Политика конфиденциальности

1. Общие положения

1.1. Политика обработки персональных данных Индивидуального предпринимателя Аджиевой А.В. ОГРНИП: 320715400038922, ИНН: 710513846972, адрес: 300001, Тульская область, г.Тула, ул. Марата, дом 32, кв. квартира 33 (далее соответственно - Политика, Индивидуальный предприниматель, Оператор), разработанная в соответствии со статьей 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон № 152-ФЗ), устанавливает процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, цели обработки персональных данных, а также определяет для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

Обработка персональных данных Индивидуального предпринимателя осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных, а также Политики.

Политика является основой для разработки распорядительных и организационно-правовых документов Индивидуального предпринимателя, регламентирующих процессы обработки персональных данных различных категорий субъектов персональных данных, а также порядок реализации мер для защиты обрабатываемых персональных данных.

Политика обязательна для исполнения работниками, имеющими доступ к персональным данным и осуществляющими их обработку.

Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, Индивидуальным предпринимателем используются следующие процедуры:

• ознакомление лиц, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, Политикой и их обучение принципам и условиям обработки персональных данных;
• назначение лица, ответственного за организацию обработки персональных данных Индивидуальным предпринимателем;
• издание локальных нормативных актов в области обработки и защиты персональных данных;
• опубликование настоящей Политики на сайте Индивидуального предпринимателя в информационно-телекоммуникационной сети «Интернет», в том числе на страницах сайта, с использованием которых осуществляется сбор персональных данных;
• получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
• предоставление субъектам персональных данных или их представителям информации о наличии персональных данных, относящихся к соответствующим субъектам, предоставление возможности ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;
• осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
• оценка вреда, который может быть причинен субъектам персональных данных;
• ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;
• недопущение обработки персональных данных, несовместимых с целями сбора персональных данных;
• недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обеспечение соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки; обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
• обеспечение при обработке персональных данных точности персональных данных, их достаточности, а также в необходимых случаях актуальности по отношению к целям их обработки; уничтожение обрабатываемых персональных данных в случаях, установленных законодательством Российской Федерации в области персональных данных;
• организация обучения и проведение методической работы с работниками Индивидуального предпринимателя, имеющими доступ к персональным данным и осуществляющими их обработку;
• обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков);
• обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях, и которые содержат разные категории персональных данных;
• обеспечение безопасности персональных данных при их передаче по открытым каналам связи;
• хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
• прекращение обработки и уничтожение персональных данных в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;
• иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.

1.6. Настоящая политика Оператора в отношении обработки персональных данных (далее — Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта https://www.cetrix.ru/

2. Цели обработки персональных данных и категории субъектов персональных данных

2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

Обработка Индивидуальным предпринимателем персональных данных осуществляется в следующих целях:

• осуществление функций, полномочий и обязанностей, предусмотренных законодательством Российской Федерации и Уставом Индивидуального предпринимателя;
• ведение кадрового и бухгалтерского учета;
• регулирование трудовых и иных непосредственно связанных с ними отношений с работниками;
• обеспечение соблюдения требований налогового законодательства;
• защита прав и законных интересов Индивидуального предпринимателя в административном и судебном порядке;
• продвижение товаров, работ, услуг Индивидуального предпринимателя и/или партнеров Индивидуального предпринимателя на рынке;
• подготовка, заключение и исполнение гражданско-правовых договоров;
• подбор персонала;
• обеспечение соблюдения законодательства о защите прав потребителя.

2.3. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.

2.4. Категории субъектов персональных данных, персональные данные которых обрабатываются Индивидуальным предпринимателем:

• работники;
• уволенные работники;
• контрагенты;
• представители контрагентов;
• соискатели;
• потребители (пользователи Сайта, клиенты);
• участники Индивидуального предпринимателя и их уполномоченные представители;
• иные физические лица, предоставившие свои персональные данные.

3. Содержание персональных данных, обрабатываемых Индивидуальным предпринимателем

3.1. Индивидуальным предпринимателем для достижения конкретных, заранее определённых и законных целей обрабатываются персональные данные:

• фамилия, имя, отчество (при наличии), в том числе прежние (в случае их изменения), причины их изменения;
• пол;
• дата рождения (число, месяц, год);
• место рождения;
• гражданство;
• паспортные и другие удостоверяющие личность документы, включая дату выдачи и органы, выдавшие документы;
• адреса проживания и регистрации, включая предыдущие;
• контактные данные: номера телефонов, электронная почта, почтовый адрес;
• идентификационный номер налогоплательщика (ИНН);
• сведения о воинском учёте и военных документах;
• сведения о семейном положении и близких родственниках;
• данные об образовании и квалификации;
• учёные степени;
• информация об инвалидности;
• сведения о трудовой деятельности и заработной плате;
• банковские реквизиты;
• сведения о наградах и специальных статусах;
• доходы;
• данные cookies и техническая информация о действиях на сайте.

