8 (800) 333-90-22
Каталог
Политика конфиденциальности и безопасность данных

Политика ИП Торопов в области обработки и защиты персональных данных.

1. ОБЩИЕ ПОЛОЖЕНИЯ

Политика обработки персональных данных (далее - Политика) разработана в соответствии с Федеральным законом от 27.07.2006. №152-ФЗ «О персональных данных» (далее - ФЗ-152).

Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ИП Торопов (далее – Компания, Оператор) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

    В Политике используются следующие основные понятия:
  • автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
  • блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • информационная система персональных данных - совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
  • информация - сведения (сообщения, данные) независимо от формы их представления;
  • конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или
  • наличия иного законного основания;
  • обезличивание персональных данных - действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
  • обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
  • субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
  • трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
  • уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.

Компания обязана опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике обработки персональных данных в соответствии с ч. 2 ст. 18.1. ФЗ-152.

Настоящая Политика вступает в силу с момента его утверждения генеральным директором Компании, действует бессрочно до вступления в силу Политики в новой редакции.

2. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

    Сбор и обработка персональных данных осуществляется в Компании в следующих целях:
  • ведение деятельности, предусмотренной Уставом Компании;
  • организация и ведение кадрового учета и кадрового делопроизводства;
  • обеспечение соблюдения законов и иных нормативных правовых актов;
  • содействие работникам в трудоустройстве, получении образования и продвижении по службе;
  • обеспечение личной безопасности работников, контроля и качества выполняемой ими работы и обеспечения сохранности имущества;
  • исполнение требований законодательства Российской Федерации, связанных с предоставлением статистической и иной персонифицированной отчетности, с исчислением и уплатой налогов, сборов и иных обязательных платежей в отношении физических лиц – работников Компании.

3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Компания осуществляет обработку персональных данных, руководствуясь:
  • ст. 22, 65, 86, 136, 166, 168, раздел Х Трудового кодекса Российской Федерации;
  • ст. 160, 182, 185, 786, 845-847, 942 Гражданского кодекса Российской Федерации;
  • ст. 226, 230, гл. 14 Налогового кодекса Российской Федерации;
  • ст. 6, 8 Федерального закона от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  • ст. 31 Федерального закона от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»;
  • ст. 8 Федерального закона от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
  • ст. 7 Федерального закона от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
  • ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»;
  • ст. 4.1, 4.3, 13 Федерального закона от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
  • ст. 12.1 Закона РФ от 11.03.1992 N 2487-1 «О частной детективной и охранной деятельности в Российской Федерации»;
  • Постановление Правительства РФ от 13.10.2008 № 749 «Положения об особенностях направления работников в служебные командировки»;
  • Приказ ФНС России от 30.10.2015 N ММВ-7-11/485@ «Об утверждении формы сведений о доходах физического лица, порядка заполнения и формата ее представления в электронной форме»;
  • Постановление Правления Пенсионного Фонда РФ от 16.01.2014 № 2п «Об утверждении формы расчета по начисленным и уплаченным страховым взносам на обязательное пенсионное страхование в Пенсионный фонд Российской Федерации и на обязательное медицинское страхование в Федеральный фонд обязательного медицинского страхования плательщиками страховых взносов, производящими выплаты и иные вознаграждения физическим лицам, и Порядка ее заполнения»;
  • Постановление Правления ПФ РФ от 11.01.2017 N 2п «Об утверждении форм документов, используемых для регистрации граждан в системе обязательного пенсионного страхования, и Инструкции по их заполнению»;
  • Федеральный закон от 28.12.2009 N 381-ФЗ (ред. от 01.04.2022) "Об основах государственного регулирования торговой деятельности в Российской Федерации";
  • Постановление Госкомстата Российской Федерации от 05.01.2004 N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты", форма № Т-2;
  • Инструкция Банка России от 30.05.2014 № 153-И «Об открытии и закрытии банковских счетов, счетов по вкладам (депозитам), депозитных счетов»;
  • договорами, заключаемыми Оператором с субъектами персональных данных или с третьими лицами в интересах субъектов персональных данных.

