УТВЕРЖДЕНО

приказом Вековищев А. В

ИП Вековищев А.В.

ПОЛИТИКА

в отношении обработки персональных данных

и сведения о реализуемых требованиях к защите

персональных данных

1. Общие положения
1.1. Настоящая политика разработана на основе и во исполнение следующих норм:
1.1.1. ч. 1 ст. 23, ст. 24 Конституции Российской Федерации;
1.1.2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
1.1.3. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
1.1.4. Постановление Правительства Р Ф от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
1.1.5. Постановление Правительства Р Ф от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее — «Требования к защите в ИСПД»);
1.1.6. Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
1.1.7. главы 14 «Защита персональных данных работников» Трудового кодекса Российской Федерации.
1.2. Назначением настоящей политики является нормативное регулирование, связанное с обработкой и защитой персональных данных в ИП Вековищев Андрей Валерьевич (ОГРНИП 316 623 400 063 274, далее — «оператор» или «компания»), в рамках цели обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Основные понятия, используемые в настоящей политике, определяются согласно статьям 3, 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также следующему перечню:
1.3.1. субъект персональных данных — физическое лицо, прямо или косвенно определенное или определяемое, на основе относящейся к нему любой информации (персональных данных);[1]
1.3.2. компания — оператор, если явно не указано или из контекста не следует иное.
1.3.3. работодатель — оператор при осуществлении трудовых отношений;
1.3.4. работник — физическое лицо, состоящее в трудовых отношениях с работодателем;
1.3.5. клиент — физическое или юридическое лицо, в любой форме заключившее с компанией договор на оказание услуг и (или) выполнение работ;
1.3.6. потенциальный клиент — физическое или юридическое лицо, которое желает или при достаточном информировании может желать стать клиентом компании;
1.3.7. сервис — все веб-сайты, программы для ЭВМ (в том числе программы для мобильных устройств) компании, предоставляющие пользователю сервиса возможность ознакомиться с материалами, размещенными на сервисе, осуществить заказ товара или услуг компании, а также производить оплату за осуществленные заказы (при возможности такой оплаты);
1.3.8. ЦОД — центр обработки данных.
1.4. Права и обязанности оператора и субъектов персональных данных:
1.4.1. субъект персональных данных имеет права, предусмотренные главой 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
1.4.2. права субъекта персональных данных, как работника, дополняются положениями статьи 89 Трудового кодекса Российской Федерации;
1.4.3. обязанности компании, как оператора персональных данных, предусмотрены главой 4 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
1.4.4. обязанности компании при осуществлении трудовых отношений дополняются положениями статей 86 и 88 Трудового кодекса Российской Федерации;
1.4.3. действующим законодательством Российской Федерации могут быть предусмотрены и иные права и обязанности оператора и субъектов персональных данных.
1.5. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.[2]
1.6. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.[3]
2. Цели и Правовые основания обработки персональных данных. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
2.1. Ведение кадрового и бухгалтерского учета.
2.1.1. Для целей ведения кадрового и бухгалтерского учета обрабатываются следующие категории субъектов:
2.1.1.1. работники и уволенные работники, в отношении которых обрабатываются категории персональных данных:
2.1.1.1.1. фамилия, имя, отчество;
2.1.1.1.2. дата рождения;
2.1.1.1.3. место рождения;
2.1.1.1.4. семейное положение;
2.1.1.1.5. доходы;
2.1.1.1.6. пол;
2.1.1.1.7. адрес электронной почты;
2.1.1.1.8. адрес места жительства;
2.1.1.1.9. адрес регистрации;
2.1.1.1.10. номер телефона;
2.1.1.1.11. СНИЛС (номер страхового свидетельства государственного пенсионного страхования);
2.1.1.1.12. ИНН (идентификационный номер налогоплательщика);
2.1.1.1.13. гражданство;
2.1.1.1.14. данные документа, удостоверяющего личность;
2.1.1.1.15. данные водительского удостоверения;
2.1.1.1.16. реквизиты банковской карты;
2.1.1.1.17. должность;
2.1.1.1.18. сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);
2.1.1.1.19. отношение к воинской обязанности, сведения о воинском учете;
2.1.1.1.20. сведения об образовании;
2.1.1.2. родственники работников, в отношении которых обрабатываются категории персональных данных:
2.1.1.2.1. фамилия, имя, отчество;
2.1.1.2.2. степень родства с работником или уволенным работником;
2.1.1.2.3. год рождения.
2.1.2. Правовым основанием обработки персональных данных для целей ведения кадрового и бухгалтерского учета является исполнение договора, стороной которого является субъект персональных данных и/или согласие субъекта персональных данных.
2.1.3. Для целей ведения кадрового и бухгалтерского учета компания осуществляет следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. При этом обработка осуществляется смешанным способом, с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
2.2. Подготовка, заключение и исполнение гражданско-правового договора.
2.2.1. Для целей подготовки, заключения и исполнения гражданско-правового договора обрабатываются следующие категории субъектов:
2.2.1.1. клиенты и прочие контрагенты, являющиеся физическими лицами или индивидуальными предпринимателями, в отношении которых обрабатываются категории персональных данных:
2.2.1.1.1. фамилия, имя, отчество;
2.2.1.1.2. адрес электронной почты;
2.2.1.1.3. номер телефона;
2.2.1.1.4. ИНН (идентификационный номер налогоплательщика);
2.2.1.1.5. данные документа, удостоверяющего личность;
2.2.1.1.6. реквизиты банковской карты;
2.2.1.1.7. номер расчетного счета;
2.2.1.1.8. должность;
2.2.1.1.9. место работы;
2.2.1.1.10. ОГРНИП (основной государственный регистрационный номер индивидуального предпринимателя);
2.2.1.2. представители контрагентов, в отношении которых обрабатываются категории персональных данных:
2.2.1.2.1. фамилия, имя, отчество;
2.2.1.2.2. адрес электронной почты;
2.2.1.2.3. номер телефона;
2.2.1.2.4. данные документа, удостоверяющего личность;
2.2.1.2.5. должность;
2.2.1.2.6. место работы;
2.2.2.7. данные документа, являющегося основанием действия представителя.
2.2.2. Правовым основанием обработки персональных данных для целей подготовки, заключения и исполнения гражданско-правового договора является согласие субъекта персональных данных либо исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
2.2.3. Для целей подготовки, заключения и исполнения гражданско-правового договора компания осуществляет следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. При этом обработка осуществляется смешанным способом, с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
2.3. Обеспечение технической работоспособности и защиты сервисов.
2.3.1. Для целей обеспечение технической работоспособности и защиты сервисов обрабатываются следующие категории субъектов:
2.3.1.1. пользователи сервисов компании, в отношении которых обрабатываются категории персональных данных:
2.3.1.1.1. идентификаторы cookies, программного обеспечения оконечного оборудования субъекта персональных данных;
2.3.1.1.2. IP-адрес оконечного оборудования субъекта персональных данных.
2.3.2. Правовым основанием обработки персональных данных для целей обеспечение технической работоспособности и защиты сервисов является исполнение договора, стороной которого является субъект персональных данных и/или согласие субъекта персональных данных.
2.3.3. Для целей обеспечение технической работоспособности и защиты сервисов компания осуществляет следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. При этом обработка осуществляется смешанным способом, с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
2.4. Развитие (разработка/улучшение) продуктов, сервисов и услуг.
2.4.1. Для целей развития (разработки/улучшения) продуктов, сервисов и услуг компании обрабатываются следующие категории субъектов:
2.4.1.1. посетители сервисов компании, в отношении которых обрабатываются категории персональных данных:
2.4.1.1.1. сведения, собираемые посредством метрических программ.
2.4.2. Правовым основанием обработки персональных данных для целей развития (разработки/улучшения) продуктов, сервисов и услуг компании является исполнение договора, стороной которого является субъект персональных данных и/или согласие субъекта персональных данных.
2.4.3. Для целей развития (разработки/улучшения) продуктов, сервисов и услуг компания осуществляет следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. При этом обработка осуществляется смешанным способом, с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
3. Порядок и условия обработки персональных данных
3.1. Специальных и биометрических категорий персональных данных не обрабатывается.
3.2. Трансграничная передача персональных данных не осуществляется.
3.3. Условия передачи персональных данных в адрес третьих лиц:[4]
3.3.1. в случаях, предусмотренных действующим законодательством Российской Федерации, в том числе, но не ограничиваясь: руководствуясь ст. 88 Трудового кодекса Российской Федерации; Федеральным законом «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» от 01.04.1996 № 27-ФЗ; Федеральным законом «О воинской обязанности и военной службе» от 28.03.1998 № 53-ФЗ; Постановлением Правительства Р Ф от 27.11.2006 № 719 «Об утверждении Положения о воинском учете»; Федеральным законом «О бухгалтерском учете» от 06.12.2011 № 402-ФЗ;
3.3.2. при условии получения соответствующего согласия субъекта таких персональных данных.
3.4. Если в целях исполнения обязательств, взятых на себя компанией в рамках каждого отдельного заключенного договора, требуется передача персональных данных в адрес третьих лиц, то помимо согласия субъекта персональных данных в каждом отдельном таком договоре указываются реквизиты соответствующих третьих лиц, цели осуществляемой передачи, категории передаваемых персональных данных и условия их обработки.
3.5. Для соблюдения требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также для реализации мер по обеспечению безопасности персональных данных при их обработке, предусмотренных ч. 1 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», компанией создана система защиты персональных данных, описанная в пункте 5 «Реализуемые требования к защите персональных данных» настоящей политики.
3.6. Для обеспечения неограниченного доступа к настоящей политике, а также в связи с возможным сбором персональных данных с использованием информационно-телекоммуникационной сети «Интернет», документ опубликован в свободном доступе в обозначенной сети по адресу: https://holisticDD.ru/politika и https://holisticDD.com/politika[5]
3.7. Обработка персональных данных, в том числе их хранение, осуществляется в течение сроков, установленных действующим законодательством Российской Федерации, а также локальными нормативными актами при их наличии.
