Политика в отношении обработки персональных данных
1. Общие положения
1.1. Политика обработки персональных данных ИП Трусов Егор Анатольевич (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ-152) и иными федеральными законами и подзаконными актами РФ, определяющими порядок и особенности обработки персональных данных (далее – ПДн), обеспечения безопасности и конфиденциальности ПДн.
1.2. Политика определяет порядок обработки ПДн и меры по обеспечению безопасности ПДн в ИП Трусов Егор Анатольевич (далее –Оператор) с целью защиты прав и свобод человека и гражданина при обработке его ПДн, в т.ч. защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Положения Политики являются обязательными для исполнения всеми работниками, имеющими доступ к ПДн.
1.4. Политика является общедоступной и подлежит размещению на официальном веб-сайте krymstekloproekt.ru
1.2. Политика определяет порядок обработки ПДн и меры по обеспечению безопасности ПДн в ИП Трусов Егор Анатольевич (далее –Оператор) с целью защиты прав и свобод человека и гражданина при обработке его ПДн, в т.ч. защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Положения Политики являются обязательными для исполнения всеми работниками, имеющими доступ к ПДн.
1.4. Политика является общедоступной и подлежит размещению на официальном веб-сайте krymstekloproekt.ru
2. Правовые основания обработки ПДн
2.1. При осуществлении деятельности Оператор руководствуется:
- Конституцией Российской Федерации;
- Гражданским кодексом Российской Федерации от 30.11.1994 № 51-ФЗ;
- Налоговым кодексом Российской Федерации от 31.07.1998 № 146-ФЗ;
- Трудовым кодексом Российской Федерации от 30.12.2001 № 197-ФЗ;
- Федеральным законом от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральным законом от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
- Федеральным законом от 17.12.2001 № 173-ФЗ «О трудовых пенсиях в Российской Федерации»;
- Федеральным законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Федеральным законом от 02.10.2007 № 229-ФЗ «Об исполнительном производстве»;
- Федеральным законом от 26.07.2006 № 135-ФЗ «О защите конкуренции»;
- Иными нормативными правовыми актами РФ;
- Согласиями Субъектов ПДн в случаях, прямо не предусмотренных законодательством РФ, но соответствующих полномочиям Оператора;
- Договорами с контрагентами (поставщиками товаров / работ / услуг, клиентами / заказчиками услуг); Договорами, стороной которых является Субъект ПДн; Поручениями на обработку ПДн.
3. Категории Субъектов ПДн и цели обработки ПДн
3.1. Оператор осуществляет обработку ПДн Субъектов ПДн в целях, указанных в Приложении №1 к Политике. Для каждой цели обработки указаны:
- Категории и перечень обрабатываемых ПДн;
- Категория Субъекта ПДн;
- Правовое основание обработки ПДн;
- Способы обработки ПДн и порядок уничтожения ПДн; Сроки обработки и хранения ПДн.
4. Порядок и условия обработки ПДн
4.1. Принципы обработки ПДн
4.1.1. Обработка ПДн Оператором осуществляется на основе следующих принципов:
4.1.2. Оператор не принимает решения, порождающие юридические последствия в отношении Субъекта ПДн или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки ПДн, за исключением случаев, предусмотренных законодательством РФ, или при наличии согласия в письменной форме Субъекта ПДн.
4.2. Правомерность обработки ПДн
4.2.1. Правомерность обработки ПДн основывается на следующих требованиях и условиях:
4.3. Условия обработки ПДн 4.3.1. Оператор производит обработку ПДн, в т.ч. при следующих условиях:
4.4. Перечень действий с ПДн
4.4.1. Оператор осуществляет действия с ПДн: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу (распространение, предоставление, доступ), удаление, уничтожение.
4.4.2. Обработка ПДн Оператором может осуществляться следующими способами:
4.4.3. В целях информационного обеспечения Оператора могут создаваться внутренние справочные материалы с письменного согласия Субъекта ПДн.
4.4.4. Оператор вправе разместить свои информационные системы с обрабатываемыми ПДн в центрах обработки данных, облачной вычислительной инфраструктуре, в т.ч. использовать программное обеспечение по схеме SaaS.
4.5. Конфиденциальность ПДн
4.5.1. Оператор и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия Субъекта ПДн, если иное не предусмотрено законодательством РФ.
4.6. Специальные категории ПДн
4.6.1. Оператор не осуществляет обработку специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, судимости физических лиц, за исключением сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником/работником контрагента трудовой функции в соответствии с законодательством РФ.
4.7. Биометрические ПДн
4.7.1. Оператор не осуществляет обработку сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПДн), которые могут использоваться Оператором для установления личности Субъекта ПДн. Оператор не рассматривает фотографические изображения Субъектов ПДн, используемых им при осуществлении своей деятельности, как биометрические ПДн, в случаях, если не используется биометрическая система распознавания лица.
4.8. Поручение обработки ПДн другому лицу
4.8.1. Оператор вправе поручить обработку ПДн другому лицу с согласия Субъекта ПДн, если иное не предусмотрено законодательством РФ. Такая обработка ПДн осуществляется только на основании договора, заключенного между Оператором и третьим лицом, в котором должны быть определены:
4.8.2. Оператор несет ответственность перед Субъектом ПДн за действия лиц, которым Оператор поручает обработку ПДн.
4.9. Передача ПДн
4.9.1. Оператор вправе передавать ПДн Субъектов ПДн третьим лицам, в т.ч. контрагентам Оператора, организаторам перевозок и другим юридическим лицам, только с согласия Субъекта ПДн, если иное не предусмотрено законодательством РФ, на основании заключаемого с третьими лицами договора. Все третьи лица, которым осуществляется передача ПДн Субъектов ПДн, обязаны соблюдать принципы и правила обработки ПДн, предусмотренные законодательством РФ.
4.9.2. Оператор вправе передавать ПДн органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным законодательством РФ, без согласия Субъекта ПДн.
4.10. Трансграничная передача ПДн
4.10.1. Оператором не осуществляется трансграничная передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
4.11. Сроки обработки ПДн 4.11.1. ПДн Субъектов ПДн, обрабатываемые Оператором, подлежат уничтожению в случае:
4.12. Хранение ПДн
4.12.1. Хранение ПДн осуществляется в форме, позволяющей определить Субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, кроме случаев, когда срок хранения ПДн не установлен законодательством РФ, договором с контрагентом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПДн.
4.12.2. При сборе ПДн Оператором обеспечена запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ.
4.13. Актуализация, исправление, удаление и уничтожение ПДн
4.13.1. В случае подтверждения факта неточности ПДн или неправомерности их обработки у Оператора, ПДн подлежат актуализации, а обработка их прекращается.
4.13.2. При достижении целей обработки ПДн, а также в случае отзыва Субъектом ПДн согласия на их обработку ПДн подлежат уничтожению, если:
4.14. Порядок реагирования на запросы Субъектов ПДн, их представителей и уполномоченных органов
4.14.1. При обращении или запросе в письменной или электронной форме Субъекта ПДн или его законного представителя, на доступ к своим ПДн, Оператор, при подготовке ответа на такое обращение или исполнении такого запроса, руководствуется требованиями законодательства РФ, а также условиями договора с контрагентом (если применимо).
4.14.2. В зависимости от информации, предоставленной в запросе, принимается решение о предоставлении доступа Субъекту ПДн (его законному представителю) к его ПДн, обрабатываемым у Опертора.
4.14.3. В случае, если данных предоставленных Субъектом ПДн или его законным представителем недостаточно для идентификации Субъекта ПДн или предоставление ПДн нарушает конституционные права и свободы других лиц, Оператор подготавливает мотивированный ответ, содержащий ссылку на положение ч. 8 ст. 14 ФЗ-152 или иного федерального закона, являющего основанием для такого отказа, в срок, не превышающий 10 рабочих дней со дня обращения Субъекта ПДн или его законного представителя.
4.14.4. Сведения о наличии ПДн предоставляются Субъекту ПДн при ответе на запрос в течение 10 рабочих дней с даты получения такого запроса.
4.14.5. В соответствии с ч. 4 ст. 20 ФЗ-152 Оператор обязано сообщить в Уполномоченный орган по защите прав Субъектов ПДн (далее – РКН) по запросу информацию, необходимую для осуществления полномочий РКН, в течение 10 рабочих дней с даты получения такого запроса.
4.14.6. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором в адрес РКН мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
4.1.1. Обработка ПДн Оператором осуществляется на основе следующих принципов:
- Законности, справедливой основы и прозрачности в отношении Субъекта ПДн;
- Ограничения обработки ПДн достижением конкретных, заранее определенных и законных целей (ограничение цели);
- Недопущения обработки ПДн, несовместимой с целями сбора ПДн;
- Недопущения объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
- Обработки только тех ПДн, которые отвечают целям их обработки;
- Соответствия содержания и объема обрабатываемых ПДн заявленным целям обработки;
- Недопущения обработки ПДн, избыточных по отношению к заявленным целям их обработки (принцип минимизации ПДн);
- Обеспечения точности, достаточности и актуальности ПДн по отношению к целям обработки ПДн (принцип точности);
- Уничтожения ПДн по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений ПДн, если иное не предусмотрено законодательством РФ (принцип ограничения хранения ПДн);
- Обеспечение безопасности ПДн, включая защиту от несанкционированной или незаконной обработки и случайной потери, уничтожения или повреждения, с использованием соответствующих технических или организационных мер (принцип целостности и конфиденциальности).
4.1.2. Оператор не принимает решения, порождающие юридические последствия в отношении Субъекта ПДн или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки ПДн, за исключением случаев, предусмотренных законодательством РФ, или при наличии согласия в письменной форме Субъекта ПДн.
4.2. Правомерность обработки ПДн
4.2.1. Правомерность обработки ПДн основывается на следующих требованиях и условиях:
- Субъект ПДн дал согласие на обработку его ПДн для одной или нескольких целей;
- Обработка необходима в рамках исполнения договора, в т.ч. по поручению контрагента;
- Обработка необходима в рамках соблюдения обязательств Оператора, в т.ч. в рамках выполнения поручения контрагента;
- Обработка необходима для защиты жизненно важных интересов Субъекта ПДн.
4.3. Условия обработки ПДн 4.3.1. Оператор производит обработку ПДн, в т.ч. при следующих условиях:
- Обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
- Обработка ПДн необходима для осуществления прав и законных интересов Оператора (в т.ч. при выполнении поручения контрагента) или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта ПДн;
- Осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию, в соответствии с законодательством РФ.
4.4. Перечень действий с ПДн
4.4.1. Оператор осуществляет действия с ПДн: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу (распространение, предоставление, доступ), удаление, уничтожение.
4.4.2. Обработка ПДн Оператором может осуществляться следующими способами:
- Неавтоматизированная обработка ПДн;
- Автоматизированная обработка ПДн с передачей полученной информации по телекоммуникационным сетям или без таковой;
- Смешанная обработка ПДн.
4.4.3. В целях информационного обеспечения Оператора могут создаваться внутренние справочные материалы с письменного согласия Субъекта ПДн.
4.4.4. Оператор вправе разместить свои информационные системы с обрабатываемыми ПДн в центрах обработки данных, облачной вычислительной инфраструктуре, в т.ч. использовать программное обеспечение по схеме SaaS.
4.5. Конфиденциальность ПДн
4.5.1. Оператор и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия Субъекта ПДн, если иное не предусмотрено законодательством РФ.
4.6. Специальные категории ПДн
4.6.1. Оператор не осуществляет обработку специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, судимости физических лиц, за исключением сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником/работником контрагента трудовой функции в соответствии с законодательством РФ.
4.7. Биометрические ПДн
4.7.1. Оператор не осуществляет обработку сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПДн), которые могут использоваться Оператором для установления личности Субъекта ПДн. Оператор не рассматривает фотографические изображения Субъектов ПДн, используемых им при осуществлении своей деятельности, как биометрические ПДн, в случаях, если не используется биометрическая система распознавания лица.
4.8. Поручение обработки ПДн другому лицу
4.8.1. Оператор вправе поручить обработку ПДн другому лицу с согласия Субъекта ПДн, если иное не предусмотрено законодательством РФ. Такая обработка ПДн осуществляется только на основании договора, заключенного между Оператором и третьим лицом, в котором должны быть определены:
- Перечень действий (операций) с ПДн, которые будут совершаться третьим лицом, осуществляющим обработку ПДн;
- Цели обработки ПДн;
- Обязанности третьего лица соблюдать конфиденциальность ПДн и обеспечивать их безопасность при обработке, а также требования к защите обрабатываемых ПДн, установленных законодательством РФ.
4.8.2. Оператор несет ответственность перед Субъектом ПДн за действия лиц, которым Оператор поручает обработку ПДн.
4.9. Передача ПДн
4.9.1. Оператор вправе передавать ПДн Субъектов ПДн третьим лицам, в т.ч. контрагентам Оператора, организаторам перевозок и другим юридическим лицам, только с согласия Субъекта ПДн, если иное не предусмотрено законодательством РФ, на основании заключаемого с третьими лицами договора. Все третьи лица, которым осуществляется передача ПДн Субъектов ПДн, обязаны соблюдать принципы и правила обработки ПДн, предусмотренные законодательством РФ.
4.9.2. Оператор вправе передавать ПДн органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным законодательством РФ, без согласия Субъекта ПДн.
4.10. Трансграничная передача ПДн
4.10.1. Оператором не осуществляется трансграничная передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
4.11. Сроки обработки ПДн 4.11.1. ПДн Субъектов ПДн, обрабатываемые Оператором, подлежат уничтожению в случае:
- Достижения целей обработки ПДн или утраты необходимости в достижении этих целей;
- Отзыва согласия Субъекта ПДн на обработку его ПДн (за исключением случаев, предусмотренных законодательством РФ);
- Получение от Субъекта ПДн требования об удалении его ПДн (за исключением случаев, предусмотренных законодательством РФ);
- Прекращения деятельности Оператора.
4.12. Хранение ПДн
4.12.1. Хранение ПДн осуществляется в форме, позволяющей определить Субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, кроме случаев, когда срок хранения ПДн не установлен законодательством РФ, договором с контрагентом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПДн.
4.12.2. При сборе ПДн Оператором обеспечена запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ.
4.13. Актуализация, исправление, удаление и уничтожение ПДн
4.13.1. В случае подтверждения факта неточности ПДн или неправомерности их обработки у Оператора, ПДн подлежат актуализации, а обработка их прекращается.
4.13.2. При достижении целей обработки ПДн, а также в случае отзыва Субъектом ПДн согласия на их обработку ПДн подлежат уничтожению, если:
- Иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПДн;
- Оператор не вправе осуществлять обработку без согласия Субъекта ПДн на основаниях, предусмотренных законодательством РФ;
- Иное не предусмотрено иным соглашением между Оператором и контрагентом и / или Оператором и Субъектом ПДн.
4.14. Порядок реагирования на запросы Субъектов ПДн, их представителей и уполномоченных органов
4.14.1. При обращении или запросе в письменной или электронной форме Субъекта ПДн или его законного представителя, на доступ к своим ПДн, Оператор, при подготовке ответа на такое обращение или исполнении такого запроса, руководствуется требованиями законодательства РФ, а также условиями договора с контрагентом (если применимо).
