- Главная
- Политика обработки персональных данных
Политика обработки персональных данных
Утверждена приказом № 1 от 01.09.2022
Политика обработки персональных данных
1. Общие положения
1. Настоящий документ определяет политику «Мебель Склад» ИП Шатрун А.П (далее - Оператор) в отношении обработки персональных данных и реализации требований к защите персональных данных (далее - Политика) в соответствии с требованиями ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
2. Нормативной базой, регламентирующей положения настоящей Политики, являются Конституция Российской Федерации, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей», Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации», Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования», Налоговый кодекс Российской Федерации (часть вторая), иные нормативно-правые акты, обязывающие Оператора передавать персональные данные работников по запросам уполномоченных государственных органов, Постановление Правительства Российской Федерации от 15.09.2008 № 687, положения иных нормативно-правовых актов Российской Федерации в области обработки персональных данных, Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
3. К настоящей Политике должен иметь доступ любой субъект персональных данных.
4. В настоящей Политике используются следующие основные понятия:
5. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
6. Оператор - ИП Шатрун А.П (Юридический адрес: 346880, Ростовская обл., г.Батайск ОГРНИП 321619600150074 ИНН 614110203701);
7. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
8. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
9. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
10. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
11. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
12. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
13. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2. Цели обработки персональных данных
Оператор осуществляет обработку персональных данных в следующих целях:
· обеспечение соблюдения требований трудового и налогового законодательства (далее - Цель 1);
· реализация товаров Оператора через официальный сайт Оператора в информационно-телекоммуникационной сети «Интернет» https://мебель-склад.рф//, оказание услуг (далее - Цель 2);
· оформления грамот и наград работникам Оператора (далее - Цель 3);
· оформление дополнительного страхования работникам Оператора (далее - Цель 4);
· направление на обучение работников Оператора (далее - Цель 5),
· оформления участия в зарплатном проекте (далее – Цель 6).
3. Перечень субъектов, персональные данные которых обрабатываются Оператором
0. Для Цели 1 обрабатываются следующие категории субъектов персональных данных:
· Сотрудники/представители контрагентов, состоящих в гражданско-правовых отношениях с Оператором;
· Работники Оператора, работники Оператора, с которыми были расторгнуты трудовые договоры, кандидаты и соискатели на вакантные должности Оператора;
· Близкие родственники работников Оператора.
1. Для Цели 2 обрабатываются следующие категории субъектов персональных данных:
· Клиенты (покупатели) Оператора, которым Оператор реализует товары, оказывает услуги.
2. Для Цели 3 обрабатываются следующие категории субъектов персональных данных:
· Работники Оператора.
3. Для Цели 4 обрабатываются следующие категории субъектов персональных данных:
· Работники Оператора.
4. Для Цели 5 обрабатываются следующие категории субъектов персональных данных:
· Работники Оператора.
5. Для Цели 6 обрабатываются следующие категории субъектов персональных данных:
· Работники Оператора.
4. Категории и перечень обрабатываемых персональных данных
0. Для Цели 1 Оператор осуществляет обработку иных категорий персональных данных:
· фамилия, имя, отчество;
· число, месяц, год рождения;
· место рождения;
· сведения о гражданстве;
· вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование органа, выдавшего его;
· адрес и дата регистрации по месту жительства (по паспорту), адрес фактического проживания;
· номер контактного телефона или сведения о других способах связи;
· страховой номер индивидуального лицевого счёта;
· идентификационный номер налогоплательщика;
· сведения о составе семьи и о близких родственниках (фамилия, имя, отчество родственника и год рождения);
· стаж;
· сведения о состоянии в браке;
· сведения о воинском учете и реквизиты документов воинского учета;
· сведения об образовании (когда и какие образовательные, научные и иные организации окончил, номера документов об образовании, направление подготовки или специальность по документу об образовании, квалификация);
· сведения о прежних местах работы (должность и место работы, период работы, выполняемые трудовые обязанности);
· сведения, содержащиеся в характеристиках с прежних мест работы;
· сведения о прохождении работы: дата, основания поступления на работу и назначения на должность; дата, основания назначения, перевода, перемещения на иную должность; наименование занимаемых должностей с указанием структурных подразделений, размера денежного содержания (заработной платы), а также сведения о прежних местах работы;
· сведения о социальных льготах (наименование льготы, номер и дата выдачи документа, основание);
· сведения о наградах (поощрениях), почетных званиях (наименование награды (поощрения); наименование, дата и номер документа);
· сведения о профессиональной переподготовке (дата, специальность (направление, профессия), номер и дата диплома (свидетельства), наименование образовательного учреждения);
· сведения повышении квалификации (дата, вид повышения квалификации, номер и дата удостоверения (свидетельства), наименование образовательного учреждения);
· знание иностранного языка;
· реквизиты счета банковской карты.