3.8. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия или отзыв согласия на обработку персональных данных субъектом персональных данных, а также выявление неправомерной обработки персональных данных.[6]
3.9. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, в течение срока не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.[7]
3.10. При осуществлении хранения персональных данных в цифровом формате компания использует базы данных, находящиеся на территории Российской Федерации.[8]
4. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
4.1. В случае достижения цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку компания в порядке и в сроки, предусмотренные ч. 4, 5 и 6 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», прекращает обработку таких данных и уничтожает их.
4.2. В случае выявления неправомерной обработки персональных данных компания осуществляет блокирование и обеспечение правомерности обработки, а при необходимости прекращение обработки и уничтожение неправомерно обрабатываемых персональных данных, о чем уведомляется субъект персональных данных или его представитель либо уполномоченный орган по защите прав субъектов персональных данных. Указанные действия осуществляются в порядке и в сроки, предусмотренные ч. 1, 3 и 6 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
4.3. В случае достижения цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку компания в порядке и в сроки, предусмотренные ч. 4, 5 и 6 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», прекращает обработку таких данных и уничтожает их, если:
4.3.1. иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
4.3.2. оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
4.3.3. иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
4.4. Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.[9]
4.5. Запросы и обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным (далее — «обращения»), а также соответствующие формы обращений.
4.5.1. Обращения принимаются компанией по адресу:
390 000, Россия, г. Рязань, ул. Шевченко, д. 31, кв.72
4.5.2. Обращение, направляемое пользователем, составляется в произвольной письменной форме и должно содержать следующую информацию:[10]
4.5.2.1. номер основного документа, удостоверяющего личность пользователя или его представителя;
4.5.2.2. сведения о дате выдачи указанного документа и выдавшем его органе;
4.5.2.3. сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных компанией;
4.5.2.4. если запрос направляется повторно, то в случаях, предусмотренных ч. 5 ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», повторный запрос должен содержать обоснование его направления;
4.5.2.5. подпись пользователя или его представителя.
4.5.3. Обработка обращений субъектов персональных данных производится компанией в порядке и в сроки, соответствующие ст. 14, 20 и 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
5. Реализуемые требования к защите персональных данных
5.1. Реализуемая компанией система защиты персональных данных включает:
5.1.1. назначение ответственного за организацию обработки персональных данных;[11]
5.1.2. издание настоящей политики;[12]
5.1.3. приятие мер по обеспечению безопасности персональных данных;[13]
5.1.4. осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных положениям законодательства Российской Федерации о персональных данных и принятым в соответствии с ними нормативным правовым актам, требованиям к защите персональных данных, политике в отношении обработки персональных данных, локальным актам;[14]
5.1.5. оценка вреда, который может быть причинен субъектам персональных данных;[15]
5.1.6. ознакомление и (или) обучение работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.[16]
5.2. Особенности обработки данных в информационных системах персональных данных компании:
5.2.1. Информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
5.2.2. При обработке персональных данных компанией осуществляется:
5.2.2.1. организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;[17]
5.2.2.2. обеспечение сохранности носителей персональных данных;[18]
5.2.2.3. утверждение перечня лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;[19]
5.2.2.4. назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.[20]
5.2.3. Контроль за выполнением Требований к защите в ИСПД проводится не реже 1 раза в 3 года.[21]
5.3. Особенности обработки персональных данных без использования средств автоматизации:
5.3.1. Персональные данные, обрабатываемые без использования средств автоматизации, хранятся в запираемом шкафу или помещении, доступ к которым осуществляется в порядке, предусмотренном для обработки соответствующих персональных данных.
5.3.2. Трудовая книжка, документы воинского учёта, карточка формы Т-2 хранятся только в запертом металлическом шкафу или сейфе.
6. Прочее
6.1. Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящей политике, регулируются согласно положениям законодательства Российской Федерации.
6.2. Компания имеет право вносить изменения в настоящую политику. Новая редакция политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией политики.
6.3. Положения политики распространяются на отношения по обработке и защите персональных данных, полученных компанией как до, так и после утверждения настоящей политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения политики не могут быть распространены на отношения по обработке и защите персональных данных, полученных до ее утверждения.

