1.1. Настоящий документ определяет политику индивидуального предпринимателя Тормышовой Наталии Владимировны (далее — ИП) в отношении обработки персональных данных и излагает систему основных принципов, применяемых в отношении обработки персональных данных.

1.2. Настоящая Политика составлена в соответствии с Федеральным законом РФ «О персональных данных» № 152-ФЗ от 27 июля 2006 г .

1.3. Настоящая Политика подлежит актуализации в случае изменения законодательства РФ о

персональных данных.

1.4. Для решения данной задачи у ИП введена, функционирует и проходит периодический пересмотр (контроль) система защиты персональных данных.

1.5. Действие настоящей Политики распространяется на все операции, совершаемые ИП с персональными данными с использованием средств автоматизации или без их использования.

2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. ИП определил следующие законные цели обработки персональных данных:

2.1.1. Ведение кадрового и бухгалтерского учета.

2.1.2. Продвижение товаров, работ, услуг на рынке.

2.1.3. Подбор персонала (соискателей) на вакантные должности.

2.1.4. Подготовка, заключение и исполнение гражданско-правового договора

2.1.5. Обеспечение соблюдения налогового законодательства РФ.

2.2. ИП в рамках указанных в п. 2.1 целей вправе определить и отразить в согласиях на обработку персональных данных направления обработки для обеспечения информированности Субъекта о том каким образом будут обрабатываться его данные в рамках цели.

2.3. ИП вправе определять иные цели обработки персональных данных, которые на момент вступления в силу настоящей Политики не были определены, они могут закрепляться в локальных нормативных актах ИП, а также непосредственно в согласиях на обработку персональных данных.

3. КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. ИП осуществляет обработку различных категорий персональных данных:

3.1.1. персональные данные, разрешенные для опубликования (распространения);

3.1.2. иные персональные данные, которые в соответствии с действующим

законодательством не отнесены к специальным категориям персональных данных, биометрическим персональным данным, данным, разрешённым субъектом для опубликования (распространения).

3.2 ИП в своей деятельности не обрабатывает биометрические персональные данные.

3.3. ИП в своей деятельности не обрабатывает специальные категории персональных данных.

3.4 Персональные данные, разрешённые субъектом для опубликования, обрабатываются на основании согласия субъекта, предоставленного по специальной форме.

3.5. ИП вправе обрабатывать персональных данные, разрешёнными Субъектом для распространения, только в целях, указанных в согласии субъекта на распространение персональных данных либо в случаях получения дополнительного согласия от субъекта.

4. СУБЪЕКТЫ И НАБОРЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. ИП определяет круг Субъектов, данные которых ей необходимы для достижения обозначенных целей, до момента начала соответствующей обработки, в частности, но не ограничиваясь:

4.1.1. Соискатели на замещение вакантных должностей;

4.1.2. Работники;

4.1.3. Уволенные работники;

4.1.4. Представители контрагентов ИП;

4.2. 4.1.5. Представители контрагента;

4.1.6. Индивидуальные предприниматели;

4.1.7.Участники маркетинговых мероприятий/активностей;

4.1.8.Участники акции;

4.1.9.Пользователи сайта.

4.2 В случае, если у ИП появится законная необходимость в обработке персональных данных иных лиц либо тех же лиц, но для других целей, то ИП вправе обрабатывать персональные данные иных субъектов персональных данных.

5. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Персональные данные обрабатываются ИП на условиях, определённых действующим законодательством.

5.2. В случаях, когда для достижения цели обработки персональных данных требуется получение согласия субъекта персональных данных, ИП собирает соответствующие согласия до момента начала соответствующей обработки. Согласие может быть получено в любой разрешённой применимым законодательством форме, которая обеспечит возможность сохранения подтверждения получения соответствующего согласия.

6. ИСТОЧНИКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. ИП в ходе своей деятельности при взаимодействии с субъектами персональных данных может как получать персональные данные от субъектов или третьих лиц, так и создавать служебные персональные данные для субъектов.

6.2 Сбор персональных данных ИП осуществляется:

6.2.1. от субъекта персональных данных;

6.2.2. от третьих лиц.

6.3 При получении персональных данных от третьих лиц (в том числе по договорам) должно

соблюдаться одно из следующих условий:

6.3.1. Субъект персональных данных должен быть уведомлен о такой передаче, а также о её целях и иных условиях, с правом отказа от передачи его данных. Уведомление осуществляется либо ИП, либо получателем данных, в зависимости от условий письменного соглашения, на основании которого передаются персональные данные;

6.3.2. лицо, предоставляющее персональные данные гарантирует, что сбор, обработка и передача персональных данных соответствуют требованиям применимого законодательства, в частности от субъекта получено соответствующее согласие на передачу его данных персональных данных ИП с возможностью последующей обработки, а также освобождает ИП от каких-либо требований и претензий третьих лиц, которые связаны с обработкой переданных персональных данных.

6.4. ИП с согласия субъекта персональных данных вправе создавать данные, которые будут использоваться для идентификации Субъекта в ИП (идентификаторы, корпоративный адрес электронной почты и др.) для целей обеспечения деятельности Субъекта в ИП, а также защиты данных и систем ИП.

6.4.1. Служебные персональные данные, являются собственностью ИП и не должны использоваться для целей, которые не связаны с деятельностью ИП.

6.4.2. Служебные данные становятся персональными с момента их объединения с другими персональными данными Субъекта, в результате которого они могут быть использованы для целей идентификации Субъекта.

7. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. В ходе обработки персональных данных ИП осуществляет:

7.1.1. запись, то есть формирование (создание, копирование, компиляция) электронных файлов на машинных носителях данных, администрируемых (контролируемых) ИПей (сервера, дисковое пространство), а также на материальных носителях данных, администрируемых (контролируемых) Обработчиками персональных данных, привлечённых ИП (облачные хранилища, хранилища отдельных систем);

7.1.2. систематизацию, то есть действия, направленные на объединение и расположение персональных данных в определенной последовательности для определённых целей, получившаяся совокупность данных может содержать как данные, которые сами по себе не являются персональными, однако при объединении их с персональными данными субъектов, становятся таковыми;

7.1.3. накопление, то есть формирование исходного, несистематизированного массива персональных данных одним из следующих способов: получение оригиналов документов (трудовая книжка, договоры и т.п.); копирование оригиналов документов; внесение сведений в учетные формы (на бумажные носители и в базы данных информационных систем); получение электронных образов документов, а также форм сбора данных;

7.1.4. хранение;

7.1.5. уточнение (обновление, изменение);

7.1.6. защита: обезличивание, блокирование, шифрование и др.

7.2 Персональные данные граждан Российской Федерации обрабатываются с использованием

баз данных, находящихся на территории Российской Федерации.

7.3 Обработка персональных данных может осуществляться работниками ИП, а также иными

лицами, привлечёнными ИП на основании соответствующего соглашения (поручения).

8. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Хранение персональных данных ИП осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, за исключением случаев, когда срок хранения установлен федеральным законом, договором или  требованиями нормативных документов РФ.

8.2. ИП осуществляет хранение персональных данных следующими способами:

8.2.1. на машинных носителях – данные, полученные в электронной форме или преобразованные в электронную форму;

8.2.2. на бумажных носителях – данные, полученные в материальной форме или преобразованные в материальную форму.

8.3. Хранение на машинных носителях может осуществляться ИП систематизировано с использованием информационных систем персональных данных, формируемых из различных персональных данных, а также в отдельных базах данных (технических решениях, ПО). ИП может хранить в одной базе данных только те персональные данные, совместное хранение которых не противоречит законодательству РФ.

8.4. Обработка, в том числе архивное хранение персональных уволенных работников, осуществляется в соответствии с законодательством Российской Федерации.

9. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. ИП вправе передавать персональные данные третьим лицам только в случаях, предусмотренных действующим законодательством, а также, когда это необходимо, на основании согласия Субъекта персональных данных.

9.2 Третьими лицами, которым передаются персональные данные, могут являться как другие

Операторы, так и Обработчики.

9.2.1. В случае передачи персональных данных третьему лицу, которое будет выступать самостоятельным Оператором указанных персональных данных, субъект должен быть уведомлен о такой передаче, а также о целях и иных параметрах обработки его персональных данных новым оператором, ему должно быть предоставлено право отказаться от передачи данных новому оператору. Уведомление осуществляется либо ИП, либо получателем данных, в зависимости от условий письменного соглашения, на основании которого передаются персональные данные.

9.2.2. Передача персональных данных Обработчику должна осуществляться на основании и в соответствии с поручением. В поручении должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться Обработчиком, цели обработки, обязанность Обработчика соблюдать конфиденциальность персональных данных, а также иные положения, включение которых может потребоваться в соответствии с требованиями действующего законодательства РФ. Обработчик обязан по запросу ИП предоставлять документы и иную информацию, подтверждающую принятие мер и соблюдение в целях исполнения поручения.

9.3 В зависимости от процессов, в рамках которых привлекается Обработчик, а также цели его привлечения, все обработчики подразделяются на процессных и технических.

9.3.1. Процессные Обработчики – лица, привлечённые для обработки персональных данных, для достижения целей, не связанных с техническим обслуживанием применяемого ИП ПО.

9.3.2. Технические Обработчики – лица, привлечённые ИП к обработке персональных

данных исключительно в связи с необходимостью технического обслуживания и поддержки ПО, и в объёме, который необходим для целей технической поддержки и обслуживания. Условия обработки персональных данных техническими Обработчиками могут определяться условиями соответствующего соглашения на предоставление и техническое обслуживание указанных систем, также в отношениях с ними может  применяться типовое поручение по форме ИПи.

10. БЛОКИРОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. ИП блокирует обрабатываемые персональные данные при выявлении недостоверности

обрабатываемых персональных данных или неправомерных действий в отношении субъекта

в следующих случаях:

10.1.1. по требованию субъекта персональных данных;

10.1.2. по требованию уполномоченного органа по защите прав субъектов персональных данных;

10.1.3. по результатам внутренних контрольных мероприятий.

10.2. Порядок блокирования определяется в зависимости от вида персональных данных, носителя, объёма, применяемого ПО, а также иных фактических обстоятельств ИП самостоятельно.

11. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. ИП уничтожает персональные данные в случае:

11.1.1. достижения целей обработки персональных данных или утраты необходимости в их достижении;

11.1.2. получения соответствующего запроса от субъекта, при условии, что данный запрос не противоречит требованиям законодательства РФ;

11.1.3. отзыва согласия субъекта на обработку его персональных данных (если отзыв согласия влечет за собой уничтожение персональных данных);

11.1.4. получения соответствующего предписания от уполномоченного органа по защите прав субъектов.

11.2. Уничтожение бумажных носителей, содержащих персональные данные, производится в соответствии с соответствующим регламентом ИП.

11.3. Порядок уничтожения персональных данных в электронной форме, содержащихся в ИСПДн, определяется ИП самостоятельно.

12. ОБЕЗЛИЧИВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

12.1. ИП вправе производить обезличивание персональных данных субъектов в целях их защиты.

12.2. Результатом обезличивания персональных данных могут стать:

12.2.1. Обезличенные данные, по которым невозможно определить их принадлежность

конкретному субъекту персональных данных без использования дополнительной информации, при этом у ИП есть доступ к такой дополнительной информации;

12.2.2. Обезличенные данные, по которым невозможно определить их принадлежность конкретному субъекту в связи с уничтожением информации, которая могла бы быть использована для определения такой принадлежности.

12.3. На обезличенные данные распространяется режим персональных данных, предусмотренный действующим законодательством и Политикой, при одновременном соблюдении следующих условий:

12.3.1. у ИП имеется юридическая или фактическая возможность расшифровать Обезличенные данные таким образом, что вновь создаётся возможность отнести их к определённому или определяемому лицу;

12.3.2. в отношении Обезличенных данных фактически возможно применить требования режима персональных данных.

13. РАБОТА С ЗАПРОСАМИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

13.1. Взаимодействие с Субъектами персональных данных осуществляется на основе  астоящей Политики и иными локальными нормативными актами.

13.2. По вопросам применения настоящей политики с ИП можно связаться по адресу эл.  почты natalia.tormyshova@buro-to.com, либо отправив письменный запрос по адресу: 143033, Московская область, Одинцовский район, пос. Горки-2, д. 16 а/б 13