4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ДАННЫХ

    В Компании обрабатываются следующие категории персональных данных:
  1. Персональные данные общей категории: фамилия, имя, отчество, пол, возраст, год, месяц, дата рождения, адрес места жительства, телефон, семейное положение, наличие детей, родственные связи, факты биографии, социальное положение, имущественное положение, сведения о заработной плате, образование, квалификация, сведения о профессиональной переподготовке, профессия.
  2. Биометрические персональные данные: изображения субъекта персональных данных (фотография, видеозапись). Биометрические персональные данные могут обрабатываться Оператором только при наличии согласия соответствующего субъекта в письменной форме.
  3. Общедоступные персональные данные – персональные данные, содержащиеся в общедоступных источниках и доступные неограниченному кругу лиц.
    Обработка Оператором специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случаях, если:
  • субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
  • персональные данные сделаны общедоступными субъектом персональных данных;
  • обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
  • обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено федеральным законом.

Обработка персональных данных о судимости может осуществляться Оператором исключительно в случаях и в порядке, которые определяются в соответствии с федеральными законами.

Оператор обрабатывает персональные данные только в объеме, необходимом для достижения целей, указанных в п. 2 настоящей Политики. Сбор, использование и иные действия с персональными данными субъектов в объеме, превышающем необходимый для удовлетворения целей Компании, не допускается.

    Субъектами, персональные данные которых могут обрабатываться в Компании, являются:
  • сотрудники Компании (в т.ч. бывшие сотрудники) и их родственники;
  • физические лица, состоящие в договорных и иных гражданско-правовых отношениях с Компанией;
  • кандидаты на замещение вакантных должностей в Компании, а также лица, проходящие стажировку / практику в Компании;
  • клиенты и контрагенты Компании (физические лица), в т.ч. потенциальные клиенты / контрагенты, а также сотрудники и представители клиентов / контрагентов Компании (юридических лиц);
  • посетители (гости) офиса Компании;
  • иные лица.

5. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на Оператора.

    Субъект персональных данных имеет право:
  • доступа к своим персональным данным в любой момент;
  • на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами;
  • требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
  • обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
  • на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке

Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.

6. ОБЯЗАННОСТИ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

    В процессе обработки персональных данных Оператор обязан:
  • предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
  • если предоставление персональных данных является обязательным в соответствии с федеральным законом, разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные;
  • если персональные данные получены не от субъекта персональных данных, за исключением случаев, предусмотренных законодательством, до начала обработки таких персональных данных предоставить субъекту персональных данных следующую информацию:
    • наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
    • цель обработки персональных данных и ее правовое основание;
    • предполагаемые пользователи персональных данных;
    • установленные настоящим Федеральным законом права субъекта персональных данных;
    • источник получения персональных данных.
  • при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством;
  • принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей Оператора, предусмотренных настоящей Политикой и законодательством РФ.

7. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Принципы обработки персональных данных

    Обработка персональных данных в Компании осуществляется на основе следующих принципов:
  • законности и справедливости;
  • ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
  • недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
  • недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработки только тех персональных данных, которые отвечают целям их обработки;
  • соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
  • недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
  • обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
  • уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.

7.2. Условия обработки персональных данных

    Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий:
  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - общедоступные персональные данные);
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ о персональных данных.

7.3. Конфиденциальность персональных данных

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ о персональных данных.

7.4. Общедоступные источники персональных данных

В целях информационного обеспечения в Компании могут создаваться общедоступные источники персональных данных субъектов, в том числе базы данных, электронные справочники и адресные книги. Персональные данные субъектов могут включаться в такие источники исключительно с письменного согласия субъекта.

К персональным данным, содержащимся в таким общедоступных источниках могут быть отнесены: фамилия, имя, отчество, дата рождения, должность, номера контактных телефонов, адрес электронной почты.

Сведения о субъекте должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта либо по решению суда или иных уполномоченных государственных органов.