ИП использует сервисы, применяющие cookies, в том числе Яндекс.Метрику. Cookies не идентифицируют личность пользователя и применяются для улучшения работы сайта.

3.4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Индивидуальным предпринимателем не осуществляется.

3.5. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, Индивидуальным предпринимателем не осуществляется.

3.6. Обезличивание персональных данных Индивидуальным предпринимателем не осуществляется.

4. Порядок и условия обработки персональных данных

4.1. Обработка персональных данных Индивидуальным предпринимателем допускается в случаях, установленных статьей 6 Федерального закона № 152-ФЗ.

4.2. Индивидуальный предприниматель без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено Федеральным законом № 152-ФЗ.

4.3. Индивидуальный предприниматель вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора в соответствии с требованиями части 3 статьи 6 Федерального закона № 152-ФЗ.

4.4. Для целей обработки данных Индивидуальный предприниматель может предоставлять персональные данные третьим лицам, подписавшим обязательство по обеспечению конфиденциальности и безопасности полученных сведений по поручению Индивидуального предпринимателя.

4.5. Если предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, то оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.

4.6. Субъект персональных данных имеет право в любое время отозвать свое согласие. Отзыв согласия не должен влиять на законность обработки, основанной на согласии до его отзыва.

4.7. В целях внутреннего информационного обеспечения Индивидуальный предприниматель может создавать справочники и другие источники, в которые с письменного согласия субъекта персональных данных могут включаться его персональные данные.

4.8. Доступ к обрабатываемым персональным данным разрешается только работникам, занимающим должности, включенные в перечень, предусматривающий обработку персональных данных.

4.9. Обработка персональных данных осуществляется с использованием или без использования средств автоматизации работниками, чьи обязанности включают функции по обработке персональных данных.

4.10. Для каждой цели обработки используется один из способов: автоматизированный, неавтоматизированный или смешанный.

4.11. Обработка включает сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, блокирование, удаление, уничтожение персональных данных.

4.12. При сборе персональных данных через интернет ИП обеспечивает их хранение на территории РФ.

4.13. Трансграничная передача осуществляется при наличии письменного согласия субъекта или при необходимости исполнения договора.

5. Обработка персональных данных в информационных системах персональных данных Индивидуального предпринимателя

5.1. Доступ к информационным системам персональных данных Индивидуального предпринимателя (далее - информационные системы) работников, осуществляющих обработку персональных данных в информационных системах, предоставляется в соответствии с соответствующим приказом Индивидуального предпринимателя, и реализуется посредством учетной записи, содержащей имя пользователя и пароль.

5.2. Информация в информационные системы может вноситься как в автоматическом режиме, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

5.3. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, осуществляется в соответствии со статьей 19 Федерального закона №152-ФЗ и с соблюдением требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 № 1119.

5.4. В целях обеспечения безопасности персональных данных осуществляется:

• предотвращение несанкционированного доступа к персональным данным и (или) их передачи лицам, не имеющим права на доступ к ним;
• обнаружение фактов несанкционированного доступа к персональным данным и незамедлительное доведение этой информации до ответственного за организацию обработки персональных данных Индивидуальным предпринимателем;
• недопущение воздействия на технические средства обработки персональных данных, в результате которого может быть нарушено их функционирование;
• постоянный контроль за обеспечением уровня защищенности персональных данных;
• соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
• учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, машинных носителей персональных данных;
• незамедлительное приостановление предоставления персональных данных пользователям информационных систем при обнаружении нарушений порядка предоставления персональных данных до выявления причин нарушений и устранения этих причин;
• разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению последствий подобных нарушений;
• незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

5.5. При обработке персональных данных осуществляется реализация организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, состав и содержание которых утверждены приказом ФСТЭК России от 18.02.2013 № 21.

5.6. Доступ к персональным данным, находящимся в информационных системах, должен предусматривать обязательное прохождение процедуры идентификации и аутентификации.

5.7. При выявлении нарушений порядка обработки персональных данных в информационных системах уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

5.8. При установлении факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, уполномоченные должностные лица Индивидуального предпринимателя обязаны с момента выявления такого инцидента уведомить уполномоченный орган по защите прав субъектов персональных данных:

• в течение 24 часов — о произошедшем инциденте, предполагаемых причинах и принятых мерах;
• в течение 72 часов — о результатах внутреннего расследования и сведения о лицах, причастных к инциденту (при наличии).

6. Сроки обработки и хранения персональных данных, порядок их уничтожения

6.1. Обработка персональных данных работников Индивидуального предпринимателя, а также лиц, состоящих с ними в родстве (свойстве), осуществляется в течение всего периода работы у Индивидуального предпринимателя.

6.2. Обработка персональных данных осуществляется в соответствии с Положением обработки персональных данных, локальных нормативных актов в сфере обработки персональных данных Индивидуального предпринимателя.

6.3. Персональные данные на бумажных носителях хранятся Индивидуальным предпринимателем в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в Российской Федерации (Федеральный закон от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утв. Приказом Росархива от 20.12.2019 № 236).

6.4. Сроки хранения персональных данных, обрабатываемых в информационных системах, должны соответствовать срокам хранения документов на бумажных носителях, содержащих персональные данные.

6.5. Обработка персональных данных прекращается в случаях:

• выявления факта неправомерной обработки персональных данных;
• достижения цели обработки персональных данных или утраты необходимости в ее достижении;
• отзыва субъектом персональных данных согласия на обработку его персональных данных, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами;
• обращения субъекта персональных данных с требованием о прекращении обработки его персональных данных, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ.

6.6. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Индивидуальный предприниматель прекращает обработку этих данных, если:

• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• Индивидуальный предприниматель не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное не предусмотрено другим соглашением между Индивидуальным предпринимателем и субъектом персональных данных.

6.7. В случае прекращения обработки персональных данных предпринимаются меры, предусмотренные статьей 21 Федерального закона № 152-ФЗ.

6.8. Документы, содержащие персональные данные, при достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации, подлежат уничтожению в порядке, установленном законодательством и локальными нормативными актами Индивидуального предпринимателя.

6.9. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации.

7. Рассмотрение запросов субъектов персональных данных и их представителей

7.1. Субъекты персональных данных имеют право на получение информации, касающейся обработки их персональных данных, включая:

• подтверждение факта обработки персональных данных;
• правовые основания и цели обработки персональных данных;
• цели и применяемые способы обработки;
• наименование и местонахождение Оператора;
• информацию о лицах, имеющих доступ к персональным данным или которым они могут быть раскрыты;
• обрабатываемые персональные данные субъекта, источник их получения;
• сроки обработки персональных данных;
• информацию о трансграничной передаче персональных данных;
• информацию о лицах, обрабатывающих данные по поручению Оператора;
• иные сведения, предусмотренные законодательством РФ.

7.2. Субъекты персональных данных вправе обращаться с требованием об уточнении, блокировании или уничтожении их персональных данных, если они являются неполными, устаревшими, неточными или полученными незаконно.

7.3. Предоставляемая информация не должна содержать данные, относящиеся к другим субъектам персональных данных, за исключением случаев, установленных законом.

7.4. Ответ на запрос предоставляется в течение 10 рабочих дней с момента обращения, возможно продление до 5 рабочих дней при наличии уважительных причин.

7.5. Запрос субъекта персональных данных должен содержать:

• номер документа, удостоверяющего личность;
• сведения, подтверждающие факт обработки данных Оператором;
• подпись субъекта или его представителя.

7.6. Ответ предоставляется в той форме, в которой был получен запрос, если иное не указано в обращении.

7.7. Повторный запрос возможен не ранее чем через 30 дней после первого, если не установлен иной срок законодательством.

7.8. Повторное обращение до истечения 30 дней допускается, если ранее предоставленная информация была неполной.

7.9. Оператор вправе отказать в выполнении повторного запроса, не соответствующего условиям п. 7.5 и 7.8 настоящей Политики. Отказ должен быть мотивирован.

7.10. Право доступа к персональным данным может быть ограничено в случаях, установленных частью 8 статьи 14 Федерального закона № 152-ФЗ.

8. Внутренний контроль соответствия обработки персональных данных законодательству Российской Федерации

8.1. Ответственным за организацию обработки персональных данных в Индивидуальном предпринимателе осуществляется постоянный контроль за соблюдением требований законодательства Российской Федерации в сфере персональных данных и настоящей Политики.

8.2. Контроль включает:

• проверку условий хранения персональных данных и доступа к ним;
• оценку принимаемых мер по обеспечению безопасности персональных данных;
• анализ обоснованности обработки персональных данных и соответствия целей обработки заявленным целям;
• оценку полноты и актуальности персональных данных;
• выявление нарушений и несоответствий, предложение корректирующих мероприятий;
• информирование руководства Индивидуального предпринимателя о выявленных нарушениях и предложениях по их устранению;
• проверку соблюдения требований локальных нормативных актов, регулирующих обработку персональных данных;
• организацию обучения сотрудников, имеющих доступ к персональным данным.

8.3. Нарушение требований законодательства о персональных данных, а также положений настоящей Политики влечет дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.