных (далее – «ПДн») в своей деятельности.

1.3. Участниками ООО «КМР и СНГ» являются КИА МОТОРС Дойчланд ГмбХ, КИА МОТОРС Юроп ГмбХ (место нахождения: Федеративная Республика Германия). Федеративная Республика Германия является страной-участницей Конвенции о защите физических лиц при автоматизированной обработке персональных данных ETS N 108 (Страсбург, 28 января 1981 г.).

1.4. Организация включена в Реестр операторов, осуществляющих обработку персональных данных (далее – «Реестр»). Указанный Реестр опубликован на сайте Роскомнадзора в сети «Интернет» по адресу: http://rkn.gov.ru/personal-data/register/.

1.5. Политика применяется к обработке ПДн Организацией, в том числе, в следующих случаях:

  • использование веб-сайтов и мобильных приложений, владельцем которых является Организация;
  • любые обращения в Организацию в любой форме, направление жалоб, комментариев или замечаний и предложений;
  • посещение офисов и иных помещений Организации;
  • продажа автомобилей и иных товаров, проведение работ (включая сервисное обслуживание автомобилей), оказание услуг (включая информационные услуги с использованием веб-сервисов);
  • взаимодействие с контрагентами, деловыми партнерами, КИА МОТОРС Дойчланд ГмбХ, КИА МОТОРС Юроп ГмбХ и Организациями Корпорации KIA при осуществлении оперативной деятельности Организации;
  • в иных случаях.

Условия обработки cookie-файлов и иных технических данных о посетителях веб-сайтов Организации указаны в разделах о cookie-файлах («Cookies») на соответствующих веб-сайтах Организации, если осуществляется сбор и обработка такой информации.

1.6. Субъектами, чьи ПДн обрабатываются в соответствии с Политикой, могут являться:

  • клиенты (потенциальные клиенты) дилерских и сервисных предприятий KIA в России, чьи ПДн могут быть переданы Организации в соответствии с договорами с такими предприятиями при условии обеспечения предприятиями законности такой передачи и обработки ПДн, и чьи ПДн могут быть переданы Организацией дилерским и сервисным предприятиям KIA в России с целью исполнения заявок/запросов клиентов;
  • контрагенты или бизнес-партнеры (потенциальные контрагенты или бизнес-партнеры) Организации и их представители и работники;
  • иные лица в случаях, предусмотренных пунктом 1.5 выше.

1.7. Принципами обработки ПДн в Организации являются:

  • обработка ПДн осуществляется на законной и справедливой основе;
  • обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
  • не допускается обработка ПДн, несовместимая с целями сбора ПДн;
  • не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только ПДн, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки;
  • при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн, принимаются необходимые меры по удалению или уточнению неполных или неточных ПДн;
  • хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, согласием на обработку ПДн, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
  • обрабатываемые ПДн уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
  • обработка ПДн не используется в целях причинения имущественного и/или морального вреда субъектам ПДн, затруднения реализации их прав и свобод;
  • иные принципы, определенные в Правилах защиты данных.
Состав и цели обработки ПДн

2.1. В соответствии с принципами обработки ПДн в Организации определены состав обрабатываемых ПДн и цели их обработки. В частности, но не ограничиваясь, целями обработки ПДн в Организации в соответствии с Политикой являются:

  • предоставление информации (включая информацию рекламного характера), в том числе, но не ограничиваясь, о товарах и услугах Организации, наличии специальных предложений, акций в отношении них, о кредитных предложениях, связанных с приобретением и использованием товаров и услуг, о проведении мероприятий, презентаций;
  • продвижение товаров, работ и услуг на рынке путем осуществления прямых и опосредованных контактов;
  • подготовка и направление предложений о приобретении товаров и услуг, финансовых услуг, связанных с ними;
  • выполнение процедур должной осмотрительности, преддоговорное согласование, заключение и исполнение любых договоров, а также контроль корректности заключения/исполнения сделок, в частности, по специальным программам, предложениям и акциям;
  • контроль качества оказания услуг, проведения работ и продажи товаров;
  • организация участия субъектов ПДн в различных мероприятиях, инициируемых Организацией;
  • проведение исследований рынка и других статистических исследований, в том числе исследований индекса удовлетворенности качеством предоставленных товаров и услуг, опросов клиентов;
  • обработка возможных рекламаций и иных обращений;
  • управление взаимоотношениями с клиентами, контрагентами и бизнес-партнерами, включая использование и сопровождение информационных систем, автоматическое формирование в указанных системах проектов договоров и иных документов;
  • выполнение требований законодательства, а также осуществление прав и законных интересов Организации.

