Политика конфиденциальности
ПОЛИТИКА
ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Индивидуального предпринимателя Хомич Олега Дмитриевича
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с пунктом 2 статьи 18.1 Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г., а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных, и действует в отношении всех персональных данных, которые ИП Хомич Олег Дмитриевич (далее – Оператор), в связи с осуществлением своей деятельности, может получить от субъекта персональных данных, в том числе, если субъект персональных данных является стороной по гражданско-правовому договору с Оператором, контактирует с Оператором в процессе предоставления Оператором различных услуг и сервисов, а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работник).
1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и иных нормативных актов РФ.
1.3. Настоящая Политика является внутренним документом Оператора и подлежит изменению, дополнению в случае появления новых законодательных актов и нормативных документов по обработке и защите персональных данных.
1.4. Оператор без каких-либо изъятий и ограничений обеспечивает доступ неограниченного круга лиц к Политике:
1.4.1. Действующая редакция настоящей Политики на бумажном носителе хранится по месту нахождения Оператора по адресу: ул. Кузнецкий мост, дом 7, строение 3, офис 10.
1.4.2. Электронная версия действующей редакции Политики общедоступна на сайте в сети Интернет: https://uvelirmoscow.ru (далее по тексту – Сайт).
1.4.3. Для связи с субъектами ПД Оператор использует и поддерживает свой адрес электронной почты: zakaz@uvelirmoscow.ru
1.5. Согласие субъекта ПД на обработку его ПД подтверждает его согласие с настоящей Политикой защиты и обработки персональных данных.
2. Термины и принятые сокращения
2.1. Персональные данные (далее по тексту - ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД): состоящему в трудовых или гражданско-правовых отношениях с Оператором (а также планирующему или прекратившему такие отношения), а также любому посетителю Сайта и страниц социальных сетей. При этом субъект ПД самостоятельно несёт ответственность за достоверность своих ПД.
2.2. Обработка ПД – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.
2.3. Автоматизированная обработка ПД – обработка ПД с помощью средств вычислительной техники.
2.4. Информационная система ПД (ИСПД) – совокупность содержащихся в базах данных ПД, обеспечивающих их обработку с помощью информационных технологий и технических средств.
2.5. ПД, сделанные общедоступными субъектом ПД, – ПД, доступ неограниченного круга лиц к которым предоставлен субъектом ПД лично либо по его просьбе уполномоченным третьим лицом.
2.6. Блокирование ПД – временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД).
2.7. Уничтожение ПД – действия, в результате которых становится невозможным восстановить содержание ПД в информационной системе ПД и (или) в результате которых уничтожаются материальные носители ПД.
3. Законодательные и иные нормативные правовые акты Российской Федерации, в соответствии с которыми определяется Политика обработки персональных данных Оператора.
3.1. Политика обработки персональных данных Оператора определяется в соответствии со следующими нормативными правовыми актами:
- Конституция РФ
- Федеральный закон « О персональных данных» от 27.07.2006 № 152-ФЗ в редакции 498-ФЗ от 31.12.2017 N 498-ФЗ)
- Трудовой кодекс РФ
- Постановление Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
- Указ Президента РФ от 6 марта 1997 года № 188 "Об утверждении перечня сведений конфиденциального характера" (с изм. и дополн.)
- Постановление Правительства РФ от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ "О персональных данных" " (с изм. и дополн.)
- Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
- Постановление Правительства РФ от 06.07.2008г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» (с изм. и дополн.)
- Разъяснения Роскомнадзора по вопросам, касающимся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве от 14 декабря 2012 года.
- Приказ Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
- Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (с изм. и дополн.)
- Приказ Министерства связи и массовых коммуникаций РФ от 14 ноября 2011 г. N 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных» (с изм. и дополн.)
- Иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
4. Состав ПД
4.1. Оператор обрабатывает следующие категории ПД в связи с реализацией трудовых отношений (потенциальных, действующих или прекратившихся):
• фамилия, имя, отчество;
• образование;
• сведения о трудовом и общем стаже;
• сведения о составе семьи;
• паспортные данные;
• сведения о воинском учете;
• ИНН;
• налоговый статус (резидент/нерезидент);
• сведения о заработной плате работника;
• сведения о социальных льготах;
• специальность;
• занимаемая должность;
• адрес места жительства;
• телефон;
• адрес электронной почты;
• место работы или учебы членов семьи и родственников;
• содержание трудового договора;
• содержание декларации, подаваемой в налоговую инспекцию;
• иная, не указанная выше информация, содержащаяся в личных делах и трудовых книжках сотрудников;
• информация, являющаяся основанием к приказам по личному составу;
• информация, содержащаяся в страховом свидетельстве обязательного пенсионного страхования, свидетельстве о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации, страховом медицинском полисе обязательного медицинского страхования граждан, медицинском заключении установленной формы об отсутствии у гражданина заболевания, препятствующего поступлению на работу к Оператору;
• дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям.
