Политика в отношении обработки персональных данных

Утверждено
Приказом индивидуального предпринимателя Васина К.И. от «9» июня 2025 г. № 1

1. Общие положения

1.1. Политика разработана в соответствии с Конституцией РФ, Гражданским кодексом РФ, Федеральными законами об информации и персональных данных, а также внутренними трудовыми правилами Оператора.

1.2. Настоящая Политика:

• 1.2.1. раскрывает основные категории обрабатываемых персональных данных, цели, способы обработки, права и обязанности сторон;
• 1.2.2. является общедоступным документом, декларирующим концептуальные основы деятельности при обработке персональных данных.

1.3. Термины и определения:

• 1.3.1. Биометрические персональные данные — сведения о физиологических и биологических особенностях человека, используемые для установления личности.
• 1.3.2. Блокирование персональных данных — временное прекращение обработки (кроме уточнения).
• 1.3.3. Доступ к информации — ознакомление, обработка, копирование, модификация или уничтожение.
• 1.3.4. Информационная система персональных данных (ИСПДн) — совокупность баз данных и технологий для их обработки.
• 1.3.5. Несанкционированный доступ (НСД) — доступ к информации без надлежащих полномочий в различных носителях.
• 1.3.6. Носитель информации — материальный объект для хранения или передачи информации.
• 1.3.7. Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому физическому лицу.
• 1.3.8. Оператор — Индивидуальный предприниматель Васин Константин Игоревич, организующий и осуществляющий обработку персональных данных.
• 1.3.9. Обработка персональных данных — любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
• 1.3.10. Предоставление персональных данных — раскрытие данных определённому лицу или кругу лиц.
• 1.3.11. Распространение персональных данных — раскрытие неопределённому кругу лиц.
• 1.3.12. Специальные категории персональных данных — данные о расовой, национальной принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья, интимной жизни.
• 1.3.13. Субъект персональных данных — физическое лицо, определённое или определяемое по персональным данным.
• 1.3.14. Трансграничная передача — передача данных на территорию иностранного государства.
• 1.3.15. Уничтожение персональных данных — действия, делающие невозможным восстановление содержания в системе или уничтожающие материальные носители.

1.4. Основные права Субъектов персональных данных:

• 1.4.1. право на получение сведений об обработке его персональных данных Оператором;
• 1.4.2. право требовать уточнения, блокирования или уничтожения неполных, устаревших, неточных или незаконно полученных данных;
• 1.4.3. право на доступ может быть ограничено федеральными законами;
• 1.4.4. право обратиться к Оператору; последний рассматривает обращения, расследует нарушения, принимает меры для устранения и разрешения конфликтов;
• 1.4.5. право обжаловать действия Оператора в уполномоченный орган (территориальный орган Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций);
• 1.4.6. право на защиту, включая возмещение убытков и компенсацию морального вреда в суде.

1.5. Основные обязанности Оператора:

• 1.5.1. соблюдать требования законодательства РФ в области обработки и защиты персональных данных;
• 1.5.2. при сборе данных предоставить информацию об обработке по запросу субъекта;
• 1.5.3. разъяснить юридические последствия отказа при обязательном предоставлении данных;
• 1.5.4. обеспечить запись, систематизацию, накопление, хранение, уточнение на базах данных на территории РФ;
• 1.5.5. опубликовать и обеспечить доступ к актуальной политике и сведениям о защите данных;
• 1.5.6. принять необходимые правовые, организационные и технические меры для защиты от неправомерного или случайного доступа;
• 1.5.7. сообщить субъекту информацию о наличии его персональных данных и предоставить возможность ознакомления;
• 1.5.8. уточнять, блокировать или уничтожать неполные, устаревшие, неточные или ненужные данные;
• 1.5.9. прекратить обработку при отзыве согласия, если нет оснований по ст. 6, 10, 11 Федерального закона от 27.07.2006 № 152-ФЗ.

2. Цели сбора персональных данных

2.1. Оператор обрабатывает персональные данные следующих категорий субъектов:

• 2.1.1. работников;
• 2.1.2. родственников работников;
• 2.1.3. бывших работников;
• 2.1.4. кандидатов на вакантные должности;
• 2.1.5. клиентов;
• 2.1.6. посетителей сайта;
• 2.1.7. представителей/работников контрагентов.

2.2. Оператор обрабатывает персональные данные работников в целях: выполнения требований законодательства РФ; осуществления трудовых отношений; заключения и выполнения обязательств по трудовым договорам.

2.3. Оператор обрабатывает персональные данные родственников работников в целях ведения кадрового делопроизводства, бухгалтерского и налогового учёта.

2.4. Оператор обрабатывает персональные данные бывших работников в целях ведения бухгалтерского учёта.

2.5. Оператор обрабатывает персональные данные кандидатов на замещение вакантных должностей в целях принятия решения о трудоустройстве и кадрового планирования.

2.6. Оператор обрабатывает персональные данные клиентов с целью заключения и исполнения обязательств по гражданско-правовым договорам.

2.7. Оператор обрабатывает персональные данные посетителей сайта с целью обработки запросов для получения информации об услугах, обратного звонка, направления сообщения по электронной почте или в мессенджерах.

2.8. Оператор обрабатывает персональные данные представителей/работников контрагентов в целях заключения и выполнения обязательств по договорам.

3. Правовые основания обработки персональных данных

3.1. Правовым основанием обработки является совокупность правовых актов, во исполнение которых осуществляется обработка персональных данных.

3.2. Обработка осуществляется в соответствии со следующими правовыми основаниями:

• Конституция РФ;
• Трудовой кодекс РФ;
• Гражданский кодекс РФ;
• Налоговый кодекс РФ (часть первая);
• Федеральный закон «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
• Федеральный закон «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон «О персональных данных»;
• трудовые договоры с работниками;
• договоры между Оператором и субъектом персональных данных;
• договоры между Оператором и лицами, осуществляющими обработку по поручению;
• согласия субъектов на обработку персональных данных.

4. Объём и категории обрабатываемых персональных данных. Категории субъектов персональных данных

4.1. Содержание и объём обрабатываемых персональных данных соответствует целям обработки.

4.1.1. Работники

• фамилия, имя, отчество;
• ИНН;
• СНИЛС (№ страхового пенсионного свидетельства);
• пол;
• дата рождения;
• место рождения;
• гражданство;
• образование;
• профессия;
• стаж работы;
• семейное положение, состав семьи с указанием степени родства, фамилии, имени, отчества, года рождения ближайших родственников;
• данные документа, удостоверяющего личность;
• адрес регистрации;
• адрес места жительства;
• телефон;
• сведения об отношении к воинской службе;
• должность;
• фотография;
• сведения о трудовой деятельности (стаж работы, данные о текущей занятости с наименованием и расчётным счётом организации).

4.1.2. Кандидаты на замещение вакантных должностей

• фамилия, имя, отчество;
• город места жительства;
• образование;
• профессия;
• предыдущий опыт работы, стаж;
• контактный телефон, адрес электронной почты.

4.1.3. Родственники работников

• фамилия, имя, отчество;
• степень родства;
• состояние в браке;
• год рождения;
• сведения о доходах;
• адрес места жительства.

4.1.4. Бывшие работники

В рамках обработки персональных данных бывших работников обрабатываются категории, указанные в п. 4.1.2.

4.1.5. Клиенты

• фамилия, имя, отчество;
• данные документа, удостоверяющего личность;
• адрес места жительства;
• адрес регистрации;
• пол;
• ИНН, СНИЛС;
• семейное положение;
• место работы, должность;
• дата и место рождения;
• номера контактных телефонов;
• сведения о доходах;
• адрес электронной почты;
• сведения, собираемые посредством метрических программ;
• сведения об образовании;
• сведения о трудовой деятельности;
• изображение (фотография).

4.1.6. Посетители сайта

• фамилия, имя, отчество;
• адрес электронной почты;
• контактный номер телефона;
• сведения, собираемые посредством метрических программ.

4.2. Оператор не осуществляет обработку биометрических персональных данных.

5. Порядок и условия обработки персональных данных

5.1. Обработка персональных данных субъектов осуществляется в целях, указанных в разделе 2.

5.2. Оператором обрабатываются категории персональных данных, указанные в разделе 4.

5.3. Обработка осуществляется только при условии получения согласия субъектов персональных данных. Согласие оформляется в письменной форме, если иное не установлено Федеральным законом.

5.4. Обработка включает в себя следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

5.5. Обработка осуществляется соответствующим целям обработки утверждённым перечнем должностей.

5.6. Оператор не осуществляет трансграничную передачу персональных данных.

5.7. Оператором созданы общедоступные источники персональных данных (сайт, информационный стенд). Персональные данные включаются только с письменного согласия субъекта.

5.8. Сбор, запись, систематизация, накопление и уточнение осуществляется путём получения данных непосредственно от субъектов персональных данных или их законных представителей.

5.9. Оператор и работники, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять данные без согласия субъекта, если иное не предусмотрено федеральным законом.

5.10. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством РФ.

5.11. При обязательном предоставлении данных работник, осуществляющий сбор, обязан разъяснить юридические последствия отказа.

5.12. Оператор обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона 152-ФЗ.

