Политика конфиденциальности персональных данных

ПОЛИТИКА ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
индивидуального предпринимателя Труфановой Татьяны Михайловны редакция от 15 декабря 2023 года
(далее – ИП Труфанова Т.М.)

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с пунктом 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), а также иными нормативно-правовыми актами в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – Данные, ПД), которые Индивидуальный предприниматель Труфанова Татьяна Михайловна (далее – Оператор) может получить от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работник) или субъекта персональных данных-физического лица, состоящего с Оператором в договорных или иных гражданско-правовых отношениях ,а также  субъектов персональных данных-физических лиц  пользователей сайта Оператора , расположенного на доменном имени snezhinka38.ru при приёме обращений, запросов, вопросов, уведомлений касающихся оказания услуг по химчистке и стирке.
1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Закона о персональных данных.
1.3. Изменение Политики
1.3.1. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. 

2. Термины и принятые сокращения

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
•    сбор;
•    запись;
•    систематизацию;
•    накопление;
•    хранение;
•    уточнение (обновление, изменение);
•    извлечение;
•    использование;
•    передачу (распространение, предоставление, доступ);
•    обезличивание;
•    блокирование;
•    удаление;
•    уничтожение.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку, информационных технологий и технических средств.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Порядок и условия обработки персональных данных

3.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации. 

Правовыми основаниями обработки персональных данных Оператором являются:
-Конституция Российской Федерации;
-Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
-Гражданский кодекс Российской Федерации от 30.10.1994 № 51-ФЗ;
-Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ;
-Федеральный закон Российской Федерации от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
-Федеральный закон Российской Федерации от 06.12.2011 № 402-ФЗ
«О бухгалтерском учете»;
-Федеральный закон Российской Федерации от 28.12.2003 № 426-ФЗ
«О специальной оценке условий труда»;
-Постановление Правительства Российской Федерации от 27.11.2006 г. № 719 «Об утверждении Положения о воинском учете»;
-Закон РФ "О защите прав потребителей" от 7 февраля 1992 г. N 2300-I с изменениями и дополнениями;
-Правила бытового обслуживания населения утверждены постановлением Правительства
Российской Федерации от 21 сентября 2020 г. N 1514;
-Руководство для работников приемных пунктов предприятий химической чистки и крашения (утв. Министерством бытового обслуживания населения РСФСР 20 июня 1990 г.)
-трудовой договор и соглашения к трудовому договору;
-договор с контрагентом, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также договор, заключаемый по инициативе субъекта персональных данных или договор, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

3.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

3.3. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

3.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.

3.5. Обработка персональных данных осуществляется путем:
•    получения персональных данных в устной и письменной форме непосредственно от субъекта персональных данных;
•    получения персональных данных из общедоступных источников;
•    внесения персональных данных в журналы, реестры и информационные системы Оператора;
•    При сборе персональных данных на страницах сайта Оператор предоставляет субъекту персональных данных возможность ознакомиться с настоящей Политикой и дать согласие на обработку персональных данных свободно, своей волей и в своем интересе.

3.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

3.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

3.8. Цели обработки персональных данных:

3.8.1. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.8.2. Обработка Оператором персональных данных осуществляется в следующих целях:
•    обеспечение соблюдения Конституции, федеральных законов и иных нормативных правовых актов Российской Федерации;
•    осуществление своей деятельности, в том числе исполнение договора, стороной которого является субъект персональных данных, а также заключения договора по инициативе субъекта персональных данных;
•    приём обращений, запросов, вопросов, уведомлений касающихся оказания услуг по химчистке и стирке от пользователей сайта Оператора, расположенного на доменном имени snezhinka38.ru
•    Организация кадрового учета, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам;
•    Исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц, взносов во внебюджетные фонды и страховых взносов во внебюджетные фонды, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование;
•    Заполнение первичной статистической документации в соответствии с трудовым, налоговым законодательством и иными федеральными законами.

3.9. Категории субъектов персональных данных.

Обрабатываются ПД следующих субъектов ПД:
– физические лица, Клиенты Оператора;
– физические лица, Посетители сайта Оператора, расположенного на доменном имени snezhinka38.ru;
– физические лица, состоящие с Оператором в трудовых отношениях;
– физические лица, родственники физических лиц, состоящих с Оператором в трудовых отношениях;
– физические лица, уволившиеся и ранее состоявшие с Оператором в трудовых отношениях;
– физические лица, являющиеся кандидатами на вакантные должности Оператора;
– физические лица, состоящие с Оператором в гражданско-правовых отношениях;
– физические лица, представители/работники клиентов и контрагентов Оператора (юридических лиц).

