1. Настоящий документ определяет политику ИП Стаценко М.С. (далее - Оператор) в отношении обработки персональных данных и реализации требований к защите персональных данных (далее - Политика) в соответствии с требованиями ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
2. Нормативной базой, регламентирующей положения настоящей Политики, являются Конституция Российской Федерации, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей», Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ, Постановление Правительства Российской Федерации от 15.09.2008 № 687, положения иных нормативно-правовых актов Российской Федерации в области обработки персональных данных, Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», приказ Роскомнадзора от 28.10.2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»,
3. К настоящей Политике должен иметь доступ любой субъект персональных данных. Все субъекты персональных данных гарантируют, что являются совершеннолетними.
4. В настоящей Политике используются следующие основные понятия:
5. Оператор вправе вносить изменения в настоящую Политику без согласия субъектов персональных данных.
6. Изменения вступают в силу в день опубликования на Сайте Оператора.
2. Цели обработки персональных данных, субъекты обработки персональных данных, категории персональных данных, основание для обработки персональных данных
№ п/п
Цель обработки персональных данных
Субъекты обработки персональных данных
Категории персональных данных
Основание для обработки персональных данных
1
обеспечение соблюдения налогового законодательства
Работники, Контрагенты
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; пол; адрес места жительства; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; профессия; должность
согласие субъекта персональных данных;
необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей
2
подготовка, заключение и исполнение гражданско-правового договора
Клиенты, Контрагенты, Представители контрагентов
фамилия, имя, отчество, номер телефона, адрес места жительства, адрес регистрации, ИНН, СНИЛС, данные документа, удостоверяющего личность; номер расчетного счета
обработка персональных данных осуществляется с согласия субъекта персональных данных;
обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных
3. Порядок хранения, сроки обработки и уничтожения персональных данных
1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого выгодоприобретателем или поручителем по которому является субъект персональных данных.
2. Персональные данные, полученные на основании согласий субъектов персональных данных, хранятся в течении срока действия того согласия (либо до истечения срока, указанного в п.5.7. настоящей Политики при получении отзыва согласия), а также до достижения целей их обработки, если иное не предусмотрено действующим законодательством Российской Федерации и настоящей Политикой.
3. Для всех целей обработка Оператором персональных данных прекращается в следующих случаях:
1. достижение целей обработки персональных данных;
2. истечение срока обработки персональных данных, предусмотренного законодательством Российской Федерации, договором или согласием субъекта персональных данных на обработку его персональных данных;
3. при отзыве субъектом персональных данных согласия на обработку его персональных данных, в случаях, не противоречащих требованиям законодательства Российской Федерации.
4. в случаях, установленных федеральным законом или договором, стороной которого является субъект персональных данных.
4. Уничтожение персональных данных, обрабатываемых неавтоматическим способом, производится путем механического измельчения.
Уничтожение персональных данных должно производиться способом, исключающим возможность восстановления этих персональных данных. При уничтожении персональных данных должны соблюдаться условия по конфиденциальности этих данных.
5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает их обработку в срок, не превышающий десяти рабочих дней с даты поступления указанного отзыва. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
4. Принципы обработки персональных данных
1. Обработка персональных данных осуществляется на законной и справедливой основе.
2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Принимаются необходимые меры по удалению или уточнению неполных, или неточных данных.
7. Обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению.
Согласие субъекта персональных данных на обработку персональных данных для иных Целей может быть выражено в форме подписанного заявления.
5. Обработка персональных данных
1. Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов, третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, установленных федеральными законами.
2. Обработка персональных данных осуществляется с согласия субъектов персональных данных.
3. Оператор не осуществляет обработку биометрических персональных данных.
4. Оператор не осуществляет обработку специальных категорий персональных данных.
5. Оператор не создает общедоступные источники персональных данных.
6. Оператор не производит трансграничную (на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
7. Оператор вправе передавать персональные данные третьим лицам в следующих случаях:
1. субъект персональных данных выразил свое согласие на такие действия в любой позволяющей подтвердить факт его получения форме;
2. передача предусмотрена федеральным законом в рамках установленной процедуры.
6. Права субъектов персональных данных
1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных.
2. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в том числе в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
4. Субъект персональных данных имеет все иные права, определенные главой 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
7. Предоставление сведений о персональных данных
1. Сведения о персональных данных, указанные в части 7 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ, предоставляются Оператором субъекту персональных данных или его представителю при обращении к Оператору либо при получении в Оператором запроса от субъекта персональных данных или его представителя в течение десяти рабочих дней с момента обращения либо получения Оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
2. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя.
3. Сведения предоставляются в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
5. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
6. Оператор уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
7. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней со дня получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
8. Меры, принимаемые Оператором для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных
1. Меры, предпринятые Оператором для исполнения обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных, включают:
1. назначение ответственного за организацию обработки персональных данных;
2. ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства о персональных данных, требованиями к защите персональных данных, настоящей Политикой, локальными актами Оператора по вопросам обработки и защиты персональных данных;
3. применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
4. оценка вреда, который может быть причинен субъектам персональных данных;
5. осуществление внутреннего контроля соответствия процесса обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным актам Оператора;
6. опубликование документа, определяющего политику в отношении обработки персональных данных и сведениях о реализуемых требованиях к защите персональных данных в общем доступе в салонах;
7. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
8. использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
9. учет и обеспечение сохранности материальных носителей персональных данных;
10. организация режима обеспечения безопасности помещений, в которых размещены информационные системы персональных данных, а также хранятся материальные носители персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
11. обнаружение и принятие мер по фактам несанкционированного доступа к персональным данным;
12. установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
13. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
14. в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, готовность к взаимодействию с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
15. реализация и контроль организационных и технических мер в соответствии с постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
9. Ответственность должностных лиц
1. Работники Оператора, допущенные к персональным данным, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующем законодательством.
10. Поручение на обработку персональных данных.
1. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом.
2. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
3. В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед Оператором.