1. Определение 1. Администратор - AUTO.DIA2. PL Poland Sp. z o.0., находится в Варшаве, ул. Модлинская 6A/222, 03-216 Варшава, зарегистрированная районным судом г.ст. Варшавы в Варшаве, XIV Хозяйственное отделение Национального судебного реестра под номером KRS 0001107109, NIP 5243007559 2. Персональные данные — информация о физическом лице, идентифицированная или идентифицируемая с помощью одного или нескольких специфических факторов, определяющих физическую, физиологическую, генетическую, психическую, экономическую, культурную или социальную идентичность, включая изображение, запись голоса, контактные данные, данные о местоположении, информацию, содержащуюся в корреспонденции, информацию, собранную с помощью регистрирующего оборудования или другой подобной технологии; 3. Наблюдательный орган - председатель Управления по защите персональных данных или соответствующий надзорный орган по вопросам персональных данных, назначенный другим государством-членом Европейского Союза; 4. Субъект данных — физическое лицо, к которому относятся персональные данные, обрабатываемые Администратором; 5.Политика - настоящая Политика защиты персональных данных; 6.Работник — физическое лицо, работающее на Администратора на основании трудового договора; 7.GDPR - Регламент Европейского парламента и Совета (ЕС) 2016/679 от 27.04.2016 г. о защите физических лиц в связи с обработкой персональных данных и о свободном обращении таких данных, а также о отмена директивы 95/46/ЕС; 8. Сотрудник — физическое лицо, предоставляющее услуги Администратору на основании гражданско-правового договора (например, договора подряда, договора об оказании услуг). Общие принципы 2.1. Настоящая Политика является основным документом, регулирующим принципы обработки Персональных данных Администратором. 2.2. Реализация Политики направлена на обеспечение соответствия процессов обработки Персональных данных. Администратором требований GDPR, независимо от формы (электронной или бумажной), в которой осуществляется эта обработка. 2.3. В связи с ведением деятельности Администратор собирает и обрабатывает Персональные данные в соответствии с действующим законодательством, в том числе GDPR, и принципами обработки, предусмотренными в нем, а именно: 2.3.1. Администратор гарантирует, что обработка Персональных данных является законной и осуществляется на основе одного из оснований обработки, указанных в GDPR, а именно в статье 6 (1), статье 9 (2) или статье 10 (принцип законности); 2.3.2. Администратор обеспечивает честность и прозрачность обработки Персональных данных, в том числе всегда информирует об обработке Персональных данных в момент их сбора, включая цель и правовую основу обработки (принцип честности и прозрачности); 2.3.3. Администратор гарантирует, что Персональные данные собираются для конкретных, явных и законных целей и не обрабатываются далее способом, несовместимым с этими целями (принцип ограничения цели); 2.3.4. Администратор гарантирует, что он обрабатывает данные только в объеме, необходимом для достижения цели, для которой были собраны Персональные данные (принцип минимизации); 2.3.5. Администратор гарантирует, что обрабатываемые им Персональные данные являются точными и, при необходимости, обновляются, а также принимает все разумные меры для немедленного удаления или исправления Персональных данных, которые являются неточными в связи с целями их обработки (принцип точности); 2.3.6. Администратор гарантирует, что Персональные данные будут обрабатываться только в течение времени, необходимого для достижения целей обработки (принцип ограничения хранения); 2.3.7. Администратор обеспечивает безопасность Персональных данных, включая защиту от несанкционированной или незаконной обработки, а также случайной потери, уничтожения или повреждения, путем внедрения соответствующих технических или организационных мер (принцип целостности и конфиденциальности). 2.4. Администратор обеспечивает соблюдение Политики всеми сотрудниками и сотрудниками Администратора. 3. Организация системы защиты персональных данных 3.1. Перед предоставлением доступа к обработке Персональных данных Администратор знакомит каждого Сотрудника, Сотрудника или других лиц, которые обрабатывают Персональные данные по его поручению, с Политикой, включая процедуры и принципы защиты Персональных данных, действующие в организации Администратора. 3.2. Обработка персональных данных сотрудниками и сотрудниками может осуществляться исключительно на основании документированного разрешения Администратора. Кроме того, Администратор обязывает уполномоченных лиц сохранять Конфиденциальность Персональных данных и информации об их защите, а также соблюдение Политики, включая процедуры и принципы защиты Персональных данных, действующие в организации Администратора. 3.3. Администратор назначает лицо, ответственное за защиту персональных данных, и предоставляет адекватные средства и ресурсы, необходимые для выполнения возложенных на него задач. 