[1] Исходя из пункта 1 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ.
[2] Пункт 2 статьи 5 Федерального закона от 27.07.2006 № 152-ФЗ.
[3] Пункт 5 статьи 5 Федерального закона от 27.07.2006 № 152-ФЗ.
[4] Исходя из статьи 7 Федерального закона от 27.07.2006 № 152-ФЗ.
[5] Согласно части 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ.
[6] Согласно статье 21 Федерального закона от 27.07.2006 № 152-ФЗ.
[7] Согласно части 7 статьи 5 Федерального закона от 27.07.2006 № 152-ФЗ.
[8] Согласно части 5 статьи 18 Федерального закона от 27.07.2006 № 152-ФЗ.
[9] Согласно части 1 статьи 20 Федерального закона от 27.07.2006 № 152-ФЗ.
[10] Согласно частям 3, 5 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ.
[11] Реализация пункта 1 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ.
[12] Реализация пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ.
[13] Реализация пункта 3 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ.
[14] Пункт 4 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ.
[15] Пункт 5 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ.
[16] Пункт 6 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ.
[17] Подпункт «а» пункта 13 Требований, утв. постановлением Правительства Р Ф от 01.11.2012 № 1119.
[18] Подпункт «б» пункта 13 Требований, утв. постановлением Правительства Р Ф от 01.11.2012 № 1119.
[19] Подпункт «в» пункта 13 Требований, утв. постановлением Правительства Р Ф от 01.11.2012 № 1119.
[20] Пункт 14 Требований, утв. постановлением Правительства Р Ф от 01.11.2012 № 1119.
[21] Пункт 17 Требований, утв. постановлением Правительства Р Ф от 01.11.2012 № 1119.