2.2. Состав и цели обработки ПДн соответствуют требованиям действующего законодательства РФ в области обработки и защиты ПДн.

2.3. Организация следует Общекорпоративным правилам защиты данных. ООО «КМР и СНГ» при обработке ПДн преследует исключительно те цели, которые были определены перед началом сбора данных. Последующие изменения целей возможны только в ограниченной мере и подлежат обоснованию и информированию об этом субъекта ПДн.

2.4. Конкретные состав и цели обработки ПДн фиксируются и доводятся до сведения субъекта ПДн при сборе ПДн способом и в форме, соответствующими источнику получения и основаниям обработки таких ПДн (например, согласие на обработку ПДн, информирование об условиях предоставления услуг, соответствующий договор и т.п.).

Правила обработки ПДн

3.1. Обработка ПДн осуществляется Организацией на законной основе. В случаях, предусмотренных действующим законодательством РФ, Организация осуществляет получение согласия (письменного согласия) субъекта на обработку его ПДн в установленным действующим законодательством РФ порядке. Если Организация получает ПДн от третьего лица, то она требует подтверждения от этого лица, что оно имеет необходимые основания для передачи ПДн в Организацию.

3.2. Организация в ходе своей деятельности вправе поручать обработку и/или передавать ПДн (предоставлять доступ к ПДн) третьему лицу, если иное не предусмотрено действующим законодательством РФ.

При этом обязательным условием поручения обработки и/или передачи ПДн третьему лицу является

  • обязанность по соблюдению таким лицом принципов и правил обработки ПДн, предусмотренных действующим законодательством, по соблюдению конфиденциальности и обеспечению безопасности и защиты ПДн при их обработке, обеспечению прав субъектов ПДн
  • обязательство третьего лица использовать данные исключительно в заранее определенных целях и объемах
  • обязательство соблюдать иные условия обработки и защиты ПДн, которые были указаны/сообщены/согласованы с субъектом ПДн Организацией. К подобным третьим лицам относятся, в частности, дилерские и сервисные предприятия KIA в России (наименования и адреса доступны на сайте https://www.kia.ru/dealers/ ), контрагенты Организации (включая Организации, оказывающие услуги колл-центра, услуги проверки и аудита сделок, услуги проведения статистических исследований, услуги поддержки используемых информационных систем) и иные, если указано/сообщено/согласовано с субъектом ПДн в соответствии с законодательством РФ.

3.3. При поручении обработки или передаче (предоставлении доступа к) ПДн третьему лицу возможны случаи осуществления трансграничной передачи. В этом случае Организация следует требованиям законодательства РФ и осуществляет передачу только на территорию иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или обеспечивающих адекватную защиту прав субъектов ПДн. В противном случае, Организация следует требованиям части 4 статьи 12 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». В частности, Организация осуществляет трансграничную передачу ПДн, в том числе, с целью их обработки, иным Организациям Корпорации KIA, имеющим местонахождение в странах, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также в иных странах, обеспечивающих адекватную защиту прав субъектов персональных данных[1], в частности, Киа Моторс Корпорейшн.

3.4. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3.5. В Организации НЕ обрабатываются ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

3.6. Обработка биометрических ПДн (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Организацией для установления личности субъекта ПДн) в Организации не осуществляется. В соответствующих случаях, при предъявлении субъектами ПДн паспортов или иных документов, содержащих фотографию субъекта, Организация не использует данную фотографию для установления личности субъекта ПДн (идентификация), а использует для удостоверения тождественности лица, предъявившего документ, с лицом, изображенным на фотографии в этом документе (аутентификация).

