Политика конфиденциальности

Политика конфиденциальности 
(далее — «Политика конфиденциальности» / «Положение»)

1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика конфиденциальности и об обработке персональных данных 
Пользователей сайта rrt.ru  издана и применяется ООО «Автохолдинг РРТ» (далее — «Оператор»/ «Общество») в соответствии со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон).
Настоящее Положение определяет политику Оператора в отношении обработки персональных данных Пользователей сайта, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений, связанных с обработкой персональных данных, содержит сведения о реализуемых требованиях к защите персональных данных.
В рамках настоящей Политики под «персональной информацией Пользователя» понимаются:
- Персональная информация, которую Пользователь предоставляет о себе самостоятельно при регистрации (создании учётной записи) или в процессе использования Сервисов, включая персональные данные Пользователя, или персональная информация, которая разрешена Пользователем к получению (сбору) Оператором от третьих лиц - кредитных и финансовых организаций, входящих в перечень Партнеров Оператора.
Обязательная для предоставления Сервисов информация помечена специальным образом. 
Перечень обрабатываемых персональных данных: фамилия, имя, отчество,  домашний, рабочий и мобильный телефоны,  адрес электронной почты, результаты рассмотрения кредитных заявок, поданных Пользователем в кредитные и финансовые организации, входящие в перечень Партнеров Оператора.
- Данные, которые автоматически передаются Сервисам в процессе их использования с помощью установленного на устройстве Пользователя программного обеспечения, в том числе IP-адрес, данные файлов cookie, информация о браузере Пользователя (или иной программе, с помощью которой осуществляется доступ к Сервисам), технические характеристики оборудования и программного обеспечения, используемых Пользователем, дата и время доступа к Сервисам, адреса запрашиваемых страниц и иная подобная информация.
Настоящая Политика применима только к информации, обрабатываемой в ходе использования Сервисов. 
Общество не контролирует и не несёт ответственность за обработку информации сайтами третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на сайте Общества.
Поскольку настоящая Политика конфиденциальности относится только к правилам Общества, она не описывает политику конфиденциальности контрагентов  или деловых партнеров Общества, даже если Пользователь попал на их веб-сайты с веб-сайтов Общества или предоставил им информацию в офлайне, например, по почте или по телефону. Посещение Пользователем  других сайтов или предоставление письменно или по телефону персональных данных другим компаниям составляет риск самого Пользователя  и не регулируется настоящей Политикой конфиденциальности (Общество не несет ответственности за содержание сторонних сайтов, а также за действия третьих лиц), даже если веб-сайты или офлайновые коммуникации этих компаний помечены логотипом «РРТ/RRT». Чтобы узнать о мерах конфиденциальности любых контрагентов  или деловых партнеров Общества, на которых ссылается веб-сайт Общества  или которые обращаются к Пользователю письменно или по телефону, следует ознакомиться с политикой конфиденциальности этих компаний, а не с настоящей Политикой конфиденциальности, которая относится только к информации, собранной через сайт rrt.ru, другие веб-сайты Общества или на мероприятиях Общества, по электронной почте, письменно, по телефону или другими средствами, которые может использовать Общество, в том числе при покупке Вами автомобиля или иных сопутствующих  услуг  у Общества или Партнеров Общества.  
Общество не проверяет достоверность персональной информации, предоставляемой Пользователем, и не имеет возможности оценивать его дееспособность. 
Однако Общество исходит из того, что Пользователь предоставляет достоверную и достаточную персональную информацию и поддерживает эту информацию в актуальном состоянии. 
Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством РФ в области персональных данных.
1.2. Общество обрабатывает (в том числе, но не ограничиваясь собирает, хранит) только ту персональную информацию, которая необходима для предоставления Сервисов или исполнения соглашений и договоров с Пользователем, за исключением случаев, когда законодательством предусмотрено обязательное хранение персональной информации в течение определенного законом срока.
