1.1. Основные понятия, используемые в Политике:
• Сайт - совокупность программных и аппаратных средств для ЭВМ, обеспечивающих публикацию для всеобщего обозрения информации и данных, объединенных общим целевым назначением, посредством технических средств, применяемых для связи между ЭВМ в сети Интернет. Сайт размещен в сети Интернет по адресу: altaitrucks.ru .
• Пользователь -лицо, имеющее доступ к Сайту посредством сети Интернет, использующее Сайт для решения своих собственных задач и вопросов.
• Законодательство - Конституция РФ, Гражданский кодекс РФ, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», иные законы, содержащие нормы в области защиты персональных данных, а также подзаконные акты, действующие на их основе.
• Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
• Оператор - юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является ООО "Кистоун Авто" ОГРН 1237800057307; ИНН 7810978552; КПП 781001001, Юридический адрес: 196240, г. Санкт-Петербург, вн.тер.г.муниципальн. округ Новоизмайловское, ул. Предпортовая, д.2, корп.3, литера А, офис 202.
• Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
• Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
• Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
• Предоставление персональных данных-действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2. Общие положения:
2.1. Правовое основание обработки персональных данных Конституция РФ, ГК РФ, Устав ООО «Кистоун Авто», согласие Пользователя Сайта на обработку персональных данных, а также приказы, инструкции и иные локальные акты ООО «Кистоун Авто», принятые во исполнение требований Федерального закона от 27 июля 2006 г. №152-ФЗ "О персональных данных".
2.2. Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов Пользователей и Оператора; исключить несанкционированные действия работников Оператора и любых третьих лиц по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению), персональных данных, иных форм незаконного вмешательства в информационные ресурсы и локальную сеть Оператора; обеспечить правовой и нормативный режим конфиденциальности недокументированной информации Пользователей Сайта; исключить возможное разглашение персональных данных.
2.3. Положение устанавливает обязательные для работников Оператора, задействованных в обслуживании Сайта, общие требования и правила по работе со сведениями, содержащими персональные данные Пользователей Сайта.
2.4. Сервер с ДОТ хранится в дата-центре ООО «ФастВПС.хостинг» (ИНН 7814231169) на территории России по адресу: г. Санкт-Петербург, Цветочная улица, 19. В Дата-центр, где установлен сервер действует система информационной безопасности, соответствующая требованиям стандарта PCI DSS, действует бессрочно лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации. Регистрационный номер 1811 от 20 февраля 2018 г., Договор аренды сервера заключен с Дата-центром Разработчиком и администратором сайта ООО КОМПАНИЯ САЙТ (ИНН 7806285932). Администратор сайта осуществляет управление (администрирование) системой защиты информации информационной системы, управление обновлениями программных и программно-аппаратных средств, в том числе средств защиты информации, с учетом особенностей функционирования информационной системы, защиту машинных носителей информации.

3. Обработка персональных данных 3.1. Источником информации обо всех персональных данных Пользователя является непосредственно сам Пользователь Сайта, загрузив свои персональные данные на сервисы Сайта. Согласием Пользователя на обработку его персональных данных, в том числе с помощью сервиса веб-аналитики Яндекс Метрики, является нажатие кнопки «Отправить».
Персональные данные обрабатываются в следующих целях:
• идентификации Пользователя;
• в целях продвижения услуг и товаров Оператора;
• взаимодействие с Пользователем для заключения договора;
• осуществления акций, конкурсов (при условии согласия Пользователя на участие в них); 3.2. Презюмируется, что все персональные данные, указанные Пользователем при заполнении соответствующих форм на сервисах Сайта, предоставлены именно им самим добровольно. Опровергнуть данную презумпцию может только сам Пользователь или иное лицо, обратившееся к Оператору с заявлением о незаконной обработке на Сайте его персональных данных. 3.3. Перечень обрабатываемых персональных данных Пользователей Сайта:
• имя;
• телефон;
• сообщения Пользователя, оставленные в поле для комментариев, содержащие персональные данные; На сайте используются метрические системы Яндекс. Метрика, предоставляемый компанией ООО «ЯНДЕКС», 119021, Россия, Москва, ул. Л. Толстого, 16 (далее — Яндекс). Этот сайт использует сервис веб-аналитики Яндекс Метрика, Сервис Яндекс Метрика использует технологию «cookie». Собранная при помощи cookie информация не может идентифицировать Пользователя, однако может помочь Оператору улучшить работу сайта. Информация об использовании Пользователем данного сайта, собранная при помощи cookie, будет передаваться Яндексу и храниться на сервере Яндекса в ЕС и Российской Федерации. Яндекс будет обрабатывать эту информацию для оценки использования Пользователями сайта, составления для Оператора отчетов о деятельности сайта, и предоставления других услуг. Яндекс обрабатывает эту информацию в порядке, установленном в условиях использования сервиса Яндекс Метрика. Пользователь может отказаться от использования cookies, выбрав соответствующие настройки в браузере. Также Пользователь может использовать инструмент - https://yandex.ru/support/metrika/general/opt-out.html . Однако это может повлиять на работу некоторых функций сайта. Используя этот сайт, Пользователь соглашается на обработку данных о вас Яндексом в порядке и целях, указанных выше. Типы персональных данных, которые обрабатываются с использованием Яндекс.Метрики:
• тип устройства;
• регион;
• количество посещений сайта; Цель использования Яндекс Метрики: для анализа посещаемости сайта, улучшения его функциональности.
3.4. Персональные данные Пользователей Сайта обрабатывают только работники Оператора, допущенные в установленном порядке к обработке персональных данных Пользователей. Правом доступа к персональным данным Пользователей обладают лица, наделенные соответствующими полномочиями в соответствии со своими служебными обязанностями. Перечень лиц, имеющих доступ к персональным данным, утверждается приказом генерального директора Оператора.
3.5. Обработка персональных данных Пользователя осуществляется автоматизированным способом с момента принятия (акцепта) Пользователем данного соглашения на Сайте и действуют до тех пор, пока цель обработки не будет достигнута или Пользователь не заявит о своем желании удалить свои персональные данные с Сайта. Пользователь может заявить о своем желании удалить свои персональные данные, направив письмо на адрес электронной почты docs@altaitrucks.ru. Документальное оформление факта уничтожения персональных данных в том числе при достижении цели обработки персональных данных либо при отзыве согласия на их обработку осуществляется в соответствии с Требованиями к подтверждению уничтожения персональных данных, утвержденными Приказом Роскомнадзора от 28.10.2022 N 179.
3.6. Оператор вправе предоставлять или передавать Персональные данные Пользователей компетентным государственным органам, если это предусмотрено требованиями действующего законодательства Российской Федерации.