3.7. Организация НЕ размещает ПДн субъекта ПДн в общедоступных источниках без его согласия.

3.8. Организация организовывает процессы взаимодействия с субъектами ПДн таким образом, чтобы субъект мог обратиться в Организацию по всем предусмотренным в законодательстве РФ вопросам, связанным с обработкой его ПДн (информация об обрабатываемых ПДн, о третьих лицах, запросы на уточнение, прекращение обработки, блокировку и уничтожение), по адресу электронной почты info@kia.ru либо путем направления письменного запроса заказным почтовым отправлением с описью вложения или курьерской службой, либо вручено лично под роспись уполномоченному представителю Организации.

Согласие на обработку ПДн может быть отозвано субъектом путем направления сканированной копии письменного уведомления, подписанного субъектом ПДн, на адрес электронной почты: info@kia.ru либо оригинала письменного уведомления в адрес Организации заказным почтовым отправлением с описью вложения или курьерской службой, либо вручено лично под роспись уполномоченному представителю Организации.

Организация при этом вправе продолжить обработку ПДн в случаях, установленных действующим законодательством РФ, или если ПДн обрабатываются в соответствии с иным законным основанием (в частности, в соответствии с принятыми условиями предоставления услуг).

3.9. При наличии подписок на получение информационных и рекламных коммуникаций, субъект может обратиться к Организации с просьбой об отписке от таких коммуникаций следующими способами:

  • путем активации автоматической функции «Отписаться» по ссылке, присутствующей в электронном письме либо СМС-сообщении (если функция доступна и поддерживается пользовательским устройством), содержащем коммуникацию. В этом случае Организация прекращает направление коммуникаций на адрес электронной почты либо номер телефона, с которого была активирована функция;
  • путем обращения в контактный центр Организации по телефону 8 800 301 08 80;
  • путем обращения с соответствующим запросом по адресу электронной почты info@kia.ru либо по адресу местонахождения Организации.

3.10. Организация может запрашивать согласие субъекта ПДн неоднократно при каждом обращении субъекта. В случае если при последующих запросах Организацией согласия (например, при заполнении веб-форм с соответствующим полем для проставления галочки о согласии) таковое не будет дано, ранее данное согласие не будет автоматически признаваться отозванным и продолжит действовать в течение указанного в согласии срока.

3.11. Предоставление ПДн органам государственной власти и местного самоуправления, в суды, правоохранительные органы, а также иным надзорным органам осуществляется Организацией в случаях и в порядке, предусмотренных законодательством РФ.

Установление правил и порядка обработки ПДн

4.1. В соответствии с требованиями, указанными в п.1.2 настоящего документа, в Организации во внутренних документах, обязательных для исполнения всеми работниками Организации, а также в соответствующих соглашениях с партнерами, контрагентами и прочими третьими лицами в части, их касающейся, определяются:

  • процедуры предоставления доступа к ПДн;
  • процедуры внесения изменений в ПДн с целью обеспечения их точности, достоверности и актуальности, в том числе по отношению к целям обработки ПДн;
  • процедуры уничтожения либо блокирования ПДн в случае необходимости выполнения такой процедуры;
  • процедуры обработки обращений субъектов ПДн (их законных представителей) для случаев, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», в частности порядок подготовки информации о наличии ПДн, относящихся к конкретному субъекту ПДн, информации, необходимой для предоставления возможности ознакомления субъектом ПДн (его законными представителями) с его ПДн, а также процедуры обработки обращений об уточнении ПДн, их блокировании или уничтожении, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для установленной цели обработки;
  • процедуры обработки запроса уполномоченного органа по защите прав субъектов ПДн;
  • процедуры получения согласия субъекта ПДн на обработку его ПДн и на передачу обработки его ПДн третьим лицам;
  • процедуры передачи ПДн между пользователями ресурса ПДн, предусматривающего передачу ПДн только между работниками Организации, имеющими доступ к ПДн;
  • процедуры передачи ПДн третьим лицам;
  • процедуры работы с материальными носителями ПДн;
  • процедуры, необходимые для осуществления уведомления уполномоченного органа по защите прав субъектов ПДн об обработке ПДн в сроки, установленные Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;
  • необходимость применения типовых форм документов для осуществления обработки ПДн и процедуры работы с ними.

