Политика конфиденциальности

«10» Августа 2018г.
Общество с ограниченной
ответственностью «Таксимер»
ИНН: 7813615998
ОГРН: 1187847205424

«Утверждаю»
Генеральный директор
ООО «ТАКСИМЕР»
Горловская М.С./
«10» Августа 2018 г.
м.п.

Положение о защите персональных данных пользователей

1. Термины и определения.

В настоящем Положении используются следующие основные понятия: Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Оператор – юридическое лицо (индивидуальный предприниматель), самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Агент (Оператор персональных данных) – ООО «ТАКСИМЕР» (далее по тексту также «Общество»), осуществляющее деятельность по сбору, обработке и передаче персональных данных пользователей от своего имени, но по поручению и за счет служб такси и служб каршеринга;

Служба такси (Оператор персональных данных) - юридическое лицо или индивидуальный предприниматель, осуществляющее (-ий) предпринимательскую деятельность в сфере предоставления услуг перевозки пассажиров и багажа легковым автомобильным транспортом (услуги такси);

Служба каршеринга (Оператор персональных данных) – юридическое лицо или индивидуальный предприниматель, осуществляющее (-ий) предпринимательскую деятельность в сфере предоставления автотранспортных средств в краткосрочную аренду без экипажа;

Пользователь (субъект персональных данных) – лицо, планирующее заказать у службы такси некий объем услуг по осуществлению перевозки пассажиров и багажа, либо заключить договор краткосрочной аренды со службой каршеринга;

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.


2. Общие положения

2.1. Настоящим Положением определяется порядок обработки персональных данных пользователей (субъектов персональных данных), являющихся пользователями сайта агента и потенциальными клиентами служб такси и каршеринга.

2.2. Обработка персональных данных пользователей (субъектов персональных данных) осуществляется исключительно в целях обеспечения нахождения пользователями необходимых им служб такси и/или служб каршеринга, на основе добровольного волеизъявления всех сторон взаимоотношений, выраженных через договоры между агентом и службами такси, с одной стороны, и анкеты пользователя – с другой.

2.3. В правоотношениях с пользователями операторами персональных данных выступают как агент, так и службы такси и каршеринга.

2.4. Цель данного Положения – определение порядка обработки и защиты персональных данных всех пользователей, являющихся посетителями сайта Общества, а также мобильных приложений Общества, данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

2.5. Персональные данные пользователей не могут быть использованы Агентом или его сотрудниками в целях причинения имущественного и морального вреда пользователям, затруднения реализации их прав и свобод.

2.6. Обработка персональных данных пользователей должна ограничиваться достижением законных, конкретных и заранее определенных при даче согласия пользователем приложения и/или сайта целей. Обработке подлежат только те персональные данные пользователей, и только в том объеме, которые отвечают целям их обработки, определенным в анкете пользователя/положении об обработке персональных данных Общества или в законодательстве Российской Федерации.

2.7. Обрабатываемые персональные данные пользователей подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

2.8. Настоящее Положение и изменения к нему утверждаются Генеральным директором Общества и вводятся приказом. Все сотрудники Общества должны быть ознакомлены под подпись с данным Положением и изменениями к нему. Настоящее Положение является обязательным для исполнения всеми сотрудниками Общества, имеющими доступ к персональным данным пользователей.

2.9. Общество, с целью обеспечения неограниченного доступа к настоящему Положению, определяющему политику Общества в отношении обработки персональных данных пользователей и в сфере реализуемых мер по защите персональных данных, размещает текст настоящего Положения на официальном сайте Общества.

2.10 Общество оставляет за собой право вносить необходимые изменения в Положение при изменении действующего законодательства РФ и условий своей деятельности.


3. Состав персональных данных пользователей – субъектов персональных данных

3.1. Состав персональных данных пользователей, обрабатываемых агентом.

3.1.1. Основная информация, предоставляемая пользователями агенту и необходимая для исполнения волеизъявления пользователей:
- фамилия, имя, отчество (при наличии) на русском языке;
- адрес электронной почты;
- контактный (мобильный) телефон;
- IMEI электронного устройства;
- cookie (в случае использования сайта агента).
Агент получает данные пользователей непосредственно из заполненных на сайте и/или в мобильном приложении Агента строк в личном кабинете пользователя.

4. Конфиденциальность персональных данных пользователей – субъектов персональных данных

4.1. Персональные данные пользователей, перечисленные в главе 3 настоящего Положения, являются конфиденциальными. Оператор обеспечивает конфиденциальность персональных данных пользователей, и обязан не допускать их распространения без согласия пользователей, либо наличия иного законного основания.