4. Блокирование и уничтожение персональных данных.
4.1. В случае выявления Пользователем недостоверности обрабатываемых сведений или неправомерных действий в отношении его данных, Пользователь вправе требовать Оператора осуществить блокировку персональных данных, принадлежащих данному Пользователю.
4.2. Пользователь вправе в письменной форме требовать уничтожения своих персональных данных в случае, если персональные данные являются устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
4.3. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
4.4. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
4.5. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
4.6. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
• в течение 24 часов — уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
• в течение 72 часов — уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

5. Порядок уничтожения персональных данных Оператором.
5.1. Условия и сроки уничтожения персональных данных Оператором:
• достижение цели обработки персональных данных либо утрата необходимости достигать эту цель — в течение 30 дней;
• предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, — в течение 7 рабочих дней;
• отзыв субъектом персональных данных согласия на обработку его персональных данных или предъявление требования прекратить обработку персональных данных, — в течение 10 дней;
5.2. Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора ООО «Кистоун Авто». Документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.
5.3. Способы уничтожения персональных данных устанавливаются в локальных нормативных актах Оператора.

6. Система защиты персональных данных:
6.1. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
6.2. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных" в зависимости от типа угроз для информационной системы.
6.3. Определение типа угроз безопасности персональных данных производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных" для установления определенного уровня защищенности персональных данных.
6.4. В Состав и содержание мер по обеспечению безопасности персональных данных в информационных системах Оператора с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, реализуемых Оператором (в соответствии требованиям Приказа ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных") входят:
• идентификация и аутентификация субъектов доступа и объектов доступа;
• регистрация событий безопасности;
• управление доступом субъектов доступа к объектам доступа;
• защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;
• издан документ, определяющий политику в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также документы, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ и устранение последствий таких нарушений
• на ПК установлены средства антивирусной защиты;
• применяются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия;
• обнаружение (предотвращение) вторжений;
• контроль (анализ) защищенности персональных данных;
• обеспечение целостности информационной системы и персональных данных;
• защита информационной системы, ее средств, систем связи и передачи данных;
• выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
• управление конфигурацией информационной системы и системы защиты персональных данных.
• ограничение и регламентация состава работников, имеющих доступ к персональным данным;
• ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, настоящим Положением;
• обнаружение вторжений в корпоративную сеть Компании, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
• организация пропускного режима на территории организации;
• поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности.
6.4.1. Вместе с тем Оператор не несет ответственности за возможное нецелевое использование персональных данных Пользователей, произошедшее вследствие:
• технических неполадок в программном обеспечении и в технических средствах, сетях, находящихся вне контроля Оператора;
• в связи с намеренным или ненамеренным использованием Сайта Оператора не по его прямому назначению третьими лицами;
• передачи паролей доступа, иной информации с Сайта самими Пользователями третьим лицам;
• неправомерных действий третьих лиц по доступу к данным Сайта, в т.ч. персональным данным;

7. Заключительные положения.
7.1. Условия настоящего Положения устанавливаются, изменяются и отменяются Оператором в одностороннем порядке без предварительного уведомления Пользователя. С момента размещения на Сайте новой редакции Положения предыдущая редакция считается утратившей свою силу. В случае существенного изменения условий настоящего Соглашения, Оператор извещает об этом Пользователей путем размещения на Сайте соответствующего сообщения.
7.2. Если Пользователь не согласен с условиями настоящего Положения, то он должен немедленно заявить о своем желании удалить свои персональные данные, направив письмо на адрес электронной почты docs@altaitrucks.ru. В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки.
7.3. Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты docs@altaitrucks.ru.
7.4. В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно до замены ее новой версией.
7.5. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://altaitrucks.ru/protection/