ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ОПЕРАТОР: Индивидуальный предприниматель Задорина-Негода Г.Н.
(ИНН 772473131624, ОГРНИП 325774600384721)

1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее – Политика) разработана в соответствии с требованиями п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) и определяет порядок, принципы и условия обработки персональных данных Оператором.
1.2. Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Политика действует в отношении всех персональных данных, которые обрабатываются Оператором с использованием средств автоматизации и без их использования.
1.4. Политика является общедоступным документом и подлежит размещению на официальном сайте Оператора в информационно-телекоммуникационной сети «Интернет» по адресу: http://zngn.pro/politica-pd
1.5. Основные понятия, используемые в настоящей Политике, применяются в том значении, в котором они определены в статье 3 Закона № 152-ФЗ.
2. Принципы и цели обработки персональных данных
2.1. Обработка персональных данных в Обществе осуществляется на основе следующих принципов:
* Законности, справедливости и целостности;
* Ограничения обработки достижением конкретных, заранее определенных и законных целей;
* Минимизации персональных данных (обрабатываются только данные, необходимые для заявленных целей);
* Достоверности и актуальности данных;
* Хранения данных в форме, позволяющей идентифицировать субъекта, не дольше, чем этого требуют цели обработки.
2.2. Конкретные цели обработки, правовые основания, категории субъектов и состав обрабатываемых персональных данных для каждого бизнес-процесса Оператора определены в Приложении № 1 к настоящей Политике.
3. Права и обязанности
3.1. Права и обязанности субъекта персональных данных.
Субъект персональных данных имеет право:
* На получение сведений, предусмотренных ч. 7 ст. 14 Закона № 152-ФЗ;
* На уточнение, блокирование или уничтожение своих данных в случае их неполноты, устаревания, неточности или незаконности получения;
* На отзыв согласия на обработку персональных данных;
* На обжалование действий или бездействия Оператора в Роскомнадзоре или в суде;
* На осуществление иных прав, предусмотренных законодательством РФ.

3.2. Права и обязанности Оператора.
Оператор имеет право:
* самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
* поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
* в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

Оператор обязан:
* Организовать обработку данных в соответствии с законодательством;
* Отвечать на обращения и запросы субъектов данных и их законных представителей;
* По запросу Роскомнадзора предоставлять необходимую информацию в установленные сроки;
* В случае выявления неправомерной обработки данных, в том числе утечки, незамедлительно прекратить ее и уведомить об этом Роскомнадзор и субъекта данных, чьи права были нарушены;
* Разъяснять субъекту его права и порядок защиты в случае продолжения обработки после отзыва согласия на ином законном основании;
* Принимать необходимые правовые, организационные и технические меры для защиты данных, определенные в Приложении № 2.
4. Условия обработки персональных данных
4.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
4.2. Обработка осуществляется как с согласия субъекта, так и без него в случаях, прямо предусмотренных законом.
4.3. Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами:

неавтоматизированная обработка персональных данных;
автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
смешанная обработка персональных данных.

4.4. Обработка специальных категорий персональных данных (о расовой, национальной принадлежности, здоровье, биометрических данных) не осуществляется, за исключением случаев, прямо предусмотренных федеральными законами (например, данные о здоровье для целей ДМС).
4.5. Трансграничная передача персональных данных граждан РФ не осуществляется.
4.6. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
4.7. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021г. № 18.
4.8. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
5. Порядок реализации прав субъектов, обеспечения безопасности и хранения данных
5.1. Подробный порядок рассмотрения запросов субъектов, включая сроки, форму ответа и основания для отказа, регламентирован Приложением № 3.
5.2. Меры, направленные на обеспечение безопасности персональных данных при их обработке, включая защиту от неправомерного доступа, уничтожения или изменения, утверждены Приложением № 2.
5.3. Сроки хранения персональных данных определяются в соответствии с целями обработки, требованиями законодательства об архивном деле и трудового права. По истечении установленных сроков или при достижении целей обработки данные подлежат уничтожению в порядке, установленном Приложением № 4.
6. Заключительные положения
6.1. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных в Операторе
6.2. Настоящая Политика подлежит пересмотру в случае изменения законодательства РФ в области персональных данных, а также внутренних регламентов Оператора.
6.3. Актуальная версия Политики размещена в свободном доступе на сайте: http://zngn.pro/ politica-pd

ПРИЛОЖЕНИЕ № 1
к Политике обработки персональных данных
ОПЕРАТОР: Индивидуальный предприниматель Задорина-Негода Г.Н. (ИНН 772473131624, ОГРНИП 325774600384721)
Перечень целей, оснований, категорий субъектов и состава обрабатываемых ПД