4.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных пользователей распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

5. Права и обязанности пользователей – субъектов персональных данных

5.1. Пользователь обязан передавать Оператору достаточные, достоверные персональные данные, полный состав которых установлен в анкете пользователя.

5.2. Пользователь при использовании приложений и сайта агента должен без неоправданной задержки сообщать агенту об изменении своих персональных данных.

5.3. Пользователь имеет право на получение сведений о службах такси и каршеринга, о месте их нахождения, о наличии у агента персональных данных, относящихся к пользователю, а также на ознакомление с такими персональными данными.

5.4. Пользователь имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных агентом и службами такси и каршеринга;
- правовые основания и цели обработки персональных данных; цели и применяемые оператором способы обработки персональных данных;
- сроки обработки персональных данных, в том числе сроки их хранения;
- информацию о предполагаемой трансграничной передаче персональных данных;
- наименование третьего лица или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по договору с Оператором;
- иные сведения, предусмотренные федеральными законами.

5.5. Пользователь вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5.6. Сведения о наличии персональных данных должны быть предоставлены пользователю в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

5.7. Доступ к своим персональным данным предоставляется пользователю или его законному представителю Оператором при обращении либо при получении запроса. Запрос должен содержать номер основного документа, удостоверяющего личность пользователя или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись пользователя или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством РФ.

5.8. Согласие на обработку персональных данных может быть отозвано пользователем, путём направления письменного уведомления в адрес Оператора. Уведомление должно содержать номер основного документа, удостоверяющего личность пользователя или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись пользователя или его законного представителя. Уведомление может быть направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством РФ.

5.9. Если пользователь считает, что агент осуществляет обработку его персональных данных с нарушением требований Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции) или иным образом нарушает его права и свободы, пользователь вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

5.10. Пользователь имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

6. Права и обязанности агента

6.1. Агент осуществляет обработку персональных пользователей только по нижеследующим основаниям:
- обработка персональных данных необходима для исполнения поручения пользователя, выгодоприобретателем по которому является пользователь, а также для заключения договора по инициативе пользователя или договора, по которому пользователь будет являться выгодоприобретателем;
- обработка персональных данных пользователей необходима для осуществления прав и законных интересов Оператора или иных третьих лиц при соблюдении условия, что при этом не нарушаются права и свободы пользователей;
- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен самим пользователем, либо по его поручению.

6.2. Оператор вправе поручить обработку персональных данных третьему лицу с согласия пользователя, на основании заключенного с этим третьим лицом договора. В этом случае Оператор должен, на договорной основе, обязать третье лицо, осуществляющее обработку персональных данных по поручению Оператора, соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции) и настоящим Положением.

6.3. При определении объема и содержания персональных данных пользователя, подлежащих обработке, Оператор обязан руководствоваться Федеральным законом №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции). Оператор получает персональные данные пользователя только в объеме, необходимом для достижения целей, указанных в пользователя.

6.4. Агент не имеет права получать и обрабатывать персональные данные пользователя о его судимости, политических, религиозных и иных убеждениях и частной жизни.

6.5. Агент не должен получать и обрабатывать персональные данные пользователя о его членстве в общественных объединениях или его профсоюзной деятельности, если только эти данные не связаны с задачами и требованиями пользователя по исполнению его поручения.

6.6. Агент не должен запрашивать информацию о состоянии здоровья пользователя, за исключением тех сведений, которые относятся к вопросу соответствия должности, на которую пользователь претендует у служб такси.

6.7. Агент осуществляет обработку персональных данных пользователей для достижения целей и поручений, данных непосредственно пользователем, в связи с чем пользователь предоставляет агенту право на:
- рассылку (носящую как информационный, так и рекламный характер) на адрес электронной почты Пользователя, посредством использования sms-сообщений и push-уведомлений. Пользователь имеет право в любой момент отказаться от данной рассылки.

7. Защита персональных данных пользователей – субъектов персональных данных

7.1. Защите подлежат следующие материальные объекты, содержащие персональные данные пользователей, если только с них на законном основании не снят режим конфиденциальности:
- документы, содержащие персональные данные пользователей;
- бумажные носители, содержащие персональные данные пользователей;
- информация, содержащая персональные данные пользователей, размещенная на электронных носителях.

7.2. Организацию защиты персональных данных пользователей осуществляет Оператор.

7.3. Оператор обеспечивает: ознакомление сотрудников под роспись с настоящим Положением; истребование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных пользователей и соблюдении правил их обработки; ознакомление сотрудников под роспись с приказами и внутренними локальными нормативными актами, регламентирующими обработку и защиту персональных данных Оператором.

7.4. Защита информационных систем Оператора, в которых обрабатываются персональные данные пользователей, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке, осуществляется в соответствии с Приказом ФСТЭК России №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013 г.

7.5. Доступ к персональным данным пользователей имеют сотрудники Оператора, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей, утверждаемого приказом генерального директора.

7.6. В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией генерального директора, доступ к персональным данным пользователей может быть предоставлен иному сотруднику, должность которого не включена в Перечень должностей сотрудников, имеющих доступ к персональным данным пользователей, и которым они необходимы в связи с исполнением трудовых обязанностей.

7.7. Процедура оформления доступа к персональным данным пользователей включает в себя: ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных пользователей, с данными актами также производится ознакомление под роспись; истребование с сотрудника (за исключением генерального директора) письменного обязательства о соблюдении конфиденциальности персональных данных пользователей и соблюдении правил их обработки.

7.8. Сотрудник Оператора, имеющий доступ к персональным данным пользователей в связи с исполнением трудовых обязанностей: обеспечивает хранение информации, содержащей персональные данные пользователей, исключающее доступ к ним третьих лиц; в отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные пользователей; при уходе в отпуск, во время служебной командировки и иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные пользователей лицу, на которое приказом генерального директора Оператора будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные пользователей, передаются другому сотруднику, имеющему доступ к персональным данным пользователей по указанию генерального директора Оператора.

7.9. При увольнении сотрудника, имеющего доступ к персональным данным пользователей, документы и иные носители, содержащие персональные данные пользователей, передаются другому сотруднику, имеющему доступ к персональным данным пользователей по указанию генерального директора Оператора.

7.10. Допуск к персональным данным пользователей других сотрудников Оператора, не имеющих надлежащим образом оформленного доступа, запрещается.

7.11. Документы, содержащие персональные данные пользователей, хранятся в запирающихся помещениях в шкафах, обеспечивающих защиту от несанкционированного доступа, куда они помещаются в конце рабочего дня.

7.12. Защита доступа к электронным носителям, содержащим персональные данные пользователей, обеспечивается, в том числе: организацией контроля доступа в помещения информационной системы посторонних лиц; использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный доступ к персональным данным; разграничением прав доступа с использованием учетной записи; использованием паролей; установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; учетом машинных носителей персональных данных; обнаружением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер; контролем эффективности принимаемых мер по обеспечению защищенности персональных данных.

7.13. Ответы на письменные запросы других организаций и учреждений о персональных данных пользователей даются только с письменного согласия самого пользователей или уполномоченных ими лиц, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Оператора, и в том объеме, который позволяет не разглашать излишний объем персональных данных пользователей.

8. Обработка персональных данных пользователей – субъектов персональных данных

8.1. Обработка персональных данных пользователей осуществляется Оператором исключительно для достижения целей, определенных соответствующим согласием при использовании сайта и/или мобильного приложения агента.

8.2. Обработка персональных данных Оператором в интересах пользователей заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа персональных данных пользователей.

8.3. Обработка персональных данных пользователей ведется смешанным методом, (в том числе автоматизированной) обработки.

8.4. К обработке персональных данных пользователей могут иметь доступ только сотрудники Оператора, допущенные к работе с персональными данными пользователей.

8.5. Согласие на обработку персональных данных может быть отозвано пользователем. В случае отзыва пользователем согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия пользователей при наличии следующих оснований:
обработка персональных данных необходима для исполнения поручения пользователя, выгодоприобретателем по которому является пользователь, а также для заключения договора по инициативе пользователя или договора, по которому пользователь будет являться выгодоприобретателем;
- обработка персональных данных пользователей необходима для осуществления прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы пользователей.

8.6. В случае отзыва пользователем согласия на обработку его персональных данных, Оператор обязан прекратить их обработку и обеспечить прекращение такой обработки другими лицами, в частности службой такси, а также уничтожить или обезличить персональные данные пользователя, обеспечить их уничтожение или обезличивание другим лицом, действующим по поручению Оператора.

9. Передача персональных данных пользователей – субъектов персональных данных

9.1. Передача персональных данных пользователей осуществляется Оператором исключительно для достижения целей, определенных соответствующей анкетой.

9.2. Передача персональных данных пользователей третьим лицам осуществляется Оператором только на основании соответствующего договора с третьим лицом, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных пользователей и безопасности персональных данных при их обработке.

9.3. Оператор в анкете с пользователем может указать на право третьих лиц, которым Оператор передает персональные данные пользователей, осуществлять трансграничную передачу персональных данных пользователей на территории иностранных государств, если это прямо необходимо для исполнения поручения пользователя.

10. Хранение и уничтожение персональных данных пользователей – субъектов персональных данных

10.1. Персональные данные пользователей могут храниться, как на бумажных носителях, так и в электронном виде.

10.2. Персональные данные пользователей хранятся:
- в подразделении Оператора, который принимает анкеты пользователей;
- в бухгалтерии Оператора (при наличии соответствующего подразделения);
- в юридическом отделе Оператора (при наличии соответствующего подразделения).

10.3. Персональные данные пользователей содержатся в следующих группах документов:
- анкета пользователя

10.4. Персональные данные пользователей на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специально отведенных шкафах в закрывающихся помещениях.

10.5. Ключи от помещений хранятся у сотрудников Оператора, допущенных к работе с персональными данными пользователей.

10.6. Персональные данные пользователей также хранятся в электронном виде: на машинных носителях, в электронных папках и файлах в ПК сотрудников Оператора, допущенных к работе с персональными данными пользователей.

10.7. После достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных пользователей и уничтожить их персональные данные.

10.8. Оператор уничтожает персональные данные пользователей, и обеспечивает их уничтожение другими лицами, действующими по поручению Оператора, по истечению 5 (пяти) лет после их предоставления в анкете, если иной срок не согласован конклюдентными действиями сторон.

11. Доступ к персональным данным пользователей – субъектов персональных данных

11.1. Право доступа к персональным данным пользователей имеют:
- генеральный директор Оператора;
- сотрудники Оператора, допущенные к обработке персональных данных пользователей в соответствии с Перечнем сотрудников Оператора, имеющих доступ к персональным данным пользователей;
- другие сотрудники Оператора при выполнении ими своих служебных обязанностей, при наличии соответствующего распоряжения генерального директора;
- пользователь как субъект персональных данных, или его законный представитель.

11.2. Перечень должностей сотрудников Оператора, имеющих доступ к персональным данным пользователя, определяется приказом генерального директора Оператора.

11.3. Доступ пользователей к своим персональным данным предоставляется при обращении либо при получении письменного запроса пользователя. При получении соответствующего письменного запроса, Оператор обязан в течение десяти дней с даты получения запроса сообщить пользователю информацию о наличии персональных данных о нем, и при необходимости предоставить возможность ознакомления с ними, либо в течение этого же срока дать мотивированный отказ в предоставлении информации.

11.4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

11.5. При передаче персональных данных пользователей Оператор должен соблюдать следующие требования:
- не сообщать персональные данные пользователей третьей стороне без письменного согласия пользователей, за исключением случаев, установленных федеральным законом;
- предупредить лиц, получающих персональные данные пользователей, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
- разрешать доступ к персональным данным пользователей только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные пользователей, которые необходимы для выполнения конкретных функций.

11.6. Согласия пользователей на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью пользователей, и когда третьи лица оказывают услуги Оператору на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением.

11.7. Оператор обеспечивает ведение журнала учета выданных персональных данных пользователей, в котором фиксируются сведения о лице, которому передавались персональные данные пользователей, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

12. Ответственность за разглашение информации, содержащей сведения о персональных данных пользователей – субъектов персональных данных

12.1. Оператор несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных пользователей. Оператор закрепляет персональную ответственность сотрудников за соблюдением установленного в организации режима конфиденциальности.

12.2. Генеральный директор Оператора несет ответственность за соблюдение сотрудниками норм, регламентирующих получение, обработку и защиту персональных данных пользователей.

12.3. Каждый сотрудник Оператора, получающий для работы документ, содержащий персональные данные пользователей, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

12.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных пользователей, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

12.5. За неисполнение или ненадлежащее исполнение сотрудником по его вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных пользователей, Оператор вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.

12.6. Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные пользователей, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.