5.13. Оператор принимает меры, предусмотренные ч. 2 ст. 18.1 и ч. 1 ст. 19 Федерального закона 152-ФЗ.

5.14. Оператор не использует базы данных, находящиеся за пределами границ РФ.

5.15. Условия прекращения обработки персональных данных:

• достижение целей обработки персональных данных;
• истечение срока действия согласия или отзыв согласия субъекта;
• выявление неправомерной обработки;
• истечение срока хранения документов, установленных законом;
• прекращение деятельности Оператора.

5.16. Назначенными лицами осуществляется контроль за хранением и использованием материальных носителей персональных данных.

5.17. Срок хранения персональных данных осуществляется не дольше, чем требуют цели обработки, кроме случаев, когда срок установлен федеральным законом или договором.

6. Актуализация, исправление, удаление и уничтожение персональных данных. Ответы на запросы субъектов

6.1. При выявлении неправомерной обработки Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных.

6.2. При выявлении неточных персональных данных Оператор осуществляет блокирование на период проверки и при подтверждении факта неточности уточняет данные и снимает блокирование.

6.3. Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой обработке по запросу.

6.4. Сведения предоставляются при получении запроса. Запрос может быть направлен в форме электронного документа и подписан электронной подписью.

6.5. Субъекты персональных данных имеют право на получение информации, содержащей: подтверждение факта обработки; правовые основания и цели; применяемые способы; обрабатываемые данные и источник; сроки обработки и хранения; порядок осуществления прав; иные сведения, предусмотренные законодательством РФ.

6.6. При получении запроса Оператор предоставляет сведения в срок согласно требованиям статьи 20 Федерального закона от 27.07.2006 № 152-ФЗ.

6.7. Субъекты персональных данных вправе требовать уточнения, блокирования или уничтожения неполных, устаревших, неточных, незаконно полученных или ненужных данных.

6.8. Право субъекта на доступ к персональным данным может быть ограничено в соответствии с федеральными законами.

6.9–6.12. Для получения информации, уточнения, исключения неправомерности обработки или отзыва согласия Субъекту необходимо заполнить соответствующую форму запроса и передать лично или по почте.

6.13. При достижении целей обработки или отзыве субъектом согласия персональные данные подлежат уничтожению, если иное не предусмотрено договором или иным соглашением между Оператором и субъектом.

6.14. При получении запроса Оператор осуществляет соответствующие меры в сроки согласно требованиям статьи 21 Федерального закона от 27.07.2006 № 152-ФЗ.

7. Обеспечение защиты персональных данных при их обработке

7.1. Оператор предпринимает необходимые правовые, организационные и технические меры для защиты персональных данных. Среди них:

• назначение ответственного лица за организацию обработки персональных данных;
• принятие документов, определяющих политику и локальных актов;
• осуществление внутреннего контроля соответствия обработки законодательству;
• ознакомление работников с положениями законодательства РФ и локальными актами;
• проведение оценки вреда и определение принимаемых мер.

7.2. Защита при обработке без средств автоматизации достигается путём обособления данных, недопущения фиксации на одном носителе несовместимых целей, использования отдельных носителей и типовых форм, раздельного хранения, перечня лиц. Требования к мерам защиты осуществляются в соответствии с руководящими и методическими документами ФСТЭК России и ФСБ России.

7.3. Безопасность обеспечивается комплексом правовых, организационных и технических мероприятий в рамках системы защиты персональных данных (СЗПДн).

7.4. Защита персональных данных осуществляется для исключения несанкционированного, включая случайный, доступа.

7.5. Методами и способами защиты являются: разрешительная система допуска; ограничение доступа в помещения; разграничение доступа к ресурсам и программным средствам; регистрация действий; учёт и хранение съёмных носителей; средства защиты, прошедшие оценку соответствия; защищённые каналы связи; размещение технических средств в пределах охраняемой территории; физическая защита помещений; предотвращение внедрения вредоносных программ.

8. Заключительные положения

8.1. Настоящая политика является внутренним документом Оператора, общедоступной и подлежит размещению на сайте.

8.2. Настоящая политика подлежит изменению и дополнению при появлении новых законодательных актов, но не реже одного раза в три года.

8.3. Контроль исполнения требований политики осуществляется ответственным за организацию обработки персональных данных.

8.4. Ответственность должностных лиц, имеющих доступ к персональным данным, определяется в соответствии с законодательством РФ и внутренними документами Оператора.

Реквизиты Оператора

Оператор: Индивидуальный предприниматель Васин Константин Игоревич
ИНН: 213010324273
ОГРНИП: 318213000056651
E-mail: vasin.k.i@yandex.ru