Цели обработки персональных данных: 
- идентификация стороны в рамках Сервисов, соглашений и договоров с Обществом,
- предоставление Пользователю персонализированных Сервисов и исполнение соглашений и договоров,
-связь с Пользователем, в том числе направление уведомлений, запросов и информации, касающихся использования Сервисов, исполнения соглашений и договоров, а также обработка запросов и заявок от Пользователя,
- организация и проведение Оператором и Партнерами (в т.ч. с привлечением третьих лиц) программ лояльности, маркетинговых и/или рекламных акций, исследований, опросов и иных мероприятий,
- улучшение качества Сервисов, удобства их использования, разработка новых Сервисов;
- таргетирование рекламных материалов,
- проведение статистических и иных исследований на основе обезличенных данных,
- исполнение обязательств по договорам в рамках оказания  услуг по покупке, продаже, выкупу, обмену, оценке автомобилей, услуг сервисного и технического обслуживания,  услуг страхового и банковского обслуживания, оказания иных услуг субъектам персональных данных,  
-связанные с возможностью предоставления информации о товарах и услугах, которые потенциально могут представлять интерес для Пользователей, а также в целях сбора и обработки статистической информации и проведения маркетинговых исследований,
- доведение до Пользователей рекламных, сервисных и иных предложений и информации об автомобилях, автотоварах, о страховых и банковских продуктах через мобильный или стационарный телефон посредством голосовых вызовов или коротких текстовых сообщений (СМС, ММС), а также на электронную почту,
- продвижение услуг и/или товаров (в том числе, но не ограничиваясь, автомобилей и иных автотоваров, страховых и банковских продуктов) Оператора  и/или Партнеров на рынке путем осуществления прямых контактов с клиентами с помощью различных средств связи, в т.ч., не ограничиваясь, по телефону, электронной почте, почтовой рассылке, в сети Интернет и т.д.,
- предоставление информации (в том числе, информации о проведении специальных сервисных кампаний, проводимых Уполномоченными Дилерами/Партнерами),
- проведение опросов и исследований, направленных на выявление удовлетворенности / неудовлетворенности Пользователя  автомобилями и/или услугами Уполномоченных Дилеров или Партнеров, у которого Пользователь приобретает автомобиль  и/или осуществляет гарантийный ремонт, негарантийный ремонт и/или техническое обслуживание принадлежащего ему автомобиля, а также проведение опросов и исследований, направленных на выявление удовлетворенности / неудовлетворенности Пользователя услугами Уполномоченных Дилеров/ Партнеров, в том числе, но не ограничиваясь услугой «подменный автомобиль, а также иными работами (услугами), выполняемыми (оказываемыми) Уполномоченными Дилерами/ Партнерами,
- для создания и управления клиентской базой,
- получение информации от Пользователя (Заказчика/Клиента), которая может способствовать улучшению качества автомобилей, запасных частей, аксессуаров, а также качества услуг по гарантийному ремонту, негарантийному ремонту и техническому обслуживанию автомобилей у Уполномоченных Дилеров/Партнеров, а также улучшению качества услуг Уполномоченного Дилера/Партнера,
- проведение маркетинговых программ и различных статистических исследований о работах (услугах), выполняемых (оказываемых) Уполномоченными Дилерами/Партнерами,
- посредничество при предоставлении услуг кредитования/страхования Партнерами Оператора, формирования данных об обращении за услугами кредитования/страхования и передача таких данных Партнерам Оператора, 
-получение и анализ информации о результатах рассмотрения кредитных заявок, поданных Пользователем в кредитные и финансовые организации, входящие в перечень Партнеров Оператора,
-в иных целях, если действия Оператора и Партнеров не противоречат действующему законодательству.
В том числе Оператор и третьи лица, привлеченные Оператором (далее – «Партнеры»/ «третьи лица»)  могут  объединять персональные данные в информационную систему персональных данных, а также обрабатывать персональные данные для продвижения Оператором и/или  Партнерами  товаров, работ, услуг на рынке, для информирования о проводимых акциях и предоставляемых скидках.
Перечень таких Партнеров размещен на сайте,  может обновляться и дополняться. Оператор оставляет за собой безусловное право изменять Партнеров, которые осуществляют обработку персональных данных. 
Указанные действия могут совершаться Оператором либо иными третьими лицами, привлеченными Оператором в соответствии с законодательством РФ, с использованием почтовой (курьерской) рассылки, телефонных звонков, сети Интернет, телефонии и с использованием мессенджеров путем рассылок на адреса электронных почт или СМС/ММС-рассылок, посредством любых иных средств связи и т.п. 