Под типовой формой документа понимается форма документов, характер информации в которых предполагает или допускает включение в них ПДн.

Требования к обеспечению конфиденциальности и безопасности ПДн

5.1. С целью обеспечения безопасности ПДн при их обработке в Организации реализуются требования действующего законодательства РФ в области обработки и обеспечения безопасности ПДн и требования локальных нормативных актов Организации.

5.2. Для этих целей в Организации введена, функционирует и проходит периодический пересмотр (контроль) система защиты ПДн.

5.3. Организация применяет необходимые и достаточные правовые, организационные и технические меры, включающие в себя, в том числе:

  • разработку внутренних документов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
  • защиту ПДн от несанкционированного доступа, неправомерной обработки или передачи, а также от утери, искажения или уничтожения (вне зависимости от того, автоматизированная или неавтоматизированная обработка ПДн осуществляется);
  • определение и внедрение перед введением новых процессов обработки ПДн и новых информационных систем персональных данных (далее – «ИСПДн») технических и организационных мер, обеспечивающих защиту ПДн, ориентированных на современный уровень техники и необходимую степень защиты ПДн;
  • определение угроз безопасности ПДн при их обработке в ИСПДн;
  • установление правил доступа к ПДн, обрабатываемых в ИСПДн, а также обеспечение регистрации и учета действий, совершаемых с ПДн в ИСПДн;
  • контроль и оценка эффективности применяемых мер (в том числе с привлечением третьих лиц для таких проверок);
  • обнаружение фактов несанкционированного доступа к ПДн (и других инцидентов с ПДн) и принятие мер.

5.4. В части обеспечения конфиденциальности обработки Организация предпринимает меры, направленные на предотвращение несанкционированного сбора, обработки или использования ПДн:

  • предоставление доступа к ПДн только в случаях и в порядке, предусмотренном законодательством РФ;
  • ознакомление работников Организации, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Организации в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, требованиями к неавтоматизированной обработке ПДн, и (или) обучение указанных работников.

5.5. В Организации назначены лица, ответственные за организацию обработки и обеспечения безопасности ПДн.

5.6. Руководство Организации заинтересовано в обеспечении безопасности ПДн, обрабатываемых в рамках выполнения основной деятельности Организации, как с точки зрения требований действующего законодательства РФ и корпоративных правил, так и с точки зрения минимизации рисков для субъектов ПДн.

Контроль

6.1. Контроль за выполнением настоящей Политики осуществляется лицами, исполняющими соответствующие роли согласно внутренним распорядительным документам Организации, в соответствии с их функциями, а также руководителями управлений, департаментов, отделов и подразделений Организации – в отношении выполнения положений подчиняющимися ими работниками.

Заключительные положения

7.1. Настоящая Политика вступает в силу с момента ее утверждения и действует до момента внесения изменений и/или принятия нового документа в соответствии с внутренним порядком Организации.

7.2. Политика может время от времени обновляться или иным образом изменяться Организацией, при этом любые изменения подлежат опубликованию Организацией. Такие изменения вступают в силу с момента их публикации.

7.3. В случае если какое-либо из положений настоящей Политики является или становится недействительным, это не затрагивает действительность остальных положений настоящей Политики.

7.4. В случае изменения нормативно-правовых актов, использованных в настоящей Политике, настоящая Политика продолжает свое действие в части, не противоречащей действующему законодательству. В остальной части Организация руководствуется нормами действующего законодательства РФ.

[1] На основании Приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 15 марта 2013 г. № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных».