I. Общие положения.
1. Правила обработки персональных данных ИП Агуреев Анатолий Павлович (далее - Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных, а также определяют цели обработки персональных данных, содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки и порядок их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований Индивидуальным предпринимателем Агурев А.П. (далее – Оператор).
2. Обработка персональных данных Оператором выполняется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов, персональные данные которых обрабатываются Оператором.
3. Правила определяют политику Оператора в отношении обработки персональных данных.
4. Субъектами персональных данных являются лица, намеревающиеся приобрести и (или) приобретающие продукты (товары, работы, услуги) по видам деятельности Оператора, включая физических лиц и физических лиц-представителей юридических лиц, (далее – клиенты, клиенты-посетителя сайта и (или) контрагенты Оператора), работники оператора и члены их семей. При этом лицо для целей настоящих Правил считается клиентом до заключения договора с оператором. Контрагентом считается субъект персональных данных, заключивший с оператором гражданско-правовой договор независимо от предмета договора и являющийся стороной, выгодоприобретателем такого договора либо поручителем по такому договору.
5. Обработка персональных данных Оператором осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных и Правилами.
II. Цели обработки персональных данных, перечень персональных данных, а также условия и порядок их обработки Оператором.
6. Персональные данные субъектов персональных данных обрабатываются в целях
- распространения и (или) предоставления информации (в том числе посредством рассылок на указанные субъектом персональных данных адрес электронной почты и (или) номер телефона) о реализуемых оператором продуктах (товарах, работах, услугах), включая продажу мебели, комплектующих, бытовых товаров, иных сферах деятельности оператора (далее - сфера деятельности оператора), а также персонализированных предложениях субъектам персональных данных;
- обработки персональных данных клиентов и клиентов-посетителей Интернет-магазина Оператора;
- проведения переговоров на заключение договоров с контрагентами на оказание услуг, приобретение товаров, выполнение работ в сфере деятельности оператора, а также в связи с исполнением договорных обязательств в отношении субъекта персональных данных либо лиц, являющихся выгодоприобретателями;
- проведения статистических и иных исследований, контроль качества продуктов оператора;
- поиск и подбор потенциальных работников, заключение трудовых договоров, исполнение обязанностей, вытекающих из требований трудового законодательства, обеспечения кадровой работы.
7. Оператором обрабатываются следующие персональные данные:
№
Персональные данные
Категории субъектов персональных данных
1)
фамилия, имя, отчество (при наличии)
Клиенты и контрагенты Оператора, в том числе посредством использование формы на сайтах Оператора, работники оператора (в том числе бывшие работники)
2)
номер контактного телефона и (или) сведения о других способах связи
Клиенты и контрагенты Оператора, в том числе посредством использование формы на сайтах Оператора, работники оператора (в том числе бывшие работники)
3)
адрес электронной почты, аккаунты в социальных сетях, адрес страницы персонального сайта
Клиенты и контрагенты Оператора, в том числе посредством использование формы на сайтах Оператора, работники оператора (в том числе бывшие работники)
4)
прежние фамилии, имена и (или) отчества (при наличии), дата, место и причина их изменения
Работники оператора (в том числе бывшие работники)
5)
число, месяц, год рождения
Контрагенты Оператора, работники оператора (в том числе бывшие работники)
6)
место рождения
Контрагенты Оператора, работники оператора (в том числе бывшие работники)
7)
сведения об образовании (когда и какие образовательные, научные и иные организации окончил, номера документов об образовании, направление подготовки или специальность по документу об образовании, квалификация)
Работники оператора (в том числе бывшие работники)
8)
адрес и дата регистрации (снятия с регистрационного учета) по месту жительства (месту пребывания), адрес фактического проживания
Клиенты и контрагенты Оператора, работники оператора (в том числе бывшие работники)
9)
реквизиты документа, удостоверяющего личность (вид, серия, номер, когда и кем выдан), сведения о гражданстве, копия фотографического изображения лица, содержащаяся в документе, удостоверяющем личность
Контрагенты Оператора, работники оператора (в том числе бывшие работники)
10)
реквизиты страхового свидетельства обязательного пенсионного страхования;
Работники оператора (в том числе бывшие работники)
11)
идентификационный номер налогоплательщика
Работники оператора (в том числе бывшие работники)
12)
отношение к воинской обязанности, сведения о воинском учете и реквизиты документов воинского учета
Работники оператора (в том числе бывшие работники)
13)
сведения о семейном положении, составе семьи и о близких родственниках (в том числе бывших)
Работники оператора (в том числе бывшие работники)
14)
реквизиты полиса обязательного медицинского страхования
Работники оператора (в том числе бывшие работники)
15)
реквизиты свидетельств государственной регистрации актов гражданского состояния
Работники оператора (в том числе бывшие работники)
16)
номер расчетного счета (номера расчетных счетов), номер банковской карты (номера банковских карт), иные реквизиты для безналичной выплаты заработной платы
Работники оператора (в том числе бывшие работники)
17)
цветное цифровое фотографическое изображение лица, полученное при приеме на работу
Работники оператора (в том числе бывшие работники)
Оператором с согласия субъекта персональных данных могут быть получены иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 6 Правил.
8. Обработка персональных данных субъектов персональных данных осуществляется при условии получения их согласия в письменной форме, в форме проставления отметки о согласии с Политикой Оператора в отношении обработки персональных данных и с обработкой персональных данных оператором при передаче оператору персональных данных посредством сайта оператора, если иное не установлено Федеральным законом «О персональных данных».
9. Обработка персональных данных субъектов персональных данных осуществляется работниками Оператора, включенными в перечень должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным.
10. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов персональных данных осуществляется путем:
1) непосредственного получения оригиналов необходимых документов (заявление, трудовая книжка, анкета, иные документы, предоставляемые в отдел государственной службы и кадров);
2) копирования оригиналов документов;
3) внесения сведений в учетные формы (на бумажных и электронных носителях);
4) формирования персональных данных в ходе кадровой работы;
5) внесение персональных данных в информационные системы, используемые Оператором.
11. Запрещается получать, обрабатывать и хранить персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
12. При сборе персональных данных работник Оператора, осуществляющий сбор (получение) персональных данных непосредственно субъектов персональных данных, обязан разъяснить указанным субъектам юридические последствия отказа предоставить их персональные данные.
13. Передача (распространение, предоставление) и использование персональных данных субъектов персональных данных осуществляется лишь в случаях и порядке, предусмотренных законодательством Российской Федерации.
III. Порядок обработки персональных данных в автоматизированных информационных системах.
14. Обработка персональных данных Оператором может осуществляться с использованием автоматизированных информационных систем, в том числе посредством сайта Оператора.
15. Автоматизированные информационные системы содержат персональные данные субъектов персональных данных лиц, предоставивших свои персональные данные, в том числе посредством сайтов Оператора в сети Интернет.
16. Работникам Оператора, имеющим право осуществлять обработку персональных данных в автоматизированных информационных системах, предоставляется уникальный логин и пароль для доступа к соответствующей автоматизированной информационной системе.
Информация может вноситься как в автоматическом режиме, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
17. Обеспечение безопасности персональных данных, обрабатываемых в автоматизированных информационных системах, осуществляется ответственным за организацию обработки персональных данных, назначенным Оператором.
IV. Сроки обработки и хранения персональных данных.
18. Сроки обработки и хранения персональных данных Оператором определяются в соответствии с законодательством Российской Федерации.
19. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом. Предельный срок хранения персональных данных составляет 10 лет. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
20. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах форм (бланков).
21. Хранение персональных данных, обработка которых осуществляется в целях, определенных настоящими Правилами, обеспечивается раздельно на разных материальных носителях.
22. Срок хранения персональных данных, внесенных в автоматизированные информационные системы, должен соответствовать сроку хранения бумажных оригиналов.
23. Персональные данные хранятся в подразделениях Оператора, к функциональным обязанностям которых относится обработка соответствующих персональных данных.
24. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированного использования, уточнения, распространения и уничтожения персональных данных, находящихся на этих носителях, осуществляет лицо, ответственное за организацию обработки персональных данных.
V. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований.
25. Оператором осуществляется систематический контроль и выделение документов, содержащих персональные данные с истекшими сроками хранения, подлежащих уничтожению.
26. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
VI. Рассмотрение запросов субъектов персональных данных или их представителей.
27. Субъекты персональных данных имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Оператором;
2) правовые основания и цели обработки персональных данных;
3) применяемые Оператором способы обработки персональных данных;
4) наименование и место нахождения Оператора, сведения о гражданах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании законодательства Российской Федерации;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких персональных данных не предусмотрен законодательством Российской Федерации;
6) сроки обработки персональных данных, в том числе сроки их хранения Оператором;
7) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;
8) сведения об осуществленной или предполагаемой трансграничной передаче персональных данных;
9) наименование организации или фамилию, имя, отчество (при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такой организации или лицу;
10) иную информацию, предусмотренную законодательством Российской Федерации в области персональных данных.
28. Субъекты персональных данных вправе требовать от Оператора уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством Российской Федерации меры по защите своих прав.
29. Информация, предусмотренная п. 27 настоящих Правил, должна быть предоставлена субъекту персональных данных оператором в доступной форме, и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
30. Информация, предусмотренная п. 27 настоящих Правил, предоставляется субъекту персональных данных или его представителю гражданским при обращении либо при получении запроса субъекта персональных данных или его представителя, содержащего:
1) номер, серию документа, удостоверяющего личность субъекта персональных данных или его представителя, дату выдачи, наименование органа, выдавшего его;
2) информацию, подтверждающую факт обработки персональных данных в Оператором, заверенную подписью субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
31. В случае если информация, предусмотренная п. 27 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных, субъект персональных данных вправе повторно обратиться к Оператору лично или направить повторный запрос в целях получения указанной информации и ознакомления с персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен законодательством Российской Федерации или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
32. Субъект персональных данных вправе повторно обратиться к Оператору лично или направить повторный запрос в целях получения информации, предусмотренной п. 27 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 31 настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 30 настоящих Правил, должен содержать обоснование направления повторного запроса.
33. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 30 и 31 настоящих Правил. Такой отказ должен быть мотивированным.
34. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии счастью 8 статьи 14 Федерального закона «О персональных данных».
VII. Порядок доступа в помещения, в которых ведется обработка персональных данных
35. Нахождение в помещениях, в которых ведется обработка персональных данных, лиц, не уполномоченных на обработку персональных данных, возможно только в присутствии лица, уполномоченного на обработку персональных данных Оператором, на время, ограниченное необходимостью решения вопросов, связанных с предоставлением персональных данных.
36. Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на ответственного за организацию обработки персональных данных ИП Агурев А.П.
VIII. Ответственный за организацию обработки персональных данных
37. Ответственный за организацию обработки персональных данных ИП Агурев А.П. (далее - ответственный за обработку персональных данных) назначается директором.
38. Ответственный за обработку персональных данных в своей работе руководствуется законодательством Российской Федерации и настоящими Правилами.
39. Ответственный за обработку персональных данных обязан:
1) организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых Оператором, от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
2) осуществлять внутренний контроль за соблюдением гражданскими служащими, уполномоченными на обработку персональных данных, требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
3) доводить до сведения гражданских служащих, уполномоченных на обработку персональных данных, положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требования к защите персональных данных;
4) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов Оператором;
5) в случае нарушения требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
40. Ответственный за обработку персональных данных вправе:
1) иметь доступ к информации, касающейся обработки персональных данных и включающей:
цели обработки персональных данных;
категории обрабатываемых персональных данных;
категории субъектов персональных данных, персональные данные которых обрабатываются;
правовые основания обработки персональных данных;
перечень действий с персональными данными, общее описание способов обработки персональных данных;
описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
дату начала обработки персональных данных;
срок или условия прекращения обработки персональных данных;
сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
сведения об обеспечении безопасности персональных данных в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119;
2) привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, работников ИП Агурев А.П. с возложением на них соответствующих обязанностей и закреплением ответственности.
41. Ответственный за обработку персональных данных несет ответственность за надлежащее выполнение функций по организации обработки персональных данных Индивидуальным предпринимателем Агурев А.П. в соответствии с законодательством Российской Федерации.