3.4. Задачами лица, указанного в пункте 3.3., являются, в частности: 3.4.1. информирование Администратора, Сотрудников и Сотрудников, которые обрабатывают Персональные данные, об обязанностях, возложенных на них GDPR и другими нормативными актами ЕС или национальными законами о защите персональных данных,а также консультирование по этой области; 3.4.2. мониторинг соблюдения уполномоченными лицами положений GDPR и других нормативных актов ЕС и национальных законов в области защиты персональных данных, а также внутренних политик и процедур, внедренных Администратором в этой области; 3.4.3. осуществление мер по повышению осведомленности о защите персональных данных, включая обучение персонала, участвующего в операциях обработки, и проведение связанных с этим аудитов; 3.4.4. предоставление, по запросу, рекомендаций по оценке воздействия на защиту Персональных данных и мониторингу их выполнения в соответствии со статьей 35 GDPR; 3.4.5. сотрудничество с Надзорным органом; 3.4.6. выполнять функции контактного лица для Наблюдательного органа по вопросам, связанным с обработкой, включая предварительные консультации, о которых говорится в статье 36 GDPR, а также, в соответствующих случаях, проведение консультаций по любым другим вопросам. 3.5. Сотрудники и сотрудники, обрабатывающие Персональные данные, обязаны, в частности: 3.5.1. обрабатывать Персональные данные в соответствии с предоставленным разрешением и с должной тщательностью; 3.5.2. в случае обнаружения события, которое может представлять собой нарушение защиты Персональных данных, немедленно сообщить об этом; 3.5.3. участвовать в организованных учениях по защите персональных данных; 3.5.4. сохранять конфиденциальность Персональных данных и информации о том, как их защитить в соответствии с подписанным обязательством о конфиденциальности. 4. Безопасность персональных данных 4.1. Администратор внедряет соответствующие технические и организационные меры для обеспечения уровня безопасности, который соответствует риску нарушения прав или свобод физических лиц с различной вероятностью возникновения и весом угрозы,при этом Администратор учитывает состояние технических знаний, стоимость внедрения, характер, объем, контекст и цели обработки. 4.2. При оценке того, является ли уровень безопасности достаточным, Администратор учитывает, в частности, риск, связанный с обработкой, особенно тот, который возникает в результате случайного или незаконного уничтожения, потери, модификации, несанкционированного разглашения или несанкционированного доступа к Передающимся, хранящимся или иным образом обрабатываемым Персональным данным. 4.3. В целях обеспечения целостности и конфиденциальности Персональных данных Администратор предоставляет доступ к Персональным данным только уполномоченным лицам и только в объеме, необходимом для выполнения ими своих задач. Администратор использует организационные и технические решения для обеспечения того, чтобы все операции с Персональными данными регистрировались и выполнялись только уполномоченными лицами. 4.4. Администратор постоянно анализирует риски, связанные с обработкой Персональных данных, и контролирует адекватность мер безопасности Персональных данных выявленным угрозам. При необходимости Администратор принимает дополнительные меры для повышения безопасности Персональных данных. 4.5. Если тип обработки, в том числе с использованием новых технологий, из-за его характера, объема, контекста и целей, скорее всего, может повлечь за собой высокий риск нарушения прав или свобод физических лиц, Администратор перед началом обработки оценивает влияние запланированных операций обработки на защиту Персональных данных. Если оценка воздействия указывает на то, что обработка может повлечь за собой высокий риск, если Администратор не примет меры для минимизации этого риска, то перед началом обработки Администратор проконсультируется с Наблюдательным органом. 4.6. Если цели, для которых Администратор обрабатывает Персональные данные, не требуют идентификации субъекта данных, Администратор не обязан хранить, получать или обрабатывать дополнительную информацию для идентификации субъекта данных исключительно для выполнения требований GDPR. 5. Нарушение защиты персональных данных 5.1. Администратор уведомляет надзорный орган о нарушении защиты персональных данных, если маловероятно, что нарушение приведет к риску нарушения прав или свобод физических лиц. 5.2. Администратор гарантирует, что субъекты данных незамедлительно уведомляют о нарушениях защиты. Персональных данных, если это может повлечь за собой высокий риск нарушения прав и свобод. 5.3. В каждом случае Администратор расследует нарушения и внедряет соответствующие организационные и технические меры по его устранению. 5.4. Администратор документирует все нарушения защиты Персональных данных, включая обстоятельства нарушения, его последствия и принятые меры реагирования. 