1.3. Обработка организована Оператором на следующих принципах:
— осуществления обработки персональных данных на законной и справедливой основе, законности целей и способов обработки персональных данных;
— недопустимости обработки персональных данных, не совместимой с целями обработки;
— обработки только персональных данных, которые отвечают целям их обработки;
— соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
— недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
— обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
— хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
1.4. Способы обработки персональных данных:
— с использованием средств автоматизации;
— без использования средств автоматизации;
- смешанный способ, 
-с  передачей по внутренней сети юридического лица,
- с передачей по сети Интернет,
- обработка персональной информации при помощи файлов Cookie и счетчиков:
Файлы cookie, передаваемые Обществом оборудованию Пользователя и оборудованием Пользователя Обществу, могут использоваться Обществом для предоставления Пользователю персонализированных Сервисов, которая показывается Пользователю, в статистических и исследовательских целях, а также для улучшения Сервисов. Пользователь осознает, что оборудование и программное обеспечение, используемые им для посещения сайтов в сети интернет могут обладать функцией запрещения операций с файлами cookie (для любых сайтов или для определённых сайтов), а также удаления ранее полученных файлов cookie. Общество вправе установить, что предоставление определенного Сервиса возможно лишь при условии, что приём и получение файлов cookie разрешены Пользователем.  Структура файла cookie, его содержание и технические параметры определяются Обществом и могут изменяться без предварительного уведомления Пользователя.
Обработка биометрических персональных данных и специальных категорий персональных данных Пользователей сайта , касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни Оператором не осуществляется.
Трансграничная передача персональных данных Оператором не осуществляется.
1.5. Для выполнения поставленных целей и задач Оператор назначает ответственного за организацию обработки персональных данных – «Ответственное лицо». 
1.5.1. Ответственное лицо  получает указания непосредственно от руководителя Оператора и подотчетен ему. 
1.5.2. Руководитель Оператора:
— оказывает содействие Ответственному лицу в выполнении им своих обязанностей;
— организует устранение выявленных нарушений законодательства РФ, нормативных правовых актов уполномоченного федерального органа исполнительной власти, внутренних документов Оператора, а также причин и условий, способствовавших совершению нарушения.
1.6 Настоящее Положение и изменения к нему утверждаются руководителем Оператора.
1.7. Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под роспись до начала работы с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных (с данным Положением и изменениями к нему). Обучение указанных сотрудников организуется руководителем Оператора.
1.8. Сотрудники Оператора:
— оказывают содействие Ответственному лицу  в выполнении им своих обязанностей;
— незамедлительно доводят до сведения своего непосредственного руководителя и Ответственного лица  (в части его компетенции) сведения о предполагаемых нарушениях законодательства РФ и внутренних документов Оператора другими сотрудниками Оператора или контрагентами Оператора.
1.9. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии с Законом.
1.10. Режим конфиденциальности персональных данных Оператор обеспечивает в соответствии с Положением Оператора о коммерческой тайне.
1.11. Оператор проводит опубликование в информационно-телекоммуникационной сети Интернет (на сайте rrt.ru) и размещение в офисе Общества настоящего Положения (в кабинете Ответственного лица), определяющего политику Оператора в отношении обработки персональных данных, содержащего сведения о реализуемых требованиях к защите персональных данных, а также изменений к нему, иным образом обеспечивает неограниченный доступ к указанным документам.
1.12. Оператор представляет настоящее Положение, иные документы, и (или) иным образом подтверждает принятие мер, указанных в ч. 1 ст. 18.1 Закона, по запросу уполномоченного органа по защите прав субъектов персональных данных в течение 30 (тридцати) календарных дней.
1.13. Условия обработки персональных данных Оператором:
1.13.1 Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Законом и настоящим Положением.
1.13.2. Обработка персональных данных осуществляется в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных (далее- Пользователь или субъект персональных данных);
2) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации Оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
3) обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
4) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
5) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законодательством РФ.
1.14. Оператор на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

2. СТРУКТУРНЫЕ ПОДРАЗДЕЛЕНИЯ ОПЕРАТОРА ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Обработку персональных(далее- ПД)  данных организует назначенное руководителем Общества Ответственное лицо. 
ОРК находится в непосредственном подчинении начальника ОРК.
2.2. Ответственное лицо:
1) доводит до сведения работников Оператора положения законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
2) организует обработку персональных данных сотрудниками Оператора;
3) организует прием и обработку обращений и запросов субъектов персональных данных или их представителей.
4) осуществляет внутренний контроль за соблюдением Оператором и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных. Данный контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер.
5) контролирует прием и обработку обращений и запросов субъектов персональных данных или их представителей.
2.3. Сотруднику Оператора, имеющему право осуществлять обработку ПД, предоставляются уникальный логин и пароль для доступа к соответствующей информационной системе Оператора в установленном порядке.
Информация может вноситься как в автоматическом режиме — при уточнении, извлечении, использовании и передаче информации, так и в ручном (неавтоматическом)  режиме — при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию, или в смешанном режиме.
