УТВЕРЖДЕНО
Приказом генерального директора
ООО «КАРЛОСОН»
от 30 мая 2025 г. № 7

ПОЛИТИКА
в отношении обработки персональных данных
ООО «КАРЛОСОН»

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая политика обработки персональных данных (далее – Политика) разработана в соответствии с требованиями Федерального закона от 27.07.2006. № 152-ФЗ «О персональных данных» (далее – Закон №152-ФЗ), иных нормативных правовых актов РФ в области персональных данных, и определяет в ООО «КАРЛОСОН» (далее – Оператор или Общество) основные принципы, цели, условия, способы обработки персональных данных, перечень субъектов персональных данных и их права, функции при обработке персональных данных, а также реализуемые Оператором требования к защите персональных данных.

1.2. Целью настоящей Политики является обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайны, а также соблюдение требований действующего законодательства.

1.3. Условия Политики распространяются на персональные данные, полученные Оператором как до, так и после утверждения настоящей Политики.

1.4. Во исполнение требований ч. 2 ст. 18.1 Закона № 152-ФЗ, Политика публикуется в свободном доступе на сайте и в мобильном приложении Оператора.

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

2.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.2. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.3. Субъект персональных данных (далее - Субъект ПД) – любое физическое лицо (работники, клиенты, партнеры, контрагенты и их представители) имевшее, имеющее или намеревающееся иметь договорные отношения с Обществом, в том числе посетители и пользователи сайта и/или мобильного приложения Оператора.

2.4. Обработка персональных данных (далее - Обработка ПД) – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.5. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.6. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.7. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.8. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.9. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и/или уничтожаются материальные носители персональных данных.

2.10. Обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных.

2.11. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.12. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

2.13. Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека (дактилоскопическая информация, сканы радужки глаз, анализ ДНК, фото-видео изображение лица человека, ауди-видео запись голоса), на основании которых можно установить его личность и которые используются Оператором для идентификации личности субъекта персональных данных.

2.14. Сайт оператора (далее – Сайт) – официальный сайт Оператора в информационно телекоммуникационной сети Интернет, находящийся по сетевому адресу: https://carloson.ru.

2.15. Мобильное приложение оператора (далее - Приложение) – программное обеспечение Оператора, предназначенное для установки и использования в мобильных устройствах, на базе операционных систем iOS и/или Android.

2.16. Cookies - это небольшой фрагмент данных, который Сайт запрашивает у браузера, используемого на компьютере или мобильном устройстве Посетителя. Cookies отражают предпочтения Посетителя или его действия на Сайте, а также сведения об его оборудовании, дате и времени сессии. Сookies хранятся локально на компьютере или мобильном устройстве Посетителя. Посетитель может удалить сохраненные Сookies в настройках соответствующего браузера.

3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.

3.2. Политика обработки персональных данных в Обществе определяется в соответствии со следующими нормативными правовыми актами:

• Трудовым кодексом Российской Федерации;

• Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

• Указом Президента РФ от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;

• Постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

• Постановлением Правительства РФ от 06 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

• Постановлением Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

• Приказом ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

• Приказом Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

• иными нормативными правовыми актами РФ и нормативными документами уполномоченных органов государственной власти.

4. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка персональных данных Оператором осуществляется на основе следующих принципов:

• обработка персональных данных осуществляется на законной и справедливой основе;
• обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается Обработка ПД, несовместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только те персональные данные, которые отвечают целям их обработки;
• содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
• при обработке персональных данных обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Принимаются необходимые меры, либо обеспечивается их принятие по удалению или уточнению неполных или неточных данных;
• хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• обрабатываемые персональные данные уничтожаются, либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ;
• а также иных принципов, предусмотренных действующим законодательством РФ.

4.2. Общество в своей деятельности исходит из того, что субъект персональных данных предоставляет точную и достоверную информацию о себе, во время взаимодействия с Обществом, извещает его представителей об изменении своих персональных данных.

4.3. Обществом определяется для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы и сроки их обработки, хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.

5. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Общество осуществляет обработку персональных данных в следующих целях:

• обеспечения соблюдения Конституции РФ, законодательных и иных нормативных правовых актов РФ, локальных нормативных актов Оператора;
• осуществления функций, полномочий и обязанностей, возложенных законодательством РФ на Общество, в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд РФ, в Фонд социального страхования РФ, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
• регулирования трудовых отношений с работниками (соискателями) Оператора (привлечение, отбор, содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
• подготовки, заключения, исполнения и прекращения гражданско-правовых договоров с клиентами, партнерами и иными контрагентами Оператора;
• обеспечения пропускного режима работников и посетителей на объектах Общества;
• формирования справочной базы для внутреннего информационного обеспечения деятельности Общества;
• предоставления Субъектам ПД информационных и рекламных рассылок;
• обеспечение полноценного и корректного функционирования Сайта и Приложения Общества (хранение настроек, проведение аналитических, статистических и иных видов исследований);
• осуществления прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Оператора, либо достижения общественно значимых целей;
• исполнения судебных актов и актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством РФ;
• осуществления иных действий, предусмотренных действующим законодательством РФ или внутренними политиками Общества.

6. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. К категориям субъектов персональных данных относятся:

6.1.1. Лица, состоящие в трудовых отношениях с Оператором, в том числе уволившиеся.

Перечень обрабатываемых персональных данных: фамилия, имя, отчество (в том числе прежние фамилии, имена, отчества, в случае их изменения, а также вид документа, подтверждающего такое изменение, его серия, номер, дата выдачи, орган выдачи); дата и место рождения; данные документа, удостоверяющего личность (серия, номер, дата выдачи, орган выдачи, код подразделения); гражданство; пол; адрес регистрации и адрес фактического места проживания; номер телефона (домашний, мобильный, рабочий); адрес личной электронной почты (e-mail); ИНН; СНИЛС; реквизиты расчетного счета и/или банковской карты (при наличии); сведения об образовании и квалификации, о повышении квалификации, о профессиональной подготовке (переподготовке); сведения о трудовой деятельности и стаже (о местах работы, датах приема и увольнения, занимаемых должностях и видах осуществляемых работ на них, в том числе на государственной службе), а также данные трудовой книжки (вкладыша в трудовую книжку); сведения о наградах, поощрениях, почетных званиях; сведения о замещаемой должности; сведения о доходах; сведения о семейном положении (состояние в браке, состав семьи), а также реквизиты свидетельств о заключении/расторжении брака, о рождении детей; сведения о воинском учете, отношении к воинской обязанности, а также сведения, содержащиеся в документах воинского учета; сведения о владении иностранными языками и языками народов РФ; сведения о водительском удостоверении и стаже вождения; сведения о наличии или отсутствии судимости; фотоизображения; сведения о состоянии здоровья (наличие, либо отсутствие заболевания, препятствующего выполнению обязанностей на замещаемой должности, в том числе категории инвалидности) и данные соответствующих медицинских заключений установленной формы; для иностранных граждан сведения, указанные в миграционных документах (вид на жительство, разрешение на временное проживание, патент на работу и другие документы, подтверждающие право иностранного гражданина находиться и осуществлять деятельность на территории РФ), необходимые для подтверждения легальности пребывания и осуществления трудовой деятельности; иные сведения, представляемые субъектом персональных данных по собственной инициативе, которые соответствуют заявленным в п. 5 настоящей Политики целям обработки персональных данных и относятся непосредственно к должностным обязанностям, профессиональному развитию, обучению или иным аспектам взаимодействия с Обществом.

6.1.2. Лица, являющиеся кандидатами на трудоустройство к Оператору (соискатели).

Перечень обрабатываемых персональных данных: фамилия, имя, отчество (в том числе прежние фамилии, имена, отчества, в случае их изменения, а также вид документа, подтверждающего такое изменение, его серия, номер, дата выдачи, орган выдачи); дата и место рождения; данные документа, удостоверяющего личность (серия, номер, дата выдачи, орган выдачи, код подразделения); гражданство; пол; адрес регистрации и адрес фактического места проживания; номер телефона (домашний, мобильный, рабочий); адрес личной электронной почты (e-mail); ИНН; СНИЛС; сведения об образовании и квалификации, о повышении квалификации, о профессиональной подготовке (переподготовке); сведения о трудовой деятельности и стаже (о местах работы, датах приема и увольнения, занимаемых должностях и видах осуществляемых работ на них, в том числе на государственной службе), а также данные трудовой книжки (вкладыша в трудовую книжку); сведения о наградах, поощрениях, почетных званиях; сведения о семейном положении (состояние в браке, состав семьи); сведения о воинском учете, отношении к воинской обязанности, а также сведения, содержащиеся в документах воинского учета; сведения о владении иностранными языками и языками народов РФ; сведения о водительском удостоверении и стаже вождения; сведения о наличии или отсутствии судимости; фотоизображения; для иностранных граждан сведения, указанные в миграционных документах (вид на жительство, разрешение на временное проживание, патент на работу и другие документы, подтверждающие право иностранного гражданина находиться и осуществлять деятельность на территории РФ), необходимые для подтверждения легальности пребывания и осуществления трудовой деятельности; иные сведения, представляемые субъектом персональных данных по собственной инициативе, которые соответствуют заявленным в п. 5 настоящей Политики целям обработки персональных данных и относятся непосредственно к должностным обязанностям, профессиональному развитию, обучению или иным аспектам взаимодействия с Обществом.

6.1.3. Физические лица (индивидуальные предприниматели, самозанятые), являющиеся клиентами, партнерами и контрагентами Оператора, либо намеревающиеся стать таковыми.

Перечень обрабатываемых персональных данных: фамилия, имя, отчество; дата и место рождения; данные документа, удостоверяющего личность (серия, номер, дата выдачи, орган выдачи, код подразделения); гражданство; пол; адрес регистрации и адрес фактического места проживания; номер телефона (домашний, мобильный, рабочий); адрес личной электронной почты (e-mail); реквизиты расчетного счета и/или банковской карты; сведения о водительском удостоверении и стаже вождения; сведения о постановке на учет в качестве плательщика налога на профессиональный доход или присвоении статуса Индивидуального предпринимателя (если применимо); ИНН; СНИЛС, ОГРНИП (если применимо); для иностранных граждан сведения, указанные в миграционных документах (вид на жительство, разрешение на временное проживание, патент на работу и другие документы, подтверждающие право иностранного гражданина находиться и осуществлять деятельность на территории РФ), необходимые для подтверждения легальности пребывания и осуществления трудовой деятельности; иные сведения, представляемые субъектом персональных данных по собственной инициативе, которые соответствуют заявленным в п. 5 настоящей Политики целям обработки персональных данных и имеют непосредственное отношение к определенному виду гражданско-правового договора, заключаемого с Обществом.

6.1.4. Физические лица, являющиеся законными представителями действующих и потенциальных клиентов, партнеров и контрагентов Оператора.

Перечень обрабатываемых персональных данных: фамилия, имя, отчество; дата и место рождения; данные документа, удостоверяющего личность (серия, номер, дата выдачи, орган выдачи, код подразделения); гражданство; адрес регистрации; номер телефона (мобильный, рабочий); адрес электронной почты (e-mail); место работы и замещаемая должность; сведения о водительском удостоверении и стаже вождения; иные сведения, представляемые субъектом персональных данных по собственной инициативе, которые соответствуют заявленным в п. 5 настоящей Политики целям обработки персональных данных и имеют непосредственное отношение к определенному виду гражданско-правового договора, заключаемого с Обществом.

6.1.5. Лица, являющиеся посетителями и пользователями Сайта и/или Приложения Оператора.

Перечень обрабатываемых персональных данных: фамилия, имя, отчество; номер мобильного телефона; адрес электронной почты (e-mail); данные документа, удостоверяющего личность (серия, номер, дата выдачи, орган выдачи, код подразделения); сведения о водительском удостоверении; реквизиты банковской карты; файлы cookie; IP-адреса; метаданные сеанса взаимодействия с сайтом/мобильным приложением Оператора; данные о точном местонахождении и параметрах движения Пользователя, полученные от GPS устройства; данные о приблизительном местонахождении, определенные по активной частоте оператора связи, sim-карта которого в данный момент используется в мобильном устройстве Субъекта ПД; сведения об устройстве Субъекта ПД; сведения об обращении Субъекта ПД к Оператору и рассмотрении обращений, включая записи переговоров со службой поддержки или иными представителями Общества.

6.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.

6.3. Обработка биометрических персональных данных Оператором допускается только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 11 Закон №152-ФЗ.

6.4. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, может осуществляться Оператором на основании отдельного согласия, полученного непосредственно от Субъекта ПД, и с соблюдением установленных Субъектом ПД запретов на передачу (кроме предоставления доступа) этих персональных данных неограниченному кругу лиц, а также запретов на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.

7. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Обработка персональных данных Оператором осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

7.2. Обработка персональных данных в Обществе допускается в следующих случаях:

• обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на Общество функций, полномочий и обязанностей;
• обработка персональных данных осуществляется в связи с участием Общества в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах, а также Обработка ПД необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ;
• обработка персональных данных необходима для исполнения договора, стороной которого, либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением обработки персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, при условии обязательного обезличивания персональных данных;
• осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с действующим законодательством РФ;
• а также в иных случаях, предусмотренных законодательством РФ.

7.3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ, на основании заключаемого с этим лицом договора (далее - Поручение оператора). В поручении Оператор определяет перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, а также устанавливает обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные Законом №152-ФЗ и подтверждать по запросу Оператора факт исполнения данной обязанности.

7.4. В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по Поручению оператора, несет ответственность перед Оператором.

7.5. В случаях, предусмотренных действующим законодательством РФ, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным, содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе, признается согласие в форме электронного документа, подписанного электронной подписью в соответствии с действующим законодательством РФ.

8. СПОСОБЫ И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Оператор осуществляет обработку персональных данных - операции, совершаемые с использованием средств автоматизации или без использования таких средств (смешанная обработка) с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

8.2. Оператор при обработке персональных данных обеспечивает их полную конфиденциальность.

8.3. В целях информационного обеспечения, Общество может создавать общедоступные источники персональных данных (в том числе справочники, адресные книги), в которые, с письменного согласия субъекта персональных данных, могут включаться его персональные данные.

8.4. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его законным представителем в любой, позволяющей подтвердить факт его получения форме, если иное не установлено законодательством РФ. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных, полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Оператором.

8.5. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае такого отзыва, Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в п. 7.2. Политики и ч. 2 ст. 11 Закон №152-ФЗ (биометрические персональные данные).

8.6. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя:

• Фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• Фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
• Наименование и адрес оператора, получающего согласие субъекта персональных данных;
• Цель обработки персональных данных;
• Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка будет поручена такому лицу;
• Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Обществом способов обработки персональных данных;
• Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено действующим законодательством РФ;
• Подпись субъекта персональных данных.

8.7. Персональные данные могут быть получены Оператором от лица, не являющегося субъектом персональных данных, при условии предоставления Оператору подтверждения наличия оснований, указанных в п. 7.2. Политики и ч. 2 ст. 11 Закон №152-ФЗ (биометрические персональные данные).

8.8. При отсутствии необходимости письменного согласия субъекта на обработку его персональных данных, такое согласие может быть дано субъектом персональных данных или его представителем в любой форме, позволяющей получить факт его получения.

8.9. По требованию субъекта персональных данных, либо по решению суда или иных уполномоченных государственных органов, сведения о субъекте персональных данных в любое время исключаются Оператором из общедоступных источников персональных данных.

8.10. В случае выявления неточностей в персональных данных, субъект персональных данных может актуализировать их самостоятельно, путем направления Оператору уведомления на адрес электронной почты Оператора – info@carloson.ru с пометкой «Актуализация персональных данных»

9. ПЕРЕДАЧА, ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не передает персональные данные, если иное не предусмотрено законодательством РФ.

9.2. При наличии Согласия субъекта персональных данных, Общество осуществляет передачу персональных данных третьим лицам в минимально необходимом объеме и исключительно для достижения целей обработки персональных данных, предусмотренных настоящей Политикой, а также при условии обеспечения такими лицами конфиденциальности и безопасности персональных данных при их обработке.

9.3. К вышеуказанным третьим лицам могут относиться лица, обладающие правом, в предусмотренных применимым законодательством случаях, на получение персональных данных в объеме, необходимом для осуществления и выполнения, возложенных на таких лиц функций, полномочий и обязанностей, а также лица, являющиеся работниками, клиентами, партнерами и иными контрагентами Общества.

9.4. Трансграничная передача персональных данных осуществляется с учетом ограничений и запретов, предусмотренных законодательством РФ в области персональных данных.

9.5. До начала осуществления трансграничной передачи персональных данных Общество:

• Проводит оценку мер, принимаемых органами власти иностранного государства, иностранными физическими и/или юридическими лицами, которым планируется трансграничная передача персональных данных, по обеспечению конфиденциальности и безопасности при обработке персональных данных, а также получает от таких органов и лиц сведения о принимаемых мерах по защите передаваемых персональных данных, об условиях прекращения их обработки и сведения о самих органах власти, физическом и/или юридическом лице (наименование, либо фамилия, имя, отчество, номера контактных телефонов, почтовые адреса, адреса электронной почты);
• Уведомляет уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных (направляется отдельно от уведомления о намерении осуществлять обработку персональных данных).

9.6. Трансграничная передача персональных данных может быть запрещена или ограничена уполномоченным органом по защите прав субъектов персональных данных с даты принятия регулятором соответствующего решения.

9.7. В случае принятия уполномоченным органом решения о запрещении или об ограничении трансграничной передачи, Общество обязуется обеспечить уничтожение органом власти иностранного государства, иностранным физическим и/или юридическим лицом ранее переданных им персональных данных.

9.8. Субъект персональных данных вправе обратиться к Обществу с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения Обществу или обратиться с таким требованием в суд. Общество обязуется прекратить передачу (распространение, предоставление, доступ) персональных данных в течение 3 (трех) рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение 3 (трех) рабочих дней с момента вступления решения суда в законную силу.

9.9. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления Обществу требования о прекращении распространения персональных данных.

10. СРОКИ ОБРАБОТКИ, ПОРЯДОК ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Обработка персональных данных осуществляется оператором вплоть до:

• достижения заявленных целей обработки, либо утраты необходимости в их достижении;
• отзыва согласия субъекта персональных данных, если дальнейшая обработка без такого согласия невозможна в соответствии с действующим законодательством РФ;
• истечения срока обработки персональных данных, установленного законодательством РФ;
• случая выявление неправомерной обработки персональных данных.

10.2. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным несанкционированных лиц.

10.3. Общество осуществляет хранение персональных данных в базах данных, находящихся на территории РФ.

10.4. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.

10.5. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

10.6. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.

10.7. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных папках (файлообменниках, облачных хранилищах данных) в информационной системе персональных данных.

10.8. Вся информация, которая собирается сторонними сервисами, в том числе платежными системами, средствами связи и другими поставщиками услуг, хранится и обрабатывается указанными лицами в соответствии с их Политикой в отношении обработки персональных данных.

10.9. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством РФ, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

10.10. Оператор уничтожает персональные данные в случаях, предусмотренных действующим законодательством РФ.

10.11. Факт уничтожения персональных данных, как на бумажном носителе, так и в электронном виде подтверждается документально актом об уничтожении.

11. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Субъекты персональных данных имеют право на:

• полную информацию об их персональных данных, обрабатываемых Оператором;
• доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных законодательством РФ;
• уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отзыв согласия на обработку персональных данных;
• принятие предусмотренных законом мер по защите своих прав;
• обжалование действия или бездействия Оператора, осуществляемого с нарушением требований законодательства РФ в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
• осуществление иных прав, предусмотренных законодательством РФ.

