Политика конфиденциальности

Положение об обработке и защите персональных данных

1. Общие положения

1.1. Положение об обработке и защите персональных данных (далее - Положение) издано и применяется Индивидуальным предпринимателем Кремлёвым Егором Валерьевичем (далее - Предприниматель) в соответствии с пунктом 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Настоящее Положение определяет политику, порядок и условия Предпринимателя в отношении обработки и защиты персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой и защитой персональных данных.

Все вопросы, связанные с обработкой и защитой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.

1.2. Целью обработки персональных данных является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну и продвижение товаров, работ, услуг Предпринимателя на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи.

1.3. Действие настоящего Положения не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных фондов в соответствии с законодательством об архивном деле в Российской Федерации и обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

1.4. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и настоящим Положением:

• обработка персональных данных осуществляется на законной и справедливой основе;
• обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только персональные данные, которые отвечают целям их обработки;
• содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
• при обработке персональных данных обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Предприниматель должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
• хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

1.5. Условия обработки персональных данных Предпринимателем:

• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
• обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.

1.6. Обработка персональных данных субъектов персональных данных осуществляется в следующих целях:

• осуществление функций, полномочий и обязанностей, предусмотренных законодательством Российской Федерации;
• регулирование трудовых и иных непосредственно связанных с ними отношений с работниками Предпринимателя;
• подбор персонала для замещения должностей, а также формирование кадрового резерва;
• подготовка, заключение, исполнение и прекращение гражданско-правового договора, стороной которого является Предприниматель;
• защита прав и законных интересов Предпринимателя в административном и судебном порядке;
• рассмотрение обращений граждан Российской Федерации и иных физических лиц;
• освещение деятельности Предпринимателя в информационно-телекоммуникационной сети «Интернет»;
• формирование справочных материалов для внутреннего информационного обеспечения деятельности Предпринимателя.

 

2. Категории субъектов, персональные данные которых обрабатываются, категории и перечень обрабатываемых данных, способы обработки, способы, сроки их обработки и хранения, порядок уничтожения персональных данных

2.1. К категориям субъектов, персональные данные которых обрабатываются Предпринимателем для обеспечения реализации целей обработки персональных данных, указанных в п. 1.6 настоящей Политики, относятся:

• работники и бывшие работники Предпринимателя;
• кандидаты на замещение вакантных должностей;
• контрагенты и представители контрагентов Предпринимателя;
• физические лица, направляющие обращения Предпринимателю;
• пользователи сайта Предпринимателя в информационно-телекоммуникационной сети «Интернет»;
• иные физические лица, предоставившие свои персональные данные в целях их обработки, предусмотренных п. 1.6 настоящей Политики.

2.2. Категории и перечень персональных данных, обрабатываемых Предпринимателем по каждой из категорий субъектов персональных данных, указанных в п. 2.1 настоящей Политики, определяются в соответствии с законодательством Российской Федерации с учетом целей обработки персональных данных, указанных в п. 1.6 настоящей Политики, и включают:

• фамилию, имя, отчество (при наличии); дату и место рождения; сведения, содержащиеся в документах, удостоверяющих личность; пол; гражданство; адрес регистрации; адрес фактического проживания; идентификационный номер налогоплательщика; страховой номер индивидуального лицевого счета; сведения, содержащиеся в документах воинского учета; сведения, содержащиеся в документах об образовании, квалификации; место работы; сведения о занимаемой должности; адрес выполнения трудовой функции дистанционно (удаленно); данные о трудовой деятельности; сведения о доходах; сведения о включении в резерв кадров; сведения о семейном положении; сведения о составе семьи; сведения о социальных льготах, которые предоставляются в соответствии с законодательством Российской Федерации, а также коллективными договорами и локальными нормативными актами Предпринимателя; сведения о результатах аттестации; сведения о дисциплинарных взысканиях; сведения, содержащиеся в трудовом договоре; сведения о государственной или муниципальной службе; иные сведения, указанные в автобиографии; телефонный абонентский номер (служебный, личный); адрес электронной почты; сведения об иждивенцах; номер лицевого счета банковской карты; фотографию; данные, которые образуются при посещении сайтов Предпринимателя (файлы cookies); иные сведения, которые отвечают целям обработки персональных данных, указанным в пункте 1.6 настоящей Политики, и предоставлены субъектом персональных данных;
• персональные данные, входящие в категорию «специальные категории персональных данных», — сведения о наличии или отсутствии судимости; сведения о состоянии здоровья в случаях, предусмотренных законодательством Российской Федерации.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, у Предпринимателя не осуществляется.

Обработка биометрических персональных данных у Предпринимателя не осуществляется.

Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется у Предпринимателя на основании согласия субъекта персональных данных на распространение с соблюдением установленных субъектом персональных данных запретов и условий на обработку персональных данных.

2.3. Для каждой цели обработки персональных данных, указанной в пункте 1.6 настоящей Политики, используется один из способов обработки персональных данных — автоматизированный, неавтоматизированный или смешанный:

• автоматизированный — с применением средств вычислительной техники и специальных сетевых каталогов, предназначенных для работы с конфиденциальной информацией и (или) в информационных системах персональных данных;
• неавтоматизированный — путем ведения журналов, дел в соответствии с номенклатурой дел и фиксации персональных данных на иных бумажных носителях;
• смешанный — совокупность указанных способов.