7.5. Действия, осуществляемые Оператором с персональными данными

    Оператор осуществляет с использованием и без использования средств автоматизации следующие действия с персональными данными:
  • получение персональных данных у субъекта (сбор);
  • систематизация и учет персональных данных субъекта;
  • хранение и накопление персональных данных;
  • передача персональных данных третьим лицам в случаях, предусмотренных законодательством РФ;
  • изменение, уточнение, блокирование и уничтожение персональных данных;
  • иные действия, связанные с обработкой персональных данных и необходимые для достижения целей, указанных в п.2 настоящей Политики.

7.6. Поручение обработки персональных данных другому лицу

Для достижения целей, указанных в п.2. настоящей Политики, Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ о персональных данных, на основании заключаемого с таким лицом договора.

В поручении Оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных.

Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящей Политикой и законодательством РФ о персональных данных.

В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

7.7. Меры, направленные на обеспечение безопасности персональных данных при их обработке

Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.

    Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие меры:
  • назначение лиц, ответственных за организацию обработки и защиты персональных данных в Компании;
  • ограничение состава лиц, имеющих доступ к персональным данным;
  • ознакомление субъектов, чьи персональные данные обрабатываются Оператором, с требованиями федерального законодательства и локальных нормативных документов Оператора, касающихся обработки и защиты персональных данных;
  • опубликование и обеспечение неограниченного доступа к политике Оператора в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
  • организация учета, хранения и обращения носителей информации, соджержащей персональные данные;
  • определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз и оценка вреда, который может быть причинен субъектам персональных данных;
  • разработка на основе модели угроз системы защиты персональных данных;
  • проверка готовности и эффективности использования средств защиты информации;
  • разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
  • регистрация и учет действий пользователей информационных систем Компании, содержащих персональные данные;
  • использование антивирусных средств и средств восстановления системы защиты персональных данных;
  • применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
  • организация пропускного режима на территорию Компании, охраны помещений с техническими средствами обработки персональных данных.

7.8. Актуализация, исправление, удаление и уничтожение персональных данных

В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, незамедлительно с момента получения такого обращения.

В случае подтверждения факта неточности персональных данных Оператор осуществляет блокирование соответствующих персональных данных субъекта, а также на основании сведений, представленных субъектом персональных данных или его представителем, или иных необходимых документов производит уточнение (актуализацию) персональных данных в течение 7 (семи) рабочих дней со дня представления таких сведений. С момента актуализации неточных сведений блокирование персональных данных снимается.

В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, Оператор в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, производит уничтожение таких персональных данных. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор уведомляет субъекта персональных данных в письменном виде.

    В случае достижения целей обработки персональных данных, указанных в п.2. настоящей Политики, а также в случае отзыва субъектом персональных данных согласия на их обработку, Оператор прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных, если:
  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных:
  • иное не предусмотрено иным соглашением между оператором и субъектом персональных данных;
  • если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных.

В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в настоящем пункте, Оператор осуществляет блокирование таких персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен законодательством РФ.

7.9. Порядок ответа на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов

В случае поступления от субъекта персональных данных запроса Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при личном обращении субъекта персональных данных либо в течение 30 (тридцати) дней с даты получения запроса субъекта персональных данных в письменной или электронной форме.

Возможность ознакомления с персональными данными, относящимися к субъекту персональных данных, предоставляется такому субъекту безвозмездно.

В случае наличия оснований, предусмотренных законодательством РФ, для отказа в удовлетворении запроса субъекта персональных данных Оператор в течение 30 (тридцати) дней с момента получения запроса предоставляет субъекту персональных данных мотивированный ответ в письменной форме.

В случае обращения субъекта персональных данных с указанием на неточность, неактуальность или неполноту его персональных данных Оператор вносит в них необходимые изменения в срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными.

В случае обращения субъекта персональных данных с указанием на незаконность получения персональных данных Оператор в срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор производит уничтожение таких персональных данных, о чем субъекту таких персональных данных Оператором направляется уведомление.

Запросы уполномоченного органа по защите прав субъектов персональных данных рассматриваются Оператором в течение 30 (тридцати) дней с момента получения, о чем в указанных срок направляется письменный ответ Оператора.

8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Иные права и обязанности Компании, как оператора персональных данных определяются законодательством Российской Федерации в области персональных данных.

Должностные лица и работники Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут ответственность в порядке, установленном федеральными законами.