6. Реализация прав субъектов данных 6.1. Администратор обеспечивает реализацию прав субъектов данных в соответствии с положениями GDPR, в том числе: 6.1.1. право на информацию об обработке данных - Администратор предоставляет лицу, обратившемуся с запросом, информацию об обработке Персональных данных, включая цели и правовые основы обработки, объем обрабатываемых Персональных данных, субъектов, которым эти данные раскрываются, и планируемый срок удаления Персональных данных; 6.1.2. право на получение копии данных - Администратор предоставляет лицу, обратившемуся с запросом, копию Персональных данных, касающихся его; 6.1.3. право на исправление данных - Администратор по запросу устраняет возможные неточности или ошибки в обрабатываемых Персональных данных и дополняет их, если они являются неполными; 6.1.4. право на удаление данных - Администратор по запросу удаляет или анонимизирует Персональные данные, обработка которых больше не является необходимой для реализации любой из целей, для которых они были собраны; 6.1.5. право на ограничение обработки данных - Администратор по запросу прекращает выполнение операций с Персональными данными, за исключением операций, на которые субъект данных дал согласие, а также их хранения в соответствии с принятыми правилами хранения или до прекращения причин ограничения обработки Персональных данных (например, до принятия решения Наблюдательного органа, разрешающего дальнейшую обработку); 6.1.6. право на перенос данных - в пределах, в пределах которых Персональные данные обрабатываются автоматически в связи с заключенным договором или на основании согласия, Администратор по запросу предоставляет Персональные данные, предоставленные лицом, которому они принадлежат, в формате, позволяющем их считывать компьютером; 6.1.7. право на возражение против обработки данных в маркетинговых целях - субъект данных может в любой момент возразить против обработки Персональных данных в маркетинговых целях без необходимости обоснования такого возражения; 6.1.8. право на возражение против других целей обработки данных - субъект данных может в любой момент возразить против обработки Персональных данных, осуществляемой на основании законного интереса Администратора,из за причин связанных с конкретно его ситуацией. 6.1.9. право отозвать согласие — если Персональные данные обрабатываются на основании согласия, субъект данных имеет право отозвать его в любой момент, что, однако, не влияет на законность обработки, осуществленной до ее отзыва. 7. Контакты Субъекта данных 7.1. Администратор принимает соответствующие меры для обеспечения того, чтобы общение с Субъектом данных осуществлялось в кратком, прозрачном и легкодоступном формате, понятным и простым языком. 7.2. Администратор предоставляет Субъектам данных информацию в письменной форме или иным образом, в том числе, при необходимости, в электронном виде. Если Субъект данных требует этого, Администратор предоставляет информацию устно, при условии, что личность Субъекта данных может быть подтверждена другими способами. 7.3. Администратор содействует Субъектам данных в осуществлении прав, принадлежащих им в соответствии с GDPR, в том числе прав, Предусмотренных статьями 15-22 GDPR. 7.4. Администратор без промедления предоставляет Субъектам данных информацию о действиях, предпринятых в связи с запросом, поданным на основании статей 15-22 GDPR. 8. Предоставление и поручение обработки Персональных данных 8.1. Администратор предоставляет Персональные данные другому администратору только в том случае, если выполнено одно из условий, указанных в статье 6 (1) или статье 9 (2) GDPR. 8.2. Поручение обработки Персональных данных Администратором осуществляется на основании договора об обработке данных или другого правового инструмента, о котором говорится в статье 28 GDPR. 8.3. Поручение Администратору обработки Персональных данных осуществляется после предварительной проверки того, обеспечивает ли обработчик достаточные гарантии внедрения соответствующих технических и организационных мер, чтобы обработка соответствовала требованиям GDPR и защищала права Субъектов данных. Администратор также принимает все необходимые меры для того, чтобы его подрядчики и другие сотрудничающие субъекты предоставляли гарантии использования соответствующих мер безопасности в каждом случае, когда они обрабатывают Персональные данные по поручению Администратора. 9. Передача персональных данных в третью страну 9.1. Уровень защиты Персональных данных за пределами Европейской экономической зоны (ЕЭ3) отличается от уровня, обеспечиваемого европейским законодательством. По этой причине Администратор передает Персональные данные в третью страну только в случае необходимости и при условии обеспечения соответствующего уровня защиты, прежде всего путем: 9.1.1. сотрудничать с субъектами, обрабатывающими Персональные данные в странах, в отношении которых Европейская комиссия приняла соответствующее решение об обеспечении надлежащего уровня защиты Персональных данных; 9.1.2. использование стандартных договорных положений, изданных Европейской комиссией. 10. Обеспечение постоянного соответствия 10.1. Администратор постоянно следит за соблюдением требований по защите деятельности организации.Персональные данные, предусмотренные GDPR, в том числе проверяют и оптимизируют реестры, внедренные в организации, и процедуры. 10.2. С этой целью Администратор, в частности, следит за изменениями в законодательстве, рекомендациями национальных и международных органов по защите персональных данных, а также судебной практикой и учитывает лучшие рыночные практики. Заключители 11.1. Политика вступает в силу с 05.06.2024 г.