2.4. Сроки обработки и хранения персональных данных категорий субъектов персональных данных, указанных в пункте 2.1 настоящей Политики, определяются в соответствии с требованиями законодательства Российской Федерации, а также положениями договора, стороной, по которому выступает субъект персональных данных, а при их отсутствии — согласием субъекта персональных данных на обработку персональных данных.

При этом обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено законодательством Российской Федерации.

2.5. У Предпринимателя осуществляется контроль за сроками обработки и хранения персональных данных.

Документы и (или) иные материальные носители, содержащие персональные данные, а также персональные данные, содержащиеся в информационных системах персональных данных, файловых сетевых каталогах или на внешних перезаписываемых электронных носителях, уничтожаются по достижении целей обработки или при наступлении иных законных оснований:

• в случае утраты необходимости в достижении цели обработки персональных данных, если иное не установлено договором, стороной которого является субъект персональных данных, и (или) иными применимыми нормативными правовыми актами Российской Федерации;
• при выявлении факта неправомерной обработки персональных данных;
• в случае отзыва субъектом персональных данных согласия на обработку персональных данных, если иное не предусмотрено законодательством Российской Федерации;
• по истечении срока обработки персональных данных, установленного при сборе персональных данных;
• в случае обращения субъекта персональных данных с требованием о прекращении обработки персональных данных, за исключением случаев, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

Порядок и способы уничтожения персональных данных определяются локальными нормативными актами Предпринимателя в области персональных данных и конфиденциального делопроизводства в зависимости от способов обработки персональных данных и материальных носителей персональных данных, на которых осуществляются запись и хранение персональных данных.

 

3. Условия и порядок обработки персональных данных

3.1. Обработка персональных данных у Предпринимателя допускается в случаях, установленных статьей 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

3.2. Предприниматель без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

3.3. Предприниматель вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора в соответствии с требованиями части 3 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

3.4. Доступ к обрабатываемым персональным данным разрешается только Предпринимателю и работникам Предпринимателя, занимающим должности, в перечень трудовых функций которых относится осуществление обработки персональных данных.

3.5. Предприниматель не осуществляет трансграничную передачу персональных данных.

 

4. Права субъектов персональных данных

4.1. Права субъектов персональных данных включают право на:

• получение информации об их персональных данных, обрабатываемых Предпринимателем в объеме сведений, предусмотренных статьей 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Субъект персональных данных может направить обращение в письменной форме по почтовому адресу, опубликованному на странице «Контактная информация» официального сайта Предпринимателя в информационно-телекоммуникационной сети «Интернет» в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
• доступ к своим персональным данным, обработка которых осуществляется Предпринимателем, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
• уточнение своих персональных данных, обработка которых осуществляется Предпринимателем, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отзыв согласия на обработку персональных данных, предоставленного Предпринимателю;
• принятие предусмотренных законом мер по защите своих прав;
• обжалование действия или бездействия Предпринимателя, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
• направление требования о прекращении передачи (распространения, предоставления, доступа) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения;
• осуществление иных предусмотренных законодательством Российской Федерации прав.

 

5. Меры, принимаемые для обеспечения выполнения обязанностей оператора при обработке персональных данных

5.1. Предприниматель принимает необходимые и достаточные меры, направленные на обеспечение выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации в области персональных данных, которые включают:

• назначение лица, ответственного за организацию обработки персональных данных;
• издание локальных нормативных актов в области обработки и защиты персональных данных;
• опубликование настоящей Политики на сайтах Предпринимателя в информационно-телекоммуникационной сети «Интернет», в том числе на страницах сайтов, с использованием которых осуществляется сбор персональных данных;
• получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
• предоставление субъектам персональных данных или их представителям информации о наличии персональных данных, относящихся к соответствующим субъектам, предоставление возможности ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;
• осуществление внутреннего контроля соответствия обработки персональных данных положениям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, требованиям к защите персональных данных, настоящей Политике, локальным нормативным актам;
• проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации о персональных данных, а также соотношения указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных;
• организацию обучения и проведение методической работы с работниками Предпринимателя, занимающими должности, в перечень трудовых функций которых относится осуществление обработки персональных данных;
• обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков);
• обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;
• обеспечение безопасности персональных данных при их передаче по открытым каналам связи;
• хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
• прекращение обработки и уничтожение персональных данных в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;
• иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.

5.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными нормативными актами, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.

 

6. Внутренний контроль соответствия обработки персональных данных положениям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

6.1. Внутренний контроль соответствия обработки персональных данных положениям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, требованиям к защите персональных данных, настоящей Политике и локальным нормативным актам осуществляется Предпринимателем.

6.2. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной (ст. ст. 5.39, 13.11 - 13.14, 19.7 Кодекса Российской Федерации об административных правонарушениях) или уголовной ответственности (ст. ст. 137, 140, 272, 272.1, 274 Уголовного кодекса Российской Федерации).