1. Общие положения

1.1. Настоящая Политика разработана в целях обеспечения защиты прав и свобод субъектов персональных данных при их обработке, а также исполнения требований Федерального закона № 152-ФЗ «О персональных данных».
1.2. Политика определяет цели, условия, способы обработки персональных данных, категории субъектов и данных, перечень действий с ними, порядок доступа и уничтожения, права субъектов и обязанности Оператора, а также реализуемые меры по защите персональных данных.
1.3. Действие Политики распространяется на все процессы обработки персональных данных, выполняемые ИП Замалеевым А.Д. с использованием средств автоматизации и без их использования (смешанная обработка)
1.4. Политика публикуется в свободном доступе на сайте https://shtukatur.spb.ru.
  2. Термины и определения  В настоящей Политике используются следующие термины:
• Персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
• Оператор – индивидуальный предприниматель, самостоятельно организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
• Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными.
• Субъект персональных данных – физическое лицо, к которому относятся персональные данные, обрабатываемые Оператором.
• Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
• Неавтоматизированная обработка персональных данных – обработка персональных данных без использования средств автоматизации.
• Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных.

3. Сведения об Операторе

Оператор: Индивидуальный предприниматель Замалеев Артур Дамирович
ОГРНИП: 319784700376332
ИНН: 165048669350
Телефон: 8-812-987-89-53, 8-921-642-64-89
E-mail: poberezkaya_maria@yahoo.com
Сайт: shtukatur.spb.ru

4. Цели обработки персональных данных

4.1. Подготовка, заключение и исполнение гражданско-правовых договоров на оказание услуг по механизированной штукатурке, устройству стяжек и малярным работам.
4.2. Ведение кадрового и бухгалтерского учёта работников.
4.3. Обеспечение соблюдения трудового законодательства Российской Федерации.
4.4. Обеспечение соблюдения налогового законодательства Российской Федерации.
4.5. Обеспечение соблюдения пенсионного законодательства Российской Федерации.
4.6. Подбор соискателей на вакантные должности Оператора.

5. Правовые основания обработки

5.1. Необходимость для исполнения договора, стороной которого является субъект персональных данных.
5.2. Необходимость для исполнения обязанностей, установленных трудовым, налоговым и иным законодательством Российской Федерации.
5.3. Согласие субъекта персональных данных — при обработке данных, полученных через форму на сайте.

6. Перечень действий с персональными данными

Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (в случаях, предусмотренных законом или при обработке данных работников), удаление, уничтожение персональных данных.

7. Категории субъектов и персональных данных

7.1. Клиенты — физические лица, заказывающие и (или) пользующиеся услугами Оператора, в том числе лица, направляющие запросы или заявки через форму на сайте, телефон, электронную почту или иными способами связи.
Обрабатываемые персональные данные:
- до подписания договора: имя, контактный телефон, идентификатор в мессенджере, данные о месте нахождения обьекта.
- данные для оформления договора: ФИО, контактный телефон, адрес электронной почты (при наличии), данные документа, удостоверяющего личность, ИНН (при наличии), адрес регистрации, адрес объекта выполнения работ, номер расчетного счета, банковские реквизиты.
7.2. Представители юридических лиц и партнёров — физические лица, действующие от имени организаций, с которыми Оператор взаимодействует в рамках договоров на оказание услуг.
Обрабатываемые персональные данные:
- до подписания договора: имя, контактный телефон, данные о месте нахождения обьекта, наименование представляемой организации (если необходимо).
- данные для оформления договора: фамилия, имя, отчество, должность, контактный телефон, адрес электронной почты, реквизиты организации – наименование, адрес регистрации/местонахождения, ИНН/КПП, номер расчетного счета, банковские реквизиты.
7.3. Работники и уволенные работники — физические лица, состоящие или состоявшие с Оператором в трудовых отношениях.
Обрабатываемые персональные данные:
Дата и место рождения, год рождения,
Паспортные данные, пол, гражданство,
Адрес регистрации и проживания
Контактные данные (телефон, email)
ИНН, СНИЛС
Сведения о трудовой деятельности,
Сведения об образовании, профессия, должность,
Семейное положение, социальное положение
Сведения о детях (свидетельство о рождении)
Сведения о воинском учёте (при наличии)
Данные водительского удостоверения
Доходы, реквизиты банковской карты, номер расчетного и лицевого счета.
7.4. Родственники работников — физические лица, указанные работниками Оператора в целях предоставления им социальных гарантий, налоговых вычетов и иных льгот.
Обрабатываемые персональные данные: фамилия, имя, отчество, дата рождения, степень родства, сведения из свидетельства о рождении.
7.5. Кандидаты (соискатели) — физические лица, направляющие сведения (резюме, анкеты и иные документы) для участия в отборе или собеседовании.
Обрабатываемые персональные данные: фамилия, имя, отчество, дата рождения, адрес проживания, контактные данные (телефон, e-mail), сведения о трудовой деятельности, образовании, профессии, должности и иные данные, содержащиеся в представленных документах (резюме, характеристиках, рекомендациях).