4.14.2. В зависимости от информации, предоставленной в запросе, принимается решение о предоставлении доступа Субъекту ПДн (его законному представителю) к его ПДн, обрабатываемым у Опертора.
4.14.3. В случае, если данных предоставленных Субъектом ПДн или его законным представителем недостаточно для идентификации Субъекта ПДн или предоставление ПДн нарушает конституционные права и свободы других лиц, Оператор подготавливает мотивированный ответ, содержащий ссылку на положение ч. 8 ст. 14 ФЗ-152 или иного федерального закона, являющего основанием для такого отказа, в срок, не превышающий 10 рабочих дней со дня обращения Субъекта ПДн или его законного представителя.
4.14.4. Сведения о наличии ПДн предоставляются Субъекту ПДн при ответе на запрос в течение 10 рабочих дней с даты получения такого запроса.
4.14.5. В соответствии с ч. 4 ст. 20 ФЗ-152 Оператор обязано сообщить в Уполномоченный орган по защите прав Субъектов ПДн (далее – РКН) по запросу информацию, необходимую для осуществления полномочий РКН, в течение 10 рабочих дней с даты получения такого запроса.
4.14.6. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором в адрес РКН мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
5. Права Субъекта ПДн
5.1. Субъект ПДн принимает решение о предоставлении его ПДн и предоставляет согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн может быть дано Субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством РФ.
5.2. Субъект ПДн имеет право на получение у Оператора информации, касающейся обработки его ПДн, если такое право не ограничено законодательством РФ. Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их изменения, блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.3. Субъект ПДн имеет право на уточнение, изменение или удаление любых своих ПДн в любое время.
5.4. Если Субъект ПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований законодательства РФ или иным образом нарушает его права и свободы, Субъект ПДн вправе обжаловать действия или бездействие Оператора в РКН или в судебном порядке.
5.5. Субъект ПДн имеет право на защиту своих прав и законных интересов, в т.ч. на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
5.6. Субъект ПДн имеет право на отзыв согласия на обработку ПДн.
5.2. Субъект ПДн имеет право на получение у Оператора информации, касающейся обработки его ПДн, если такое право не ограничено законодательством РФ. Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их изменения, блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.3. Субъект ПДн имеет право на уточнение, изменение или удаление любых своих ПДн в любое время.
5.4. Если Субъект ПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований законодательства РФ или иным образом нарушает его права и свободы, Субъект ПДн вправе обжаловать действия или бездействие Оператора в РКН или в судебном порядке.
5.5. Субъект ПДн имеет право на защиту своих прав и законных интересов, в т.ч. на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
5.6. Субъект ПДн имеет право на отзыв согласия на обработку ПДн.
6. Обеспечение безопасности ПДн
6.1. Безопасность ПДн, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн в соответствии с требованиями, установленными законодательством РФ.
6.2. Для предотвращения несанкционированного доступа к ПДн применяются следующие организационно-технические меры:
6.2. Для предотвращения несанкционированного доступа к ПДн применяются следующие организационно-технические меры:
- Назначение лица, ответственного за организацию обработки и защиты ПДн;
- Ограничение состава лиц, имеющих доступ к ПДн;
- Ознакомление ответственного лица с требованиями законодательства РФ по обработке и защите ПДн;
- Организация учета, хранения и обращения носителей информации;
- Ограничение доступа к информационным ресурсам и программно-аппаратным средствам обработки ПДн;
- Использование антивирусных средств;
- Ограничение доступа на территорию Оператора;
- Осуществление внутреннего контроля соответствия обработки ПДн.
7. Заключительные положения
7.1. Иные права и обязанности Оператора ПДн определяются ФЗ-152.
7.2. Оператор, его должностные лица и работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки ПДн, а также за разглашение или незаконное использование ПДн в соответствии с законодательством РФ.
7.2. Оператор, его должностные лица и работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки ПДн, а также за разглашение или незаконное использование ПДн в соответствии с законодательством РФ.