3.10. ПД, обрабатываемые Оператором по категориям субъектов персональных данных:

– физические лица, Клиенты Оператора.

Категория персональных данных- общие персональные данные.
Цель обработки:
-подготовка, заключение, исполнение гражданско-правовых договоров.
Персональные данные:

1    Фамилия, имя, отчество
2    Номер контактного телефона
3    Адрес электронной почты
4    Почтовый адрес

– физические лица, Посетители сайта Оператора, расположенного на доменном имени snezhinka38.ru.
Категория персональных данных- общие персональные данные.
Цель обработки:
  -продвижение услуг на рынке.
 Персональные данные:

1    Фамилия, имя, отчество
2    Номер контактного телефона
3    Адрес электронной почты

– физические лица, состоящие с Оператором в трудовых отношениях.

Категория персональных данных- общие персональные данные, специальные персональные данные.
Цели обработки:
    -ведение кадрового и бухгалтерского учёта, обеспечение соблюдения трудового законодательства РФ, налогового законодательства РФ, пенсионного законодательства РФ.
Персональные данные:

1    Фамилия, имя, отчество
2    Пол
3    Гражданство
4    Дата (число, месяц, год) и место рождения
5    Сведения о регистрации по месту жительства или пребывания
6    Номер контактного телефона
7    Сведения о трудовой деятельности, стаже работы
8    Идентификационный номер налогоплательщика
9    Данные паспорта или иного удостоверяющего личность документа
10     Данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа
11    Данные полиса обязательного медицинского страхования
12    Номер лицевого счёта, реквизиты банковского счёта
13    Данные трудовой книжки, вкладыша в трудовую книжку
14    Данные о воинской обязанности
15    Сведения для воинского учёта
16     Сведения об образовании
17    Сведения о профессии
18    Сведения о получении дополнительного профессионального образования
19    Сведения о владении иностранными языками
20    Данные о трудовой занятости, должности и кадровых перемещениях на текущее время
21     Сведения о заработной плате и иных выплат в пользу работника
22    Сведения о семейном положении
23    Сведения о близких родственниках
24    Данные водительского удостоверения
25    Данные медицинского характера о состоянии здоровья, относящиеся к вопросу о возможности исполнения работником данной трудовой функции (в случаях, предусмотренных законодательством РФ)

– физические лица, родственники физических лиц, состоящих с Оператором в трудовых отношениях.
Категория персональных данных- общие персональные данные.
Цель обработки:
    -ведение кадрового и бухгалтерского учёта, обеспечение соблюдения трудового законодательства РФ, налогового законодательства РФ.
Персональные данные:

1    Фамилия, имя, отчество
2    Пол
4    Дата (число, месяц, год) и место рождения
5    Данные, содержащиеся в свидетельстве о рождении
6    Сведения об обучении

– физические лица, уволившиеся и ранее состоявшие с Оператором в трудовых отношениях;
Категория персональных данных- общие персональные данные, специальные персональные данные.
Цель обработки:
    -ведение кадрового и бухгалтерского учёта, обеспечение соблюдения трудового законодательства РФ, налогового законодательства РФ, пенсионного законодательства РФ.

Персональные данные:

1    Фамилия, имя, отчество
2    Пол
3    Гражданство
4    Дата (число, месяц, год) и место рождения
5    Сведения о регистрации по месту жительства или пребывания
6    Номер контактного телефона
7    Сведения о трудовой деятельности, стаже работы
8    Идентификационный номер налогоплательщика
9    Данные паспорта или иного удостоверяющего личность документа
10     Данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа
11    Данные полиса обязательного медицинского страхования
12    Номер лицевого счёта, реквизиты банковского счёта
13    Данные трудовой книжки, вкладыша в трудовую книжку
14    Данные о воинской обязанности
15    Сведения для воинского учёта
16     Сведения об образовании
17    Сведения о профессии
18    Сведения о получении дополнительного профессионального образования;
19    Сведения о владении иностранными языками
20    Данные о трудовой занятости, должности и кадровых перемещениях 
21     Сведения о заработной плате и иных выплат в пользу работника
22    Сведения о семейном положении
23    Сведения о близких родственниках
24    Данные водительского удостоверения
25    Данные медицинского характера о состоянии здоровья, относящиеся к вопросу о возможности исполнения работником данной трудовой функции (в случаях, предусмотренных законодательством РФ)

– физические лица, являющиеся кандидатами на вакантные должности Оператора.

