1.Общие положения Политики
1.1. Настоящий документ (далее – Политика) определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных на сайте sigma.spb.ru, принадлежащем ООО «Сигма Моторс ГмбХ» (197101, г. Санкт-Петербург, Петроградская наб., 30 литер А, ИНН 7825507813, КПП 781301001, ОГРН 1037843106476).
1.2. Основные понятия, сокращения и аббревиатуры
1.3. Оператор считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке ПД, а также обеспечение безопасности процессов их обработки.
1.4. Настоящая Политика конфиденциальности:
- разработана в целях реализации требований действующего законодательства РФ в области обработки и защиты ПД;
- является общедоступным документом, декларирующим концептуальные основы деятельности Оператора по обработке и защите ПД при использовании Сайта;
- раскрывает способы и принципы обработки Оператором ПД, права и обязанности Оператора, права Пользователей (субъектов ПД), а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности ПД при их обработке.
1.5. Оператором также утверждена Политика, декларирующая концептуальные основы деятельности Оператора по организации обработки и обеспечении безопасности ПД в целом.
2.Принципы, цели и содержание обработки ПД
2.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки ПД, указанных в ст. 5 152-ФЗ.
2.2. Оператор осуществляет целенаправленную обработку ПД при использовании Сайта в отношении пользователей/посетителей Сайта (незарегистрированных и зарегистрированных) в соответствии с применимым законодательством о ПД, описанную в Приложении № 1 к Политике.
3.Особенности сбора и иной обработки ПД
3.1. Оператор обрабатывает ПД, источником которых могут быть:
- результаты взаимодействия Пользователя с Сайтом;
- системы мониторинга действий Пользователя (поведения Пользователя) на Сайте;
- результаты сопоставления (сравнения) и объединения (связывания) ПД между собой.
3.2. При сборе ПД Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, прямо предусмотренных действующим законодательством РФ о ПД.
3.3. Для обработки ПД Оператор может применять информационные системы, автоматизированные рабочие места, отчуждаемые машинные носители информации, а также передавать ПД по внутренней сети Оператора и (или) с использованием информационно-телекоммуникационных сетей (включая сеть «Интернет»).
3.4. Оператор может направлять (при условии разумного ограничения частоты и количества направлений, в любое время и без предварительного предупреждения) субъектам ПД информационные материалы о новостях и активностях Оператора в случае наличия соответствующего согласия субъектов ПД. Субъекты ПД вправе в любой момент отказаться от получения материалов.
3.5. Оператором не принимаются решения, порождающие юридические последствия в отношении субъектов ПД или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки их ПД.
3.6. Оператор не осуществляет вышеуказанные действия по обработке ПД в качестве биометрических ПД и не использует ПД для установления (биометрической идентификации) и (или) удостоверения (биометрической аутентификации) личности субъектов ПД.
4.Передача персональных данных
4.1. Оператор может привлекать третьих лиц к обработке ПД путём поручения обработки ПД и (или) путём передачи ПД третьим лицам без поручения обработки ПД, в том числе осуществлять трансграничную передачу ПД третьим лицам.
4.2. Привлечение третьих лиц к обработке ПД может осуществляться только при условии обработки такими лицами ПД в минимально необходимом составе и исключительно для достижения предусмотренных Документом целей обработки ПД. К таким лицам, в частности, могут относиться:
- лица, обладающие правом в предусмотренных применимым законодательством случаях на получение ПД;
- лица, в пользу которых Оператором может быть произведена уступка прав и (или) обязанностей;
- правопреемники (инвесторы) Оператора и (или) его аффилированные лица;
- отдельно взятые аффилированные с Оператором лица;
- участники группы лиц Оператора и компании, входящие в перечень юридических лиц, отчётность которых используется при подготовке консолидированной финансовой отчётности по МСФО;
- хостинг-провайдер Сайта;
- поставщики услуг по мониторингу действий пользователей на Сайте;
- поставщики услуг по обеспечению безопасности, функциональности, продуктивности, эффективности и персонализации Сайта.
4.3. Фактический состав привлекаемых Оператором третьих лиц к обработке ПД определяется исходя из сложившихся отношений между Оператором и субъектом ПД, а также в соответствии с положениями применимого законодательства, договоров и согласий субъекта ПД.
4.4. Оператор может создавать общедоступные источники ПД и (или) осуществлять распространение ПД только с согласия субъекта ПД, если иное не предусмотрено применимым законодательством.
5.Порядок прекращения обработки (уничтожения) ПД
5.1. Оператор установил следующие условия прекращения обработки ПД:
- достижение целей обработки ПД и (или) максимальных сроков хранения ПД;
- утрата необходимости в достижении целей обработки ПД;
- выявление неправомерной обработки ПД;
- невозможность обеспечения правомерности обработки ПД;
- отзыв субъектом ПД согласия на обработку ПД;
- требование субъекта ПД к Оператору о прекращении обработки ПД;
- истечение сроков исковой давности;
- ликвидация или некоторые формы реорганизации Оператора.
5.2. При невозможности уничтожения ПД в сроки, определённые 152-ФЗ, Оператор осуществляет блокирование ПД и уничтожает ПД в течение 6 (шести) месяцев, если иной срок не установлен применимым законодательством.
5.3. Уничтожение ПД производится способом, исключающим возможность восстановления этих ПД. Если ПД невозможно уничтожить без повреждения их материального носителя, уничтожению подлежат и ПД, и их материальный носитель.
5.4. Подтверждение факта уничтожения ПД осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД.
6.Меры по надлежащей организации обработки и обеспечению безопасности ПД
6.1. Оператор при обработке ПД принимает все необходимые правовые, организационные и технические меры для их защиты. Обеспечение безопасности ПД достигается, в частности, следующими мерами:
- назначением лица, ответственного за организацию обработки ПД;
- изданием документов и локальных актов, определяющих политику Оператора в отношении обработки ПД;
- осуществлением внутреннего контроля и (или) аудита соответствия обработки ПД требованиям 152-ФЗ;
- осуществлением оценки вреда, который может быть причинён субъектам в случае нарушения требований применимого законодательства о ПД;
- ознакомлением и обучением лиц, привлечённых к обработке ПД;
- определением угроз безопасности ПД при их обработке в ИСПД;
- применением организационных и (или) технических мер по обеспечению безопасности ПД;
- применением прошедших в установленном порядке процедуру оценки соответствия СЗИ;
- оценкой эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию ИСПД;
- определением мест хранения материальных носителей ПД и обеспечением их сохранности;
- воспрещением объединения баз с ИСПД при обработке ПД в несовместимых между собой целях;
- обнаружением фактов несанкционированного доступа к ИСПД и принятием надлежащих мер;
- восстановлением ПД, модифицированных или уничтоженных вследствие несанкционированного доступа;
- установлением правил доступа к ПД, обрабатываемым в ИСПД;
- контролем за принимаемыми мерами по обеспечению безопасности ПД и уровня защищённости ИСПД;
- установлением и утверждением перечня лиц, привлечённых к обработке ПД;
- информированием лиц, допущенных к обработке ПД, о правилах осуществления такой обработки;
- организацией режима безопасности помещений, в которых осуществляется обработка ПД;
- уничтожением ПД способом, исключающим последующее восстановление;
- предоставлением доступа к содержанию электронного журнала сообщений ИСПД исключительно для должностных лиц Оператора;
- автоматической регистрацией изменений полномочий должностных лиц по доступу к ПД;
- созданием структурного подразделения Оператора, ответственного за обеспечение безопасности ПД в ИСПД.
6.2. Сведения о средствах (способах) обеспечения безопасности ПД при их обработке включают:
- формирование моделей актуальных угроз безопасности ПД;
- разработку на основе моделей угроз системы защиты ПД;
- установку и ввод в эксплуатацию СЗИ;
- обучение лиц, использующих СЗИ, правилам работы с ними;
- учёт применяемых СЗИ, эксплуатационной и технической документации к ним;
- учёт лиц, допущенных к работе с ПД, в том числе в ИСПД;
- контроль за соблюдением условий использования СЗИ;
- проведение служебных проверок и (или) внутренних расследований по фактам несоблюдения условий хранения ПД.
7.Права субъектов персональных данных
7.1. Субъект ПД имеет право на получение сведений об обработке его ПД Оператором.
7.2. Субъект ПД вправе требовать от Оператора уточнения этих ПД, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки.
7.3. Право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта ПД к его ПД нарушает права и законные интересы третьих лиц.
7.4. Субъект ПД вправе в любое время полностью или в какой-либо части отозвать ранее предоставленные Оператору согласия на обработку ПД и (или) обратиться к Оператору с требованием о прекращении обработки ПД, за исключением случаев, предусмотренных п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 152-ФЗ.
7.5. Для реализации и защиты своих прав и законных интересов субъект ПД или его представители имеют право обратиться к Оператору любым удобным и возможным для них способом, в том числе по электронной почте Call-center@sigma.spb.ru.
7.6. Оператор рассматривает любые обращения и жалобы со стороны субъектов ПД, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
7.7. Субъект ПД вправе обжаловать действия или бездействие Оператора путём обращения в уполномоченный орган по защите прав субъектов ПД.
7.8. Субъект ПД имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8.Лицо, ответственное за организацию обработки ПД
8.1. Права, обязанности и юридическая ответственность лица, ответственного за организацию обработки ПД, установлены ст. 22.1 152-ФЗ и локальными актами Оператора в сфере обработки и защиты ПД.
8.2. Назначение лица, ответственного за организацию обработки ПД, и его освобождение от указанных обязанностей осуществляется решением собрания учредителей Оператора.
8.3. Лицо, ответственное за организацию обработки ПД:
- организует осуществление внутреннего контроля над соблюдением Оператором применимого законодательства о ПД;
- обеспечивает доведение до сведения лиц, осуществляющих обработку ПД, положений применимого законодательства и локальных актов Оператора;
- осуществляет контроль над приёмом и обработкой обращений и запросов субъектов ПД или их представителей.
9.Порядок утверждения и внесения изменений в Политику
9.1. Политика утверждается и вводится в действие решением Оператора и действует до её отмены.
9.2. Оператор имеет право по мере необходимости вносить изменения в Политику. Изменения утверждаются решением Оператора. Изменённая редакция Политики публикуется на Сайте с указанием срока начала её действия.
9.3. Субъекты ПД обязуются самостоятельно отслеживать изменения. Посещение/использование Сайта субъектами ПД после начала действия изменённой редакции Политики означает ознакомление с её положениями.
9.4. Политика пересматривается по мере необходимости, но не реже одного раза в 3 (три) года с момента проведения предыдущего пересмотра.
9.5. Политика может пересматриваться ранее установленного срока по мере внесения изменений:
- в нормативном правовом регулировании обработки и защиты ПД в РФ;
- в иных локальных актах Оператора;
- в фактическом порядке организации Оператором обработки и защиты ПД;
- в деятельности и организационной структуре Оператора;
- во взаимоотношениях Оператора с субъектами ПД, контрагентами и иными лицами;
- по причинам и содержанию отклонений в соблюдении локальных актов Оператора;
- по причинам и содержанию выявленных (компьютерных) инцидентов ПД;
- по иным факторам, могущим существенным образом оказать негативное влияние на обработку и защиту ПД Оператором.
10.Ответственность
10.1. Учредители Оператора и участники его деятельности, а также иные лица, виновные в нарушении норм, регулирующих обработку и защиту ПД, несут ответственность, предусмотренную законодательством РФ.
11.Общие положения Уведомления
11.1. Во время посещения Сайта и использования его функционала возможен пассивный сбор и дальнейшая обработка технической информации пользовательских устройств с использованием различных технологий и способов. В этом Уведомлении описаны правила сбора и дальнейшей обработки технической информации применительно к Сайту.
11.2. Техническая информация (данные о пользовательских устройствах и об использовании Сайта) может быть получена Оператором с помощью различных методов, включая, но не ограничиваясь, такими как файлы cookies, веб-маяки, скрипты и иные инструменты отслеживания и таргетинга.
11.3. Оператор вправе изменять перечень используемых сторонних интернет-сервисов без уведомления в адрес Пользователя. Сторонние интернет-сервисы не осуществляют и не имеют возможности осуществлять сопоставление сведений, самостоятельно полученных ими в процессе посещения Сайта, с ПД, полученными Оператором.
11.4. Сбор технической информации и её дальнейшее использование может быть необходим для:
- обеспечения бесперебойного доступа к Сайту и использования функционала Сайта;
- обеспечения информационной безопасности при посещении Сайта;
- управления эффективностью и совершенствованием Сайта;
- персонализации пользовательского опыта;
- продуктивного взаимодействия Оператора с Пользователем и предоставления эффективной поддержки;
- осуществления аналитической и (или) маркетинговой (рекламной) деятельности.
11.5. Оператор не осуществляет:
- прямое или косвенное определение субъектов ПД с использованием технической информации или иных сведений;
- сопоставление (сравнение) и (или) объединение (связывание) технической информации с находящимися в распоряжении Оператора ПД;
- обработку технической информации для аналитических и маркетинговых (рекламных) целей;
- передачу технической информации сторонним интернет-сервисам.
11.6. Пользователи могут отказаться принимать аутентификационные файлы cookie Сайта, используя настройки своего Браузера. Однако это может привести к некоторым неудобствам при использовании Сайта.
11.8. Уведомление не регулирует порядок обработки и защиты ПД в отношении любых иных сайтов или веб-объектов, доступных через Сайт или на которые Сайт содержит ссылку.
12.Законность использования файлов cookie
12.1. Согласно применимому законодательству о ПД, для сохранения файлов cookie на пользовательские устройства необходимо иметь надлежащее разрешение, предоставив Пользователю понятную и полную информацию о том, как файлы cookie используются на Сайте.
12.2. С целью соблюдения требований применимого законодательства о ПД Оператор принял следующие меры:
- перечислил файлы cookie и другие технологии мониторинга, используемые на Сайте, объяснил цели их применения;
- проанализировал, насколько использование файлов cookie может воздействовать на права и интересы Пользователя;
- предоставил понятную и полную информацию о файлах cookie на Сайте;
- реализовал способы обеспечения правовых оснований для использования файлов cookie на Сайте.
13.Разрешения для использования файлов cookie
13.1. Получение явного разрешения Пользователя на использование файлов cookie представляет собой наиболее надёжный с юридической точки зрения механизм легализации, но может отрицательно сказываться на качестве взаимодействия Пользователя с Сайтом. В качестве альтернативы существуют способы получения неявного разрешения Пользователя.
13.2. Выбор способа обеспечения правовых оснований зависит от воздействия файла cookie на права и интересы Пользователя с учётом следующих факторов:
- кто предоставляет файл cookie (Оператор или третья сторона);
- какие именно данные собирает файл cookie;
- каким целям он служит;
- как долго он хранится;
- каков характер Сайта, через который предоставляется файл cookie.
13.3. Для файлов cookie, требующих получения разрешения Пользователя, используется трёхуровневый подход:
13.4. Файлы cookie, используемые на Сайте, характеризуются низкой или средней степенью воздействия на права и интересы Пользователя и могут использоваться на основе подразумеваемого разрешения. Оценка и анализ типов файлов cookie приведены в Приложении № 2 к Политике.
13.5. С учётом того, что Сайт может сохранять на пользовательских устройствах большое количество файлов cookie, эти файлы группируются по категориям (например, аналитические или маркетинговые), что упрощает информирование о них.
14.Порядок утверждения и внесения изменений
14.1. Уведомление утверждается и вводится в действие решением Оператора и действует до его отмены.
14.2. Оператор имеет право по мере необходимости вносить изменения в Уведомление. Изменения утверждаются решением Оператора. Изменённая редакция Уведомления публикуется на Сайте с указанием срока начала её действия.
Приложение № 1.Цели обработки персональных данных
- фамилия, имя
- контактные (коммуникационные) данные
- сведения о транспортном средстве
- сведения об информационном (коммуникационном) взаимодействии
- показатели взаимодействия с описанием продукции и (или) с информационными материалами
- показатели приобретения и использования продукции и (или) информационных материалов
- сведения о пользовательском устройстве
- сведения об особенностях ввода данных на пользовательском устройстве (без сохранения)
- сведения о веб-браузере пользователя
- сведения о посещении и использовании Интернет-ресурсов (Сайта)
- метаданные о различных объектах (файлах) и их содержимом
Права и (или) законные интересы оператора/третьих лиц (152-ФЗ: ст. 6 ч. 1 п. 7)
• в течение взаимодействия по предоставленным формам обратной связи;
• в течение использования функционала сайта.
- фамилия, имя, отчество
- контактные (коммуникационные) данные
- сведения о транспортном средстве
- сведения об информационном (коммуникационном) взаимодействии
- метрики взаимодействия с описанием продукции и (или) с информационными материалами
- метрики приобретения и использования продукции и (или) информационных материалов
- сведения о месте жительства и (или) пребывания