Политика ИП Каркин Н.Д. в отношении обработки персональных данных
1. Общие положения
Настоящая Политика Индивидуального предпринимателя Каркин Никита Дмитриевич в отношении обработки персональных данных (далее — Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1, ч. 1 ст. 19, ст. 7 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Настоящая политика определяет порядок обработки и меры по обеспечению безопасности данных в ИП Каркин Никита Дмитриевич (ОГРНИП: 319665800144830, ИНН: 667900832506).
Политика действует в отношении всех персональных данных, которые обрабатывает Индивидуальный предприниматель Каркин Никита Дмитриевич (далее — Оператор).
Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе, в том числе в информационно-телекоммуникационной сети Интернет на сайте Оператора.
Основные права и обязанности Оператора:
Оператор имеет право самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных.
Оператор имеет право поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора.
В случае отзыва субъектом согласия на обработку, Оператор вправе продолжить обработку без согласия при наличии оснований, указанных в Законе.
Оператор обязан организовывать обработку персональных данных в соответствии с требованиями Закона.
Оператор обязан отвечать на обращения и запросы субъектов персональных данных и их законных представителей.
Оператор обязан сообщать в Роскомнадзор по запросу необходимую информацию в течение 10 рабочих дней.
Оператор обязан обеспечивать взаимодействие с ГосСОПКА (информирование о компьютерных инцидентах).
Основные права субъекта персональных данных:
Получать информацию, касающуюся обработки его персональных данных.
Требовать уточнения его персональных данных, их блокирования или уничтожения, если они неполные, устаревшие, неточные, незаконно полученные или не являются необходимыми для заявленной цели.
Дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг.
Обжаловать в Роскомнадзоре или в суде неправомерные действия или бездействие Оператора.
Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.
Ответственность за нарушение требований законодательства и локальных актов Оператора определяется в соответствии с законодательством РФ.
2. Цели обработки персональных данных
Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора данных.
Обработке подлежат только персональные данные, которые отвечают целям их обработки.
Обработка осуществляется в следующих целях:
Подготовка, заключение и исполнение гражданско-правовых договоров;
Обеспечение соблюдения трудового законодательства РФ;
Продвижение на рынке товаров и услуг;
Ведение кадрового и бухгалтерского учета;
Подбор персонала (соискателей) на вакантные должности;
Обеспечение соблюдения налогового законодательства РФ.
3. Правовые основания обработки персональных данных
Правовым основанием обработки является совокупность нормативных правовых актов:
Конституция Российской Федерации;
Гражданский кодекс Российской Федерации;
Трудовой кодекс Российской Федерации;
Налоговый кодекс Российской Федерации;
Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»;
Федеральный закон от 15.12.2001 N 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
Иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
Правовым основанием обработки также являются:
Договоры, заключаемые между Оператором и субъектами персональных данных;
Согласие субъектов персональных данных на обработку их персональных данных.
4. Объем и категории обрабатываемых персональных данных
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки и не должны быть избыточными.
Оператор обрабатывает персональные данные следующих категорий субъектов:
Представители Контрагентов; Контрагенты, Клиенты, Выгодоприобретатели по договорам.
Цель: подготовка, заключение и исполнение гражданско-правовых договоров.
Категории данных: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; гражданство, номер расчетного счета, адрес места жительства; номер телефона; ИНН; гражданство; данные документа, удостоверяющего личность.
Правовое основание: согласие субъекта; достижение целей, предусмотренных законом или договором.
Действия: сбор, запись, систематизация, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение, накопление.
Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.
Работники; Родственники работников; Уволенные работники.
Цель: обеспечение соблюдения трудового законодательства РФ.
Категории данных: ФИО, даты/место рождения, семейное положение, пол, email, адреса, телефон, СНИЛС, ИНН, гражданство, водительское удостоверение, паспортные данные, данные свидетельства о рождении, профессия, должность, стаж и трудовая деятельность, воинский учет, образование.
Правовое основание: выполнение функций, возложенных законодательством РФ на оператора.
Действия: сбор, запись, систематизация, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение, накопление.
Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.
Контрагенты; Представители контрагентов; Клиенты; Посетители сайта; Выгодоприобретатели.
Цель: продвижение товаров, работ, услуг на рынке.
Категории данных: фамилия, имя, отчество; адрес электронной почты; адрес места жительства; номер телефона.
Правовое основание: согласие субъекта.
Действия: сбор, запись, систематизация, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение, накопление.
Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.
Работники (и родственники, уволенные); Контрагенты; Клиенты; Выгодоприобретатели; Законные представители.
Цель: ведение кадрового и бухгалтерского учета.
Категории данных: ФИО, даты/место рождения, семейное положение, доходы, пол, email, адреса, телефон, СНИЛС, ИНН, гражданство, водительское удостоверение, паспортные данные, банковские реквизиты, должность, стаж, воинский учет.
Правовое основание: выполнение функций, возложенных законодательством РФ.
Действия и способы: аналогично п. 4.2.1.