1. Для Цели 2 Оператор осуществляет обработку иных категорий персональных данных:
· фамилия, имя, отчество, телефон, электронная почта, адрес доставки.
2. Для Цели 3 Оператор осуществляет обработку иных категорий персональных данных:
· фамилия, имя, отчество.
3. Для Цели 4 Оператор осуществляет обработку иных категорий персональных данных:
· фамилия, имя, отчество, паспортные данные.
4. Для Цели 5 Оператор осуществляет обработку иных категорий персональных данных:
· фамилия, имя, отчество, образование, номер телефона, паспортные данные.
5. Для Цели 6 Оператор осуществляет обработку иных категорий персональных данных:
· фамилия, имя, отчество, номер телефона, паспортные данные.
5. Порядок хранения, сроки обработки и уничтожения персональных данных
0. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
1. Персональные данные, полученные на основании согласий субъектов персональных данных, хранятся в течении срока действия того согласия (либо до истечения срока, указанного в п.5.7. настоящей Политики при получении отзыва согласия), а также до достижения целей их обработки, если иное не предусмотрено действующим законодательством Российской Федерации и настоящей Политикой.
2. Сроки хранения персональных данных для Целей 1, 3, 4, 5, 6 обусловлены требованиями законодательства и настоящей Политикой.
Персональные данные, содержащиеся:
· в карточках формы № Т-2, в трудовых договорах, соглашениях об их изменении, расторжении подлежат хранению 50 лет с момента увольнения работника;
· в приказах о ежегодно оплачиваемых отпусках, отпусках в связи с обучением, о служебных проверках, о направлении в командировку работников подлежат хранению в течение 5 лет;
· в приказах о дисциплинарных взысканиях подлежат хранению в течение 3 лет;
· в приказах по личному составу (о приеме, переводе, перемещении, ротации, совмещении, совместительстве, увольнении, оплате труда, аттестации, повышении квалификации, поощрении, премировании, отпусках по уходу за ребенком, отпусках без сохранения заработной платы) подлежат хранению 50 лет со дня создания;
· карточки индивидуального учета сумм начисленных выплат и иных вознаграждений и сумм начисленных страховых взносов, регистров налогового учета подлежат хранению 5 лет;
· в трудовых книжках подлежат хранению в течение срока работы у Оператора. Персональные данные соискателей на замещение вакантных должностей подлежат хранению 30 дней с момента принятия решения об отказе в приеме на работу.
3. Срок хранения персональных данных для Цели 2 ограничен сроком исполнения всех обязательств, в том числе гарантийных по заключенному договору купли-продажи.
4. Для Целей 1,2,3,4,5,6 обработка Оператором персональных данных прекращается в следующих случаях:
· достижение целей обработки персональных данных;
· истечение срока обработки персональных данных, предусмотренного законодательством Российской Федерации, договором или согласием субъекта персональных данных на обработку его персональных данных;
· при отзыве субъектом персональных данных согласия на обработку его персональных данных, в случаях, не противоречащих требованиям законодательства Российской Федерации.
· в случаях, установленных федеральным законом или договором, стороной которого является субъект персональных данных.