13. Законы и нормативные акты, на основании которых разработано настоящее Положение

Федеральный закон №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции). Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации» Постановление Правительства РФ №687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 г. Постановление Правительства РФ №1119. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 г. Указ Президента Российской Федерации №188 «Об утверждении Перечня сведений конфиденциального характера» от 6 марта 1997 года. Приказ ФСТЭЛ №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от «18» февраля 2013 г.; Приказ ФСБ России №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации...» от «10» июля 2014 г.

«Утверждаю»
Генеральный директор
ООО «ТАКСИМЕР»
Горловская М.С./
«10» Августа 2018 г.
м.п.

ПЕРЕЧЕНЬ обрабатываемых персональных данных пользователей

1. Перечень персональных данных пользователей, обрабатываемых с использованием средств автоматизации (в ИСПДн):

- фамилия, имя, отчество (при наличии) на русском языке; - адрес электронной почты; - контактный (мобильный) телефон; - IMEI электронного устройства - Cookie (в случае использования сайта Организации).

2. Сведения о персональных данных пользователей содержатся в личном кабинете, который создается непосредственно пользователем с использованием адреса электронной почты и/или номера мобильного телефона в мобильном приложении и/или на сайте Организации.

Обоснованием для обработки персональных данных посетителей сайта Организации является Федеральный закон №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции).



«Утверждаю»
Генеральный директор
ООО «ТАКСИМЕР»
Горловская М.С./
«10» Августа 2018 г.
м.п.

«ПОЛИТИКА В ОТНОШЕНИИ ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ»

1. Общие положения.

1.1.Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с п.2 статьи 18.1 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г., а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – Данные), которые Организация (далее – Оператор, Общество) может получить от субъекта персональных данных (пользователя), заполнившего раздел о персональных данных пользователя в мобильном приложении Оператора, либо на его сайте, а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работник).

1.2.Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г.

1.3.Оператор находится по адресу: Санкт-Петербург, Малый проспект Петроградской стороны, д. 5, лит. Б, офис 403

1.4.Изменение Политики.

1.4.1.Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция.

1.4.2.Политика вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.

2. Термины и принятые сокращения.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). Такой информацией, в частности, являются фамилия, имя, отчество, год, месяц, дата рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иные сведения, относящиеся к субъекту персональных данных.

Оператор – юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных– совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Общедоступные персональные данные– персональные данные, размещённые субъектом персональных данных в общедоступных источниках персональных данных (в том числе справочниках, адресных книгах), доступ к которым предоставлен неограниченному кругу лиц, либо персональные данные, размещённые в общедоступных источниках персональных данных на основании письменного согласия субъекта персональных данных.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данныхданных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Трансграничная передача персональных данныхданных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Обработка персональных данных

3.1. Получение персональных данных.

3.1.1. Получение персональных данных, за исключением общедоступных персональных данных, осуществляется Оператором непосредственно у субъектов персональных данных, либо лиц, имеющих надлежащим образом оформленные полномочия представлять интересы субъектов персональных данных при персональных данных Оператору. Если персональные данные субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено письменное согласие.

3.1.2. При получении персональных данных, Оператор обязан сообщить субъекту персональных данных: - о целях получения Оператором персональных данных; - о перечне персональных данных, запрашиваемых Оператором; - о перечне действий, которые Оператор намерен совершать с персональными данными; - о сроке, в течение которого действует согласие субъекта персональных данных на обработку персональных данных; - о порядок отзыва согласия на обработку персональных данных; - о последствиях отказа субъекта персональных данных предоставить Оператору согласие на получение и обработку персональных данных.

3.1.3. Документы, содержащие персональные данные, создаются путем: - копирования оригиналов документов (паспорта гражданина РФ, документа об образовании, свидетельства ИНН, пенсионного свидетельства, СНИЛС и др.); - внесения сведений в учетные формы; - иными методами.

3.2. Обработка ПД.

3.2.1. Обработка персональных данных осуществляется Оператором с соблюдением принципов и правил, предусмотренных 152-ФЗ «О персональных данных» от 27 июля 2006 г., в следующих случаях: - с согласия субъекта персональных данных на обработку его персональных данных; - обработка персональных данных необходима для исполнения поручения по поиску служб такси и каршеринга, осуществляемого в соответствии с пользовательским соглашением. 3.2.1. Обработка персональных данных осуществляется Оператором с соблюдением принципов и правил, предусмотренных 152-ФЗ «О персональных данных» от 27 июля 2006 г., в следующих случаях: - с согласия субъекта персональных данных на обработку его персональных данных; - обработка персональных данных необходима для исполнения поручения по поиску служб такси и каршеринга, осуществляемого в соответствии с пользовательским соглашением.