2.4. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах Оператора, достигается путем исключения неправомерного, в том числе случайного, доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также принятия следующих мер по обеспечению безопасности:
1) определение актуальных угроз безопасности персональных данных при их обработке в информационных системах Оператора;
2) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
3) оценка эффективности принимаемых мер по обеспечению безопасности ПД;
4) обеспечение бесперебойной работы компьютерной техники с персональными данными в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации;
5) обнаружение и регистрация фактов несанкционированного доступа к персональным данным, принятие мер по недопущению повторения данных фактов;
6) восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
7) установление правил доступа к персональным данным, обрабатываемым в информационных системах Оператора, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах Оператора;
8) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем.
2.5. Ответственное лицо совместно с сотрудниками Оператора обеспечивают:
1) своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных;
2) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
3) соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
4) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
5) при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин;
6) разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
2.6. Обмен персональными данными при их обработке в информационных системах Оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
2.7. Доступ сотрудников Оператора к персональным данным, находящимся в информационных системах Оператора, предусматривает обязательное прохождение процедуры идентификации и аутентификации.

3. ПОРЯДОК ОБЕСПЕЧЕНИЯ ОПЕРАТОРОМ ПРАВ СУБЪЕКТА
ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Законом и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.
3.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном Законом.
3.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке, установленном гражданским законодательством РФ.
3.4. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных.
3.4.1. Индивидуальное устное общение с потенциальными потребителями производится, по общему правилу, по специально выделенным служебным телефонным линиям (номерам) Оператора. При этом рабочее место сотрудника Оператора, которому поручено общение, обеспечивается техническими средствами, позволяющими в автоматизированном режиме вести регистрацию телефонных вызовов, а также (с согласия субъекта персональных данных) вести аудиозапись переговоров. В данном случае аудиозапись полученного устного согласия является надлежащей.
3.4.2. Письменным согласием субъекта персональных данных является:
- нажатие кнопки «Принять» или «Даю согласие» или «Продолжить» при  отправке сообщения на сайте https://rrt.ru/ или при оформлении на сайте  https://rrt.ru/ заказа (заказов) на покупку, продажу, выкуп, обмен, оценку  автомобилей, а также на услуги сервисного и технического обслуживания,  на услуги по подбору страховых и банковских продуктов, а также простановка соответствующей отметки в поле при регистрации на сайте, в том числе на любом этапе такой регистрации и (или) в любой момент пользования сайтом. Тем самым Пользователь, действуя по своей воле и в своем интересе, выражает свое согласие на обработку своих персональных данных; 
-либо собственноручное заполнение Пользователем формы согласия на бумажном носителе,
-либо  заполнение Пользователем формы согласия с помощью системы обратной связи.
3.5. Оператор прекращает по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 Закона. При этом, Оператор исполняет заявление (требование) Пользователя о прекращении использования его персональных данных в срок не позднее истечения  30 (тридцати) календарных дней  с даты доставки Оператору заявления Пользователя об отзыве согласия.
3.6. Оператор сообщает в порядке, предусмотренном статьей 14 Закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставляет возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 30 (тридцати) календарных дней с даты получения запроса субъекта персональных данных или его представителя.
3.7. Оператор безвозмездно предоставляет субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего нахождения в рабочее время.
3.8. Оператор в течение 30 (тридцати)  календарных дней с момента изменения или уничтожения персональных данных по требованию субъекта персональных данных или его представителя обязан уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

4. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных осуществляется в целях, указанных в настоящем Положении.
4.2. В соответствии с целями обработки персональных данных сотрудники Оператора осуществляют сбор персональных данных по следующим процедурам: в телефонном режиме, при использовании сайта или сервиса обратной связи, при личном обращении субъекта персональных данных, с использованием почтовой (курьерской) рассылки, телефонных звонков, сети Интернет, телефонии и с использованием мессенджеров путем рассылок на адреса электронных почт или СМС/ММС-рассылок, посредством любых иных средств связи и т.п.
4.3. Запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача персональных данных осуществляются сотрудниками Оператора во взаимодействии с отделом информационных технологий.
4.4. Обезличивание, блокирование, удаление, уничтожение персональных данных осуществляются только Ответственным лицом  во взаимодействии с отделом информационных технологий.
Уничтожение документов на бумажных носителях осуществляется с помощью специальной техники путем измельчения документов, гарантирующего невозможность восстановления текста.
Уничтожение по окончании срока обработки персональных данных на электронных носителях производится удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

5. КОНТРОЛЬ, ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ИЛИ НЕИСПОЛНЕНИЕ ПОЛОЖЕНИЯ
5.1. Контроль за исполнением Положения возложен на Ответственное лицо и на руководителя Общества.
5.2. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной или уголовной ответственности.