5. Уничтожение персональных данных субъекта для всех указанных Целей осуществляется комиссией по защите информации. Документальной фиксацией уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных.
Уничтожение персональных данных должно производиться способом, исключающим возможность восстановления этих персональных данных. При уничтожении персональных данных должны соблюдаться условия по конфиденциальности этих данных.
6. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает их обработку в срок, не превышающий десяти рабочих дней с даты поступления указанного отзыва. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6. Принципы обработки персональных данных
0. Обработка персональных данных осуществляется на законной и справедливой основе.
1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
4. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки.
5. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Принимаются необходимые меры по удалению или уточнению неполных, или неточных данных.
6. Обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению.
7. Согласие субъекта персональных данных на обработку персональных данных для Цели 2 может быть выражено в форме отметки соответствующего поля в заявке на покупку на официальном сайте Оператора в информационно-телекоммуникационной сети «Интернет» https://мебель-склад.рф//. Согласие субъекта персональных данных на обработку персональных данных для Целей 1, 3, 4, 5, 6 может быть выражено в форме подписанного заявления.
7. Обработка персональных данных
0. Оператором для целей 1,2,3,4,5,6 используется смешанный (с использованием средств автоматизации и без использования средств автоматизации) способ обработки персональных данных с передачей информации по локальной вычислительной сети Оператора и с передачей информации через информационно-телекоммуникационную сеть «Интернет».
1. Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов, третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, установленных федеральными законами.
2. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление), блокирование, удаление, уничтожение персональных данных.
3. Обработка персональных данных осуществляется с согласия субъектов персональных данных.
4. Оператор не осуществляет обработку биометрических персональных данных.
5. Оператор не осуществляет обработку специальных категорий персональных данных.
6. Оператор не создает общедоступные источники персональных данных.
7. Оператор не производит трансграничную (на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
8. Оператор вправе передавать персональные данные третьим лицам в следующих случаях:
· субъект персональных данных выразил свое согласие на такие действия в любой позволяющей подтвердить факт его получения форме;
· передача предусмотрена федеральным законом в рамках установленной процедуры.
8. Права субъектов персональных данных
0. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных.
1. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в том числе в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
3. Субъект персональных данных имеет все иные права, определенные главой 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
9. Предоставление сведений о персональных данных
0. Сведения о персональных данных, указанные в части 7 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ, предоставляются Оператором субъекту персональных данных или его представителю при обращении в к Оператору либо при получении в Оператором запроса от субъекта персональных данных или его представителя в течение десяти рабочих дней с момента обращения либо получения Оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
1. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя.
2. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
3. Сведения предоставляются в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
5. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных: 1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом; 2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
6. Оператор уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
7. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней со дня получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
10. Меры, принимаемые Оператором для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных
0. Меры, предпринятые Оператором для исполнения обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных, включают:
· назначение ответственного за организацию обработки персональных данных;
· издание документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки и обеспечения безопасности персональных данных;
· ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства о персональных данных, требованиями к защите персональных данных, настоящей Политикой, локальными актами Оператора по вопросам обработки и защиты персональных данных;
· применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
· оценка вреда, который может быть причинен субъектам персональных данных;
· осуществление внутреннего контроля соответствия процесса обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным актам Оператора;
· опубликование документа, определяющего политику в отношении обработки персональных данных и сведениях о реализуемых требованиях к защите персональных данных, в информационно-телекоммуникационной сети;
· определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
· использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
· учет и обеспечение сохранности материальных носителей персональных данных;
· организация режима обеспечения безопасности помещений, в которых размещены информационные системы персональных данных, а также хранятся материальные носители персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
· обнаружение и принятие мер по фактам несанкционированного доступа к персональным данным;
· установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
· контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
· в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, готовность к взаимодействию с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
· реализация и контроль организационных и технических мер в соответствии с постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
11. Ответственность должностных лиц
Работники Оператора, допущенные к персональным данным, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующем законодательством.