Категория персональных данных- общие персональные данные
Цель обработки-подбор персонала(соискателей) на вакантные должности Оператора.
Персональные данные:

1    Фамилия, имя, отчество
2    Пол
3    Гражданство
4    Дата (число, месяц, год) и место рождения
5    Номер контактного телефона
6    Сведения о трудовой деятельности, стаже работы
7     Сведения об образовании
8    Сведения о профессии
9    Данные о трудовой занятости на текущее время с указанием наименования организации
10    Данные медицинского характера о состоянии здоровья, относящиеся к вопросу о возможности исполнения работником данной трудовой функции (в случаях, предусмотренных законодательством РФ)

– физические лица, состоящие с Оператором в гражданско-правовых отношениях. 
Категория персональных данных- общие персональные данные.
Цель обработки:
-подготовка, заключение, исполнение гражданско-правовых договоров.
Персональные данные:

1    Фамилия, имя, отчество
2    Номер контактного телефона
3    Сведения о регистрации по месту жительства или пребывания
4    Идентификационный номер налогоплательщика
5    Данные паспорта или иного удостоверяющего личность документа
6    Реквизиты банковского счёта
    

– физические лица, представители/работники клиентов и контрагентов Оператора (юридических лиц).
Категория персональных данных- общие персональные данные.
Цель обработки:
- подготовка, заключение, исполнения, прекращения гражданско-правовых договоров.
Персональные данные:

1    Фамилия, имя, отчество
2    Должность
3    Номер контактного телефона 
4    Адрес электронной почты.

3.11. Хранение ПД.
    
3.11.1. ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
3.11.2. ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
3.11.3. ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
3.11.4. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) 
3.11.5. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.11.6. При осуществлении хранения персональных данных Оператор использует базы данных, находящиеся на территории Российской Федерации.
 

3.12. Уничтожение ПД.

3.12.1. Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
3.12.2. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.
3.12.3. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей.

4. Защита персональных данных

4.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
4.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.
4.4. Основными мерами защиты ПД, используемыми Оператором, являются:
4.5.1. Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПД.
4.5.2. Определение актуальных угроз безопасности ПД и разработка мер и мероприятий по защите ПД.
4.5.3. Разработка политики в отношении обработки персональных данных.
4.5.4. Установление правил доступа к ПД.
4.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
4.5.6. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
4.5.7. Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ.
4.5.8. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
4.5.9. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.
4.5.10. Осуществление внутреннего контроля и аудита.

5. Основные права субъекта ПД и обязанности Оператора

5.1. Основные права субъекта ПД.
Субъект имеет право на доступ к его персональным данным и следующим сведениям:
– подтверждение факта обработки ПД Оператором;
– правовые основания и цели обработки ПД;
– цели и применяемые Оператором способы обработки ПД;
– наименование и место нахождения Оператора,
– сроки обработки персональных данных, в том числе сроки их хранения;
– обращение к Оператору и направление ему запросов;
– обжалование действий или бездействия Оператора.
    
5.2. Обязанности Оператора.

Оператор обязан:

 –  сообщить в порядке, предусмотренном статьей 14 Закона о персональных данных, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;
– в случаях если ПД были получены не от субъекта ПД, уведомить субъекта;
– предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы;
– в случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

– в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
- в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
- в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

– в случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор в срок, не превышающий десяти рабочих дней с даты получения им соответствующего требования, обязан прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных Законом о персональных данных.
Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
– опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;
– принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.

Действующая редакция ПОЛИТИКА ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ индивидуального предпринимателя Труфановой Татьяны Михайловны на бумажном носителе хранится по адресу 664074, Иркутская область, гор. Иркутск, ул. Лермонтова,112. Электронная версия размещена на сайте в информационно-телекоммуникационной сети "Интернет" по адресу: snezhinka38.ru