11.2. Субъекты персональных данных обязаны:

• предоставлять Оператору только актуальные и достоверные персональные данные;
• сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

11.3. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.

12. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА

12.1. Оператор имеет право:

• получать от субъектов персональных данных актуальные и достоверные сведения и/или информацию, содержащую персональные данные;
• самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом №152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством РФ.

12.2. Оператор обязан:

• предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных, а также предоставить возможность ознакомления с этими персональными данными;
  • принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законодательством РФ;
  • отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями действующего законодательства РФ;
  • сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 дней с даты получения такого запроса;
  • публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике;
  • принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
  • осуществлять внутренний контроль и/или аудита соответствия обработки персональных данных требованиям законодательства РФ к защите персональных данных, настоящей Политике, локальным актам Оператора;
  • прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных действующим законодательством РФ;
  • доводить до сведения своих работников, непосредственно осуществляющих обработку персональных данных, положения законодательства РФ о персональных данных, в том числе требования к защите персональных данных, положения Политики, локальных актов по вопросам обработки персональных данных;
  • осуществлять внутренний контроль за соблюдением работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных;
  • организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и осуществлять контроль за приемом и обработкой таких обращений и запросов;
  • исполнять иные обязанности, предусмотренные ФЗ «О персональных данных»;

13. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

13.1. При обработке персональных данных Общество принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

13.2. Обеспечение безопасности персональных данных достигается, в частности:

• определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• классификацией информационных систем персональных данных по уровням защищенности;
• применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
• применением, прошедших в установленном порядке процедуру оценки соответствия, средств защиты информации;
• оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• учетом машинных носителей персональных данных;
• обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
• восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
• иные меры, предусмотренные законодательством РФ в области персональных данных.

13.3. Использование и хранение биометрических персональных данных вне информационных систем персональных данных, допускается Оператором только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

14. КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РФ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

14.1. Контроль за соблюдением локальных нормативных актов Общества в области персональных данных осуществляется с целью проверки соответствия процессов обработки и защиты персональных данных требованиям законодательства РФ, а также выявления возможных каналов утечки и несанкционированного доступа к персональным данным.

14.2. Внутренний контроль за соблюдением структурными подразделениями Общества требований законодательства РФ и локальных нормативных актов Общества в области персональных данных осуществляется лицами, ответственными за обработку и защиту персональных данных в Обществе.

14.3. Работники Общества, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, установленных в Обществе, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной или уголовной ответственности в соответствии с законодательством РФ.

14.4. Персональная ответственность за соблюдение требований законодательства РФ и локальных нормативных актов Оператора в области персональных данных в структурных подразделениях Общества, а также за обеспечение конфиденциальности и безопасности персональных данных в структурных подразделениях Оператора возлагается на лиц, допущенных к работе с персональными данными, в том числе посредством информационных систем.

15. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

15.1. Субъект персональных данных может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, в том числе отозвать согласие на обработку персональных данных, обратившись к Оператору с помощью электронной почты: info@carloson.ru.

15.2. В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно до замены ее новой редакцией.

15.3. Плановая актуализация настоящей Политики проводится не реже чем один раз в три года.

15.4. Внеплановая актуализация настоящего документа проводится в обязательном порядке в следующих случаях:

• при изменении политики РФ в области информационной безопасности, указов и законов в области защиты персональных данных;
• при изменении внутренних нормативных документов (инструкций, положений, руководств), касающихся информационной безопасности Общества;

15.5. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://carloson.ru/obrabotka-dannyh и в Приложении Общества.

15.6. Cookies используются Обществом в целях улучшения работы Сайта. Сведения о действиях посетителей Сайта обрабатываются для совершенствования продуктов и услуг Компании, удобства пользователя при навигации на сайте, определения предпочтений посетителей, предоставления целевой информации по продуктам и услугам Общества.