Положение об обработке персональных данных

1. Общие положения

1.1. Настоящее Положение об обработке персональных данных (далее — «Положение») является внутренним нормативным документом [LEGAL_ENTITY_NAME] (далее — «Оператор») и разработано во исполнение обязанности, предусмотренной ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ»).

1.2. Положение определяет политики, принципы и процедуры обработки персональных данных в рамках деятельности Оператора по предоставлению агрегаторской платформы внедорожных услуг 4×4× (сайт 4x4x.ru).

1.3. Все сотрудники, подрядчики и иные лица, допущенные к обработке персональных данных, обязаны руководствоваться настоящим Положением.

1.4. Публичным документом, информирующим субъектов персональных данных об их правах и порядке обработки данных, является Политика конфиденциальности, размещённая по адресу /legal/privacy-policy.html. Настоящее Положение является более детальным внутренним регламентом.

2. Нормативные ссылки

2.1. Настоящее Положение разработано в соответствии со следующими нормативными правовыми актами:

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (с последующими изменениями);
• Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (ПП-1119);
• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (Приказ ФСТЭК № 21);
• Приказ Роскомнадзора от 28.10.2022 № 180 «Об утверждении требований к содержанию согласия на обработку персональных данных» (при применимости);
• Гражданский кодекс Российской Федерации (в части сроков исковой давности).

3. Оператор персональных данных

3.1. Оператор зарегистрирован в реестре операторов персональных данных Роскомнадзора. Сведения об уведомлении доступны на сайте Роскомнадзора.

4. Ответственное лицо

4.1. Ответственным за организацию обработки персональных данных назначается: [PLACEHOLDER: ФИО ответственного лица, должность], назначенный(ая) приказом № [PLACEHOLDER: номер приказа] от [PLACEHOLDER: дата приказа].

4.2. В обязанности ответственного лица входят:

• организация и контроль соблюдения настоящего Положения и требований 152-ФЗ;
• обеспечение ознакомления сотрудников с требованиями в области защиты персональных данных;
• рассмотрение обращений субъектов персональных данных и формирование ответов в установленные законом сроки;
• взаимодействие с Роскомнадзором, в том числе при проведении проверок;
• обеспечение актуальности внутренних нормативных документов;
• организация расследования инцидентов, связанных с нарушением безопасности персональных данных, и уведомление Роскомнадзора в случаях, предусмотренных законодательством.

5. Категории субъектов и обрабатываемые данные

5.1. Оператор обрабатывает персональные данные следующих категорий субъектов:

Категория субъектов	Состав персональных данных	Правовое основание	Срок хранения
Пользователи платформы (заказчики услуг)	Имя (псевдоним), номер телефона, геолокация при подаче заявки, комментарий к заявке, история заявок	Согласие субъекта (ст. 9 152-ФЗ) + исполнение договора (ст. 6 ч. 1 п. 5 152-ФЗ)	30 дней с момента исполнения или отмены заявки
Исполнители (водители, организаторы)	Фамилия, имя, отчество, ИНН (для ИП/самозанятых), статус верификации, реквизиты водительского удостоверения, контактные данные, сведения о транспортном средстве	Исполнение договора (оферты исполнителя) (ст. 6 ч. 1 п. 5 152-ФЗ)	Срок действия договора (оферты) + 3 года (срок исковой давности)
Участники мероприятий	Фамилия, имя, отчество, номер телефона, подтверждение об отсутствии противопоказаний по состоянию здоровья (без сбора медицинской документации)	Согласие субъекта (ст. 9 152-ФЗ)	30 дней (данные заявки) + 3 года (лог подписания вейвера)
Сотрудники оператора	Кадровые данные в объёме, предусмотренном трудовым законодательством	Трудовой договор и трудовое законодательство РФ	В соответствии с требованиями трудового и архивного законодательства

5.2. Оператор не обрабатывает специальные категории персональных данных (раса, национальность, политические взгляды, религиозные убеждения, состояние здоровья, биометрические данные) за исключением упомянутого в строке «Участники мероприятий» подтверждения — которое не является медицинскими данными в смысле 152-ФЗ, поскольку представляет собой лишь самодекларацию субъекта.

6. Права субъектов персональных данных

6.1. В соответствии с 152-ФЗ каждый субъект персональных данных вправе:

• Получить информацию об обработке своих персональных данных (ст. 14 152-ФЗ);
• Потребовать уточнения неточных, неполных или устаревших данных (ст. 14 ч. 1 п. 3 152-ФЗ);
• Потребовать удаления данных при наличии законных оснований (ст. 14 ч. 1 п. 5 152-ФЗ);
• Отозвать согласие на обработку данных, предоставленное на основании согласия (ст. 9 ч. 2 152-ФЗ);
• Обжаловать действия оператора в Роскомнадзоре или в суде.

6.2. Обращения субъектов рассматриваются в течение 10 (десяти) рабочих дней с момента получения. В исключительных случаях, требующих дополнительного изучения, срок может быть продлён до 30 рабочих дней с уведомлением субъекта.

6.3. Обращения направляются по электронной почте: [DATA_PROTECTION_EMAIL].

7. Меры защиты персональных данных

7.1. Организационные меры

• разграничение прав доступа к персональным данным по принципу минимально необходимых привилегий;
• включение обязательства о неразглашении персональных данных в трудовые договоры и соглашения с подрядчиками;
• ознакомление сотрудников с требованиями в области защиты персональных данных при приёме на работу и не реже одного раза в год;
• ведение журнала доступа к персональным данным;
• процедура реагирования на инциденты нарушения безопасности персональных данных;
• контроль деятельности поручителей обработки персональных данных (третьих лиц, которым поручена обработка).

7.2. Технические меры

• шифрование персональных данных при хранении (AES-256) и при передаче (TLS 1.2/1.3);
• журналирование доступа к базам данных, содержащим персональные данные;
• парольная политика: минимальная длина 12 символов, обязательное использование букв, цифр и специальных символов;
• двухфакторная аутентификация для административного доступа к системам обработки персональных данных;
• ежедневное резервное копирование с хранением копий в зашифрованном виде;
• межсетевое экранирование, защита от несанкционированного доступа;
• антивирусная защита на рабочих станциях сотрудников;
• своевременное применение обновлений безопасности к программному обеспечению.

7.3. Уровень защищённости информационной системы персональных данных определяется в соответствии с ПП-1119 исходя из категорий и объёма обрабатываемых данных. Организационные и технические меры реализуются в соответствии с применимым уровнем защищённости согласно Приказу ФСТЭК № 21.

8. Трансграничная передача

8.1. Оператор не осуществляет трансграничную передачу персональных данных. Все персональные данные, обрабатываемые платформой 4×4×, хранятся и обрабатываются исключительно на серверах, расположенных на территории Российской Федерации, в соответствии с требованием ст. 18 152-ФЗ.

8.2. В случае необходимости осуществления трансграничной передачи данных в будущем соответствующая процедура будет реализована с соблюдением требований ст. 12 152-ФЗ.

9. Уничтожение персональных данных

9.1. Уничтожение персональных данных производится в следующих случаях: (а) истечение установленного срока хранения; (б) получение требования субъекта об удалении данных при наличии законных оснований; (в) отзыв согласия на обработку при отсутствии иного правового основания; (г) достижение цели обработки.

9.2. Процедура уничтожения данных:

1. Получение основания для уничтожения (автоматическое по расписанию или запрос субъекта).
2. Верификация наличия оснований и отсутствия ограничений на удаление (судебное удержание, иное правовое основание).
3. Удаление данных из активной базы данных.
4. Удаление данных из систем резервного копирования в течение 30 дней после планового цикла резервного копирования.
5. Составление акта об уничтожении персональных данных с указанием: перечня уничтоженных данных, правового основания, даты и ответственного лица.

9.3. Уничтожение персональных данных производится методом, исключающим их восстановление: безвозвратное удаление из СУБД с последующей перезаписью соответствующих блоков хранилища данных (при технической возможности) либо иным надёжным методом.

10. Ответственность

10.1. Нарушение требований настоящего Положения сотрудниками оператора влечёт применение мер дисциплинарной ответственности в соответствии с трудовым законодательством Российской Федерации вплоть до расторжения трудового договора.

10.2. При наличии в действиях (бездействии) сотрудника признаков административного правонарушения или уголовного преступления материалы передаются в компетентные органы.

10.3. Оператор несёт ответственность за ненадлежащую обработку персональных данных в соответствии с действующим законодательством Российской Федерации.

11. Пересмотр Положения

11.1. Настоящее Положение пересматривается не реже одного раза в год, а также при:

• изменении требований применимого законодательства;
• существенном изменении состава обрабатываемых данных или целей обработки;
• серьёзном инциденте нарушения безопасности персональных данных;
• предписании надзорного органа.