Соискатели.
Цель: подбор персонала на вакантные должности.
Категории данных: фамилия, имя, отчество; пол; гражданство; номер телефона, адрес электронной почты; профессия; должность; сведения о трудовой деятельности; сведения об образовании.
Правовое основание: согласие субъекта; выполнение функций, возложенных законодательством.
Действия и способы: аналогично п. 4.2.1.
Соискатели; Родственники работников; Уволенные работники; Контрагенты; Клиенты; Выгодоприобретатели.
Цель: обеспечение соблюдения налогового законодательства РФ.
Категории данных: ФИО, даты/место рождения, доходы, пол, сем. положение, адреса, СНИЛС, ИНН, гражданство, паспортные данные, банковские реквизиты, должность, стаж.
Правовое основание: выполнение функций, возложенных законодательством РФ.
Действия и способы: аналогично п. 4.2.1.
Обработка биометрических персональных данных Оператором не осуществляется.
Обработка специальных категорий персональных данных (раса, полит. взгляды, здоровье, интимная жизнь) не осуществляется, за исключением случаев, предусмотренных законом.
Трансграничная передача персональных данных не осуществляется.
5. Порядок и условия обработки персональных данных
Обработка осуществляется в соответствии с требованиями законодательства РФ.
Обработка осуществляется с согласия субъектов, а также без такового в случаях, предусмотренных законом.
Способы обработки: неавтоматизированная; автоматизированная (с передачей по сети или без); смешанная.
К обработке допускаются работники Оператора, в чьи обязанности это входит.
Сбор данных происходит устно, письменно от субъектов, либо путем внесения в системы Оператора.
Не допускается раскрытие третьим лицам и распространение данных без согласия субъекта (кроме случаев по закону). Согласие на распространение оформляется отдельно.
Передача данных органам (МВД, ФНС, СФР) осуществляется по закону.
Хранение данных осуществляется не дольше, чем этого требует цель обработки, если иное не установлено законом/договором.
Бумажные носители хранятся согласно срокам архивного дела (ФЗ № 125-ФЗ).
Срок хранения в информационных системах соответствует срокам на бумажных носителях.
Оператор прекращает обработку:
При выявлении неправомерной обработки (в течение 3 рабочих дней).
При достижении цели обработки.
При истечении срока действия или отзыве согласия (в течение 30 дней, если нет иных оснований).
При сборе данных через Интернет используется база данных на территории РФ.
6. Обеспечение безопасности, защиты и конфиденциальности
Оператор и иные лица, получившие доступ к данным, обязаны соблюдать конфиденциальность.
Оператор принимает меры, необходимые и достаточные для выполнения обязанностей по Закону (ст. 18.1, 19).
Назначен ответственный за организацию обработки данных.
Изданы локальные акты (Политика и др.).
Обеспечен внутренний контроль и аудит.
Производится оценка вреда.
Работники ознакомлены с законодательством и обучены.
Обеспечен неограниченный доступ к Политике (сайт, стенд).
Установлен 3 уровень защищенности информационных систем.
Применены меры для 3-го уровня защищенности (ПП РФ № 1119):
Режим безопасности помещений.
Сохранность носителей.
Утвержден перечень лиц с доступом.
Используются сертифицированные средства защиты информации.
Назначен ответственный за безопасность в ИС.
Применяются сертифицированные программно-технические средства.
Проводится оценка эффективности мер.
Ведется учет машинных носителей.
Разработан регламент на случай компьютерных инцидентов.
Обеспечивается восстановление данных.
Установлены правила доступа и регистрация действий в системах.
Осуществляется контроль защищенности.
Соблюдаются правила обработки без средств автоматизации (ПП РФ № 687).
Определены места хранения материальных носителей для каждой категории.
Обеспечено раздельное хранение несовместимых данных.
Соблюдаются условия, исключающие несанкционированный доступ к носителям.
7. Актуализация, исправление, удаление и уничтожение
Ответы на запросы. Оператор предоставляет сведения о наличии и условиях обработки данных в течение 10 рабочих дней с момента запроса. Запрос должен содержать паспортные данные и подпись.
Адрес для почты: 620142 г. Екатеринбург, ул. Щорса д.24 кв.230
Электронная почта: kapo.fulfilment@yandex.ru
В случае выявления неточных данных Оператор блокирует их и уточняет в течение 7 рабочих дней.
В случае выявления неправомерной обработки Оператор блокирует данные с момента обращения.
При утечке данных (инциденте) Оператор уведомляет Роскомнадзор: в течение 24 часов — об инциденте, в течение 72 часов — о результатах расследования.
Порядок уничтожения:
Общий срок уничтожения — 30 дней после достижения целей или отзыва согласия (если нет иных законных оснований).
Уничтожение производится при достижении цели, отзыве согласия или неправомерной обработке.
Уничтожение осуществляет комиссия, созданная приказом ИП.
Способы уничтожения устанавливаются в локальных актах Оператора.