8. Способы обработки персональных данных

8.1. Обработка персональных данных Оператором осуществляется с применением и без применения средств автоматизации (смешанным способом).
8.2. Обработка с использованием средств автоматизации включает операции, совершаемые с персональными данными в программных средствах и сервисах, используемых Оператором (ноутбук, почтовый клиент, сайт).
8.3. Обработка без использования средств автоматизации осуществляется в отношении персональных данных, содержащихся в бумажных документах (договоры, акты, трудовые документы), в порядке, исключающем несанкционированный доступ.
8.4. При обработке персональных данных Оператор принимает необходимые организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, копирования, распространения, а также иных неправомерных действий.

9. Сроки хранения и уничтожения персональных данных

9.1. Оператор хранит персональные данные субъектов в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки, если иной срок хранения не установлен законодательством Российской Федерации.
9.2. Сроки хранения персональных данных по категориям субъектов:
Клиенты — 5 лет с даты последнего оказания услуги.
Работники — документы по личному составу — 75 лет; иные документы — до достижения целей обработки.
Уволенные работники — в сроки, установленные законодательством РФ.
Родственники работников — до прекращения необходимости; после — уничтожаются в течение 30 календарных дней.
Кандидаты — 1 год с даты получения данных, если кандидат не принят на работу.
9.3. Порядок уничтожения персональных данных:
Бумажные носители уничтожаются методом шредирования или сжигания.
Электронные носители — удалением файлов с невозможностью восстановления.
Факт уничтожения оформляется соответствующим актом.
9.4. При отзыве согласия субъектом персональных данных сведения уничтожаются в течение 30 календарных дней, если нет иных законных оснований для их хранения.

10. Обработка специальных категорий персональных данных

10.1. Оператор не обрабатывает специальные категории персональных данных, касающиеся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, судимости.

11. Обработка биометрических персональных данных

11.1. Оператор не осуществляет обработку биометрических персональных данных, позволяющих определить личность субъекта на основании его физиологических и биологических особенностей (включая изображение лица, голос, папиллярные узоры пальцев рук и иные подобные данные).

12. Права субъектов персональных данных

12.1. Субъект персональных данных имеет право получать от Оператора информацию, касающуюся обработки его персональных данных, включая: факт обработки; цели и правовые основания; перечень обрабатываемых данных; источники их получения; сроки обработки и хранения; категории получателей; описание реализуемых мер защиты. Оператор предоставляет такую информацию по обращению субъекта в установленный срок.
12.2. Субъект персональных данных вправе требовать от Оператора:
- уточнения (обновления, изменения) персональных данных, если они являются неполными, неточными или устаревшими;
- прекращения обработки, удаления или уничтожения персональных данных, если обработка является незаконной либо цели обработки достигнуты;
- ограничения обработки (временного приостановления использования) на период проверки достоверности персональных данных или правомерности их обработки;
- отзыва ранее данного согласия на обработку персональных данных (если обработка велась на основании согласия), с последующим прекращением обработки и уничтожением данных при отсутствии иных законных оснований их хранения;
- обжалования действий (бездействия) Оператора в уполномоченный орган по защите прав субъектов персональных данных или в суд.
12.3. Реализация прав субъекта осуществляется безвозмездно и в сроки, установленные законодательством. Оператор рассматривает обращение и направляет ответ в течение 10 рабочих дней с даты получения; при необходимости срок может быть продлён, но не более чем на 5 рабочих дней, с направлением уведомления субъекту с указанием причин продления.
12.4. В случае выявления неправомерной обработки или недостоверности персональных данных Оператор прекращает такую обработку, удаляет/уничтожает соответствующие персональные данные и уведомляет об этом субъекта персональных данных.

 

13. Порядок рассмотрения запросов субъектов персональных данных

13.1. Субъект персональных данных направляет запрос в адрес Оператора:
- по электронной почте: poberezkaya_maria@yahoo.com;
- почтовым отправлением: 198206, г. Санкт-Петербург, Петергофское шоссе, д. 72, корп. 5, кв. 27.
13.2. Запрос должен содержать:
- фамилию, имя, отчество субъекта персональных данных;
- реквизиты документа, удостоверяющего личность (номер, серия, кем и когда выдан);
- суть требования (предоставить сведения; уточнить/изменить; прекратить обработку; уничтожить; иное);
- подпись субъекта (для письменного запроса) или усиленную квалифицированную электронную подпись при направлении в электронной форме (при наличии).
13.3. Для защиты персональных данных Оператор вправе запросить разумные дополнительные сведения, позволяющие удостовериться в личности заявителя и его отношении к запрашиваемым данным (например, номер договора, дату обращения и т. п.), строго в объёме, необходимом для идентификации.
13.4. По итогам рассмотрения запроса Оператор направляет субъекту ответ, содержащий предусмотренные законом сведения, либо мотивированный отказ с указанием основания отказа (например, отсутствие данных о субъекте в информационных системах Оператора, невозможность идентификации заявителя и т. п.). Срок ответа — до 10 рабочих дней с возможностью продления ещё на до 5 рабочих дней при направлении уведомления субъекту.
13.5. Если требование субъекта связано с исправлением, удалением или уничтожением персональных данных, Оператор, приняв соответствующее решение, в разумный срок исполняет его и уведомляет субъекта о совершённых действиях.

14. Меры по обеспечению безопасности персональных данных

14.1. Оператор реализует правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, копирования, распространения, а также иных неправомерных действий. Комплекс мер сформирован с учётом требований законодательства и разъяснений уполномоченного органа.

14.2. Организационные меры:

• назначение ответственного за организацию обработки персональных данных;
• утверждение и внедрение локальных актов, регламентирующих порядок обработки и защиты персональных данных;
• ознакомление работников Оператора с требованиями законодательства о персональных данных и обучение их безопасным методам работы с данными;
• ограничение и разграничение прав доступа сотрудников к персональным данным;
• заключение с работниками соглашений о неразглашении персональных данных и конфиденциальной информации;
• периодический контроль соблюдения установленного порядка обработки персональных данных;
• учёт носителей и документов, содержащих персональные данные; хранение в запираемых помещениях/шкафах;

14.3. Технические меры:

• использование средств защиты информации (антивирусная защита, актуальные обновления ОС и прикладного ПО);
• аутентификация пользователей и паролевая защита на рабочих станциях и мобильных устройствах Оператора;
• удаление/уничтожение персональных данных по достижении целей обработки либо по истечении сроков хранения с оформлением акта уничтожения.

15. Передача персональных данных

15.1. Передача персональных данных третьим лицам осуществляется Оператором только при наличии правовых оснований и в объёме, необходимом для достижения целей обработки.
15.2. Категории получателей персональных данных могут включать:

• государственные органы — в случаях и пределах, установленных законодательством Российской Федерации (налоговые органы, внебюджетные фонды и др.);
• банковские и платёжные организации, операторы фискальных данных — для приёма и учёта оплаты, расчётов и фискализации (при наличии таких операций);
• уполномоченные лица Оператора (работники) — имеющие доступ к персональным данным в пределах должностных обязанностей;

15.3. В отношении персональных данных работников передача может осуществляться для исполнения трудового, налогового, пенсионного и иного законодательства (внебюджетные фонды, налоговые органы, кредитные организации — для выплат), в объёме, необходимом для исполнения соответствующих обязанностей.
15.4. Передача персональных данных без согласия субъекта допускается в случаях, прямо предусмотренных законодательством Российской Федерации. При привлечении третьих лиц к обработке персональных данных Оператор заключает договоры или соглашения о неразглашении, обязывающие таких лиц соблюдать режим конфиденциальности и меры защиты, а также обрабатывать данные строго по указанию Оператора.
15.5. Трансграничная передача персональных данных Оператором не осуществляется (настоящая Политика составлена исходя из обработки и хранения персональных данных на территории Российской Федерации).

16. Ответственное лицо

 

16.1. Ответственным за организацию обработки и обеспечение безопасности персональных данных назначен индивидуальный предприниматель Замалеев Артур Дамирович.
16.2. Ответственное лицо:

• обеспечивает реализацию положений настоящей Политики;
• контролирует соблюдение требований законодательства и локальных актов в области защиты персональных данных;
• организует рассмотрение обращений субъектов персональных данных;
• принимает меры по устранению нарушений и предупреждению инцидентов безопасности.

17. Обязанности Оператора

 

Оператор обязан:
17.1. Обрабатывать персональные данные на законных основаниях и в объёме, необходимом для заявленных целей (принцип минимизации).
17.2. Обеспечивать точность, достаточность и актуальность персональных данных; при необходимости — принимать меры по их обновлению, удалению или уточнению.
17.3. Обеспечивать конфиденциальность персональных данных, предотвращать их распространение без согласия субъекта или наличия иных законных оснований.
17.4. Обеспечивать реализацию прав субъектов персональных данных, предусмотренных законодательством, включая право на получение информации, отзыв согласия, уничтожение данных и т.д.
17.5. Применять правовые, организационные и технические меры защиты персональных данных, обