1.1. Настоящая Политика действует в отношении всей информации, которую сайт collector-bmw.ru может получить на законном основании о субъекте персональных данных в том числе, во время использования сайта collector-bmw.ru, программ и продуктов сайта.
1.2. В настоящей Политике используются следующие термины:
1.3. Основные права и обязанности Оператора и субъекта персональных данных.
1.3.1. Обязанности Оператора:
1.3.2. Права субъекта персональных данных:
Субъект персональных данных имеет право на доступ к его персональным данным и следующим сведениям:
4.1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом. Обработка персональных данных допускается в следующих случаях:
4.2. К категориям субъектов персональных данных относятся:
4.3. Оператор обрабатывает следующие персональные данные:
4.4. К перечню данных, обрабатываемых оператором относятся:
5.1. Обработка персональных данных осуществляется оператором в соответствии с требованиями законодательства Российской Федерации.
5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
5.3. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
5.4. К обработке персональных данных допускаются работники оператора, в должностные обязанности которых входит обработка персональных данных.
5.5. Обработка персональных данных осуществляется путем:
5.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.8. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
5.9. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
5.10. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети интернет, оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Федеральном законе.
5.11. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
5.12. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
5.13. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
5.14. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах.
5.15. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
5.16. Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
5.17. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
5.18. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей.
7.1. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных действующим законодательством.
7.2. Основными мерами защиты персональных данных, используемыми оператором, являются:
7.2.1. Назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите персональных данных.
7.2.2. Издание оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
7.2.3. Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных.
7.2.4. Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных действующему законодательству, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.
7.2.5. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения действующего законодательства, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, действующим законодательством.
7.2.6. Ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
7.3. Оператор опубликовал на сайте collector-bmw.ru документ, определяющий его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
7.4. По запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан представить документы и локальные акты и (или) иным образом подтвердить принятие названных мер.
7.5. Оператор при обработке персональных принимает необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7.6. Основными мерами обеспечения безопасности персональных данных, используемыми оператором, являются:
7.6.1. Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
7.6.2. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
7.6.3. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
7.6.4. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
7.6.5. Учет машинных носителей персональных данных;
7.6.6. Обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
7.6.7. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
7.6.8. Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
7.6.9. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
7.7. Оператор осуществляет взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.