4.2. Для целей осуществления предпринимательской деятельности Оператор обрабатывает следующие ПД субъектов ПД:
• фамилия, имя, отчество;
• адрес электронной почты;
• номер телефона;
• иные сведения, добровольно указанные субъектом ПД в специальных формах, расположенных на Сайте и в социальных сетях, а также предоставленных по телефону, через мессенджеры или при непосредственном контакте с Оператором персональных данных. Заполняя соответствующие формы и/или отправляя/передавая свои персональные данные Оператору, Субъект ПД выражает свое согласие с данной Политикой.
4.3. Оператор констатирует, что на Сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie», IP адресов) с помощью сервисов интернет-статистики (Яндекс Метрика, Гугл Аналитика и других) при условии, что это допускается Субъектом ПД, т.е. разрешено в настройках браузера Субъекта ПД (включено сохранение файлов «cookie» и использование технологии JavaScript и подобных).
5. Цели сбора и обработки ПД
5.1. Оператор осуществляет обработку ПД данных в следующих целях:5.1.1. Осуществление профильной деятельности, в частности: заключение, исполнение и прекращение гражданско-правовых договоров и иных сделок с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами;
5.1.2. Организация кадрового учета МФО, обеспечение соблюдения законов и иных нормативно-правовых актов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам; ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании различного вида льготами; исполнение требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнение первичной статистической документации в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами и иными нормативными актами.
5.2. С согласия субъекта ПД Оператор может использовать его ПД:
5.2.1. Для предоставления персонализированного сервиса, в том числе предоставление доступа к услугам, которыми желает воспользоваться субъект ПД;
5.2.2. Для связи с субъектом ПД в случае необходимости, в том числе для направления по электронной почте и/или посредством отправки СМС уведомлений или иных способов связи, информации и запросов, связанных с оказанием Оператором услуг, маркетинговых и иных сообщений, относящихся к услугам Оператора и/или услугам контрагентов-партнёров Оператора, а также для обработки заявлений, запросов и заявок субъектов ПД;
5.2.3. Для улучшение качества услуг, оказываемых Оператором, а также улучшения качества Сайта, страниц социальных сетей, используемого Оператором, клиентского сервиса и повышения удобства его использования;
5.2.4. Для проведения статистических и иных исследований на основе обезличенных ПД.
6. Меры по обеспечению защиты ПД
6.1. Оператор предпринимает необходимые организационные и технические меры по защите ПД. Принимаемые меры основаны на требованиях ст. 18.1, ст.19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», иных нормативных актов в сфере ПД.6.2. Меры по защите ПД включают в себя, помимо и иных мероприятий:
6.2.1. Назначены лица, ответственные за организацию обработки и обеспечение безопасности ПД;
6.2.2. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки и обеспечение безопасности ПД Оператора;
6.2.3. Ответственность должностных лиц Оператора, имеющих доступ к ПД, за невыполнение требований норм, регулирующих обработку и защиту ПД, определяется в соответствии с законодательством Российской Федерации и локальными актами - внутренними документами Оператора;
6.2.4. В целях реализации положений Политики Оператором разрабатываются соответствующие локальные акты, регулирующие вопросы обеспечения безопасности ПД при их обработке в информационных системах ПД Оператора, порядка хранения и защиты ПД пользователей и иные локальные акты и документы.
6.2.5. Лица, ведущие обработку ПД, проинструктированы и ознакомлены с нормативными правовыми актами и локальными актами Оператора, регламентирующими порядок работы и защиты ПД;
6.2.6. Разграничены права доступа к обрабатываемым ПД;
6.2.7. Обеспечено раздельное хранение ПД (материальных носителей), обработка которых осуществляется в различных целях;
6.2.8. Осуществляются меры технического характера, направленные на:
• предотвращение несанкционированного доступа к системам, в которых хранятся ПД;
• резервирование и восстановление ПД, работоспособность технических средств и программного обеспечения, средств защиты информации в информационных системах ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• иные необходимые меры безопасности.
6.2.9. Помимо вышеуказанного, мерами защиты ПД, используемыми Оператором, являются:
• Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД;
• Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их трудовыми обязанностями;
• Осуществление внутреннего контроля и аудита
7. Передача ПД
7.1. Оператор не предоставляет и не раскрывает сведения, содержащие ПД субъекта ПД третьим лицам без предоставленного субъектом ПД согласия, за исключением случаев, установленных федеральными законами, когда такое согласие не требуется.7.2. По мотивированному запросу, исключительно для выполнения возложенных законодательством функций и полномочий ПД субъекта ПД без его согласия могут быть переданы:
• в судебные органы в связи с осуществлением правосудия;
• в органы государственной безопасности;
• в органы прокуратуры;
• в органы полиции;
• в иные органы и организации в случаях, предусмотренных федеральными законами, (органы социального страхования, органы пенсионного обеспечения, налоговые органы, федеральную инспекцию труда и проч.).
7.3. Согласие субъекта ПД на обработку его ПД даёт право Оператору в соответствии с настоящей Политикой защиты и обработки персональных данных собирать, обрабатывать, хранить и использовать ПД субъекта ПД для достижения своих целей, указанных в настоящей Политике, в частности:
• передавать ПД субъектов ПД контрагентам Оператора, оказывающим услуги физическим лицам;
• информировать субъектов ПД о своей деятельности, осуществляемой в рамках профильных задач и настоящей Политики защиты и обработки ПД;
• использовать ПД для реализации оказания услуг
7.4. Трансграничная передача ПД Оператором.
7.4.1. Оператор до начала осуществления трансграничной передачи ПД обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу ПД, обеспечивается надежная защита прав субъектов ПД.
7.4.2. Трансграничная передача ПД на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта ПД на трансграничную передачу его ПД.
8. Сроки обработки и хранения ПД.
Порядок уничтожения ПД
8.2. Обработка ПД начинается с момента поступления ПД в информационную систему ПД и прекращается:
8.2.1. В случае выявления неправомерных действий с ПД в срок, не превышающий трех рабочих дней с даты такого выявления, Оператор устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений Оператор, в срок, не превышающий трех рабочих дней с даты выявления неправомерных действий с ПД, уничтожает ПД. Об устранении допущенных нарушений или об уничтожении ПД Оператор уведомляет субъекта ПД или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов ПД, Оператор уведомляет также указанный орган;
8.2.2. В случае достижения цели обработки ПД или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено между Оператором и субъектом ПД, Оператор незамедлительно прекращает обработку ПД и уничтожает соответствующие ПД в срок, не превышающий трех рабочих дней с даты достижения цели обработки ПД, и уведомляет об этом субъекта ПД или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов ПД, Оператор уведомляет также указанный орган;
8.2.3. В случае отзыва субъектом ПД согласия на обработку его ПД, осуществляемого путём направления письменного заказного уведомления почтой по юридическому адресу Оператора или
электронного сообщения по указанному в Политике адресу электронной почты.
8.2.4. В случае прекращения деятельности Оператора.
8.3. Хранение ПД осуществляется в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если иной срок хранения ПД не установлен между Оператором и субъектом ПД.
8.4. Ответственным за уничтожение ПД является лицо, ответственное за организацию обработки и обеспечение безопасности ПД.
8.5. При наступлении любого из событий, повлекших необходимость уничтожения ПД, лицо, ответственное за организацию обработки и обеспечение безопасности ПД, обязано:
8.5.1. Принять меры к уничтожению ПД;
8.5.2. Оформить, если это требуется, соответствующий Акт об уничтожении ПД (и/или материальных носителей ПД).
9. Основные права субъекта ПД
9.1. Субъект ПД вправе:
9.1.1. Требовать от Оператора уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
9.1.2. Требовать предоставить перечень своих ПД, обрабатываемых Оператором, и источник их получения;
9.1.3. Получать информацию о сроках обработки своих ПД, в том числе о сроках их хранения;
9.1.4. Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные ПД, обо всех произведенных в них исключениях, исправлениях или дополнениях;
9.1.5. Отозвать согласие на обработку своих ПД.
9.2. Для реализации вышеуказанных прав субъект ПД может в порядке, установленном ст.14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», обратиться к Оператору с соответствующим запросом. Для выполнения таких запросов представителю Оператора может потребоваться установить личность субъекта ПД и запросить дополнительную информацию.
9.3. Если субъект ПД считает, что Оператор осуществляет обработку его ПД с нарушением требований законодательства РФ или иным образом нарушает его права и свободы, субъект ПД вправе обжаловать действия или бездействие Оператора в порядке, предусмотренном законодательством Российской Федерации.
10. Обязанности Оператора
10.1. Оператор обязан:
10.1.1. В случаях, если ПД были получены не от субъекта ПД, уведомить субъекта ПД;
10.1.2. При отказе в предоставлении ПД разъяснить субъекту ПД последствия такого отказа;
10.1.3. Опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике, определяющей его деятельность относительно обработки ПД;
10.1.4. Принимать необходимые правовые, организационные и технические меры и/или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, несанкционированного уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
10.1.5. Давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.
11. Гарантии конфиденциальности
11.1. Информация, относящаяся к ПД, ставшая известной в связи с реализацией трудовых отношений, в связи с оказанием услуг клиентам Оператора и в связи с сотрудничеством с контрагентами Оператора, является конфиденциальной информацией и охраняется законом.11.2. Работники Оператора и иные лица, получившие доступ к обрабатываемым ПД, предупреждаются о возможной дисциплинарной, административной, гражданско-правовой или уголовной ответственности в случае нарушения норм и требований действующего законодательства, регулирующего правила обработки и защиты ПД.
11.3. Работники, осуществляющие обработку ПД и ответственные за обеспечение её безопасности, имеют квалификацию, достаточную для поддержания требуемого режима безопасности ПД.
11.4. Для всех лиц, обрабатывающих ПД, проводятся инструктажи по обеспечению безопасности ПД. При этом ответственное лицо:
• организовывает инструктирование и обучение работников;
• ведет персональный учёт работников, прошедших инструктирование и обучение.
12. Ответственность
12.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту ПД, несут ответственность, предусмотренную законодательством Российской Федерации, локальными актами Оператора и договорами/соглашениями, регламентирующими правоотношения Оператора с третьими лицами.
13. Дополнительные условия
13.1. С момента утверждения настоящей Политики, предыдущая Политика в отношении ПД от 2012 года утрачивает силу.