3.2.2. Цели обработки персональных данных: - осуществление гражданско-правовых отношений, в том числе связанных с исполнением обязательств в рамках пользовательского соглашения.

3.2.3. Категории субъектов персональных данных, персональные данные которых обрабатываются Оператором: - пользователь – физическое лицо, осуществляющее поиск служб такси или сдужб каршеринга для удовлетворения потребности пользователя в оказании ему или третьим лицам услуг перевозки пассажиров и багажа, либо услуг краткосрочной аренды транспортных средств без экипажа; - физические лица, состоящие с Обществом в трудовых отношениях; - физические лица, уволившиеся из Общества; - физические лица, являющиеся кандидатами на работу; - физические лица, состоящие с Обществом в гражданско-правовых отношениях.

3.2.4. Персональные данные, обрабатываемые Оператором: - персональные данные пользователя в объеме, необходимом для осуществления пользователем поиска служб такси и каршеринга; - данные, полученные в рамках исполнения обязательств по трудовым договорам; - данные, полученные в целях отбора кандидатов на работу; - данные, полученные при заключении гражданско-правовых договоров и использованные в рамках исполнения обязательств по заключённым договорам.

3.2.5. Обработка персональных данных ведется: - с использованием средств автоматизации; - без использования средств автоматизации.

3.3. Хранение персональных данных.

3.3.1. Персональные данные субъектов персональных данных могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.

3.3.2. Персональные данные субъектов персональных данных, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

3.3.3. Персональные данные субъектов персональных данных, обрабатываемые с использованием средств автоматизации, обрабатываются и хранятся с соблюдением требований, установленных Постановлением Правительства РФ №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 г.

3.3.4. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в информационных системах персональных данных.

3.3.5. Хранение персональных данных в форме, позволяющей определить субъект персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.4. Уничтожение персональных данных.

3.4.1. Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

3.4.2. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.

3.4.3. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей.

3.5. Передача персональных данных.

3.5.1. Оператор передает персональные данные третьим лицам в следующих случаях: - от субъекта персональных данных получено письменное субъект согласие на такие действия; - передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.

3.5.2. Перечень лиц, которым передаются персональные данные.

3.5.2.1. Третьи лица, которым передаются персональные данные в рамках исполнения обязательств, возложенных поручением пользователя: - службы такси; - службы каршеринга. Трансграничная передача персональных данных осуществляется с учётом требований, установленных ст.12 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г.

3.5.2.2. Третьи лица, которым передаются персональные данные в рамках исполнения обязательств, связанных с трудовыми отношениями: - Пенсионный фонд РФ для учета (на законных основаниях); - налоговые органы РФ (на законных основаниях); - Фонд социального страхования РФ (на законных основаниях); - территориальный фонд обязательного медицинского страхования (на законных основаниях); - страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях); - банки для начисления заработной платы (на основании договора); - органы МВД России в случаях, установленных законодательством.

4. Защита персональных данных

4.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных, состоящая из подсистем правовой, организационной и технической защиты.

4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование систем защиты персональных данных.

4.3. Подсистема организационной защиты включает в себя организацию структуры управления систем защиты персональных данных, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.

4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.

4.5. Основными мерами защиты персональных данных, используемыми Оператором, являются:

4.5.1. Назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите персональных данных.

4.5.2. Определение актуальных угроз безопасности персональным данным при их обработке в информационных системах персональных данных и разработка мер и мероприятий по защите персональных данных.

4.5.3. Разработка политики в отношении обработки персональных данных.

4.5.4. Установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных.

4.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.

4.5.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

4.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

4.5.8. Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.

4.5.9. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.

4.5.10. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

4.5.11. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.

4.5.12. Осуществление внутреннего контроля и аудита.

5. Основные права субъекта персональных данных и обязанности Оператора

5.1. Основные права субъекта персональных данных.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
5.2. Обязанности Оператора.
Оператор обязан:
1) при обращении субъекта персональных данных, предоставить информацию об обработке персональных данных;
2) в случаях если персональные данные были получены не от субъекта персональных данных, уведомить субъект персональных данных о факте получения персональных данных Оператором;
3) при отказе в предоставлении персональных данных, разъяснить субъекту персональных данных последствия такого отказа;
4) опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику Оператора в отношении обработки персональных данных;
5) принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
6) давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.