№	Цель обработки	Правовое основание	Категория субъектов	Состав обрабатываемых ПД (минимизированный)
1	Трудовые отношения, ведение кадрового и бухгалтерского учета	Ст. 86 ТК РФ, ст. 23 НК РФ, Федеральные законы № 402-ФЗ, № 167-ФЗ	Действующие и уволенные работники	фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании..
2	Подбор персонала (соискателей)	Преддоговорные отношения (ст. 437 ГК РФ), согласие соискателя	Соискатели вакансий	фамилия, имя, отчество; год рождения; семейное положение; адрес электронной почты; номер телефона; профессия; должность; сведения об образовании; опыт работы.
3	Заключение и исполнение гражданско-правовых договоров	Ст.ст. 432, 702 ГК РФ (договор)	Контрагенты-физлица, ИП, их представители	Контрагенты-поставщики физические лица и индивидуальные предприниматели: фамилия, имя, отчество; адрес электронной почты; адрес регистрации; номер телефона; данные документа, удостоверяющего личность; Клиенты- физические лица и индивидуальные предприниматели: фамилия, имя, отчество; адрес электронной почты; адрес регистрации; номер телефона; данные документа, удостоверяющего личность; Представители контрагентов: фамилия, имя, отчество; адрес регистрации; данные документа, удостоверяющего личность.
4	Обратная связь с посетителями сайта	Согласие субъекта, ст. 9 Закона № 152-ФЗ	Посетители сайта, направившие запрос	ФИО, контактные данные (телефон, e-mail), текст обращения, время визита, ID заказа, время оформления записи, время принятия оферты

Посредством интернет сайта (включая все поддомены) Оператор осуществляет сбор и использование обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика). Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).
Оператор не использует иностранные сервисы для анализа данных о посетителях интернет сайта (включая все поддомены).
Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) не осуществляется.
Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
ПРИЛОЖЕНИЕ № 2
к Политике обработки персональных данных
ОПЕРАТОР: ОПЕРАТОР: Индивидуальный предприниматель Задорина-Негода Г.Н. (ИНН 772473131624, ОГРНИП 325774600384721)
Меры по обеспечению безопасности персональных данных
2.1. Организационные меры:

Назначение ответственного за организацию обработки ПД.
Издание локальных актов, регламентирующих обработку и защиту ПД.
Ознакомление работников с положениями законодательства и локальными актами под подпись.
Ограничение и разграничение доступа сотрудников к ПД.
Учет материальных носителей ПД.

2.2. Технические меры:

Применение средств защиты информации: использование сервисов, мощности которых располагаются на территории РФ, авторизация по логину и паролю.
Регистрация и учет действий пользователей в информационных системах.
Использование сертифицированных средств защиты информации- SSL -сертификат на сайте.

2.3. Процедура реагирования на инциденты (утечку данных):

В течение 24 часов с момента обнаружения: уведомление Роскомнадзора по установленной форме.
В течение 72 часов с момента обнаружения: направление в Роскомнадзор результатов внутреннего расследования.
В срок, не превышающий 3 рабочих дней с момента получения всех необходимых сведений об инциденте, — направление субъекту ПД, чьи данные были скомпрометированы, уведомления о факте утечки, возможных последствиях и предпринимаемых мерах.

ПРИЛОЖЕНИЕ № 3
к Политике обработки персональных данных
ОПЕРАТОР: ОПЕРАТОР: ОПЕРАТОР: Индивидуальный предприниматель Задорина-Негода Г.Н. (ИНН 772473131624, ОГРНИП 325774600384721)
Порядок рассмотрения запросов субъектов персональных данных
3.1. Форма и содержание запроса:
Запрос направляется на юридический адрес или e-mail Оператора. Запрос должен содержать:

ФИО субъекта;
Реквизиты документа, удостоверяющего личность;
Сведения, подтверждающие наличие отношений с Оператором (номер договора и пр.);
Суть требования (о предоставлении сведений, об уточнении, уничтожении данных и т.д.);
Подпись.

3.2. Сроки рассмотрения:

10 рабочих дней — общий срок для предоставления информации или удовлетворения иного требования.
Дополнительно 5 рабочих дней — возможно продление при направлении субъекту мотивированного уведомления.
В течение 3 рабочих дней — прекращение неправомерной обработки с момента подтверждения этого факта.

3.3. Форма ответа:
Ответ предоставляется в форме, аналогичной форме запроса, если иное не указано в запросе.

ПРИЛОЖЕНИЕ № 4
к Политике обработки персональных данных
ОПЕРАТОР: ОПЕРАТОР: ОПЕРАТОР: ОПЕРАТОР: Индивидуальный предприниматель Задорина-Негода Г.Н. (ИНН 772473131624, ОГРНИП 325774600384721)
Порядок уничтожения персональных данных
4.1. Основания для уничтожения:

Достижение цели обработки или истечение срока хранения.
Отзыв согласия субъекта, если нет иного законного основания.
Выявление неправомерной обработки.
Ликвидация Оператора .

4.2. Процедура уничтожения:

Ответственный сотрудник формирует перечень (реестр) данных/носителей, подлежащих уничтожению.
Издается приказ о создании комиссии по уничтожению.
Для бумажных носителей: физическое уничтожение (шредирование) с составлением акта об уничтожении.
Для электронных носителей и данных в ИС: затирание (wiping) информации с невозможностью восстановления, удаление из баз данных и резервных копий. Факт удаления подтверждается выпиской из журнала событий ИС.
Комиссия составляет Акт об уничтожении персональных данных с указанием состава данных, способа и даты уничтожения. Акт утверждается председателем комиссии и хранится постоянно.

4.3. Сроки: Уничтожение осуществляется в течение 30 календарных дней с момента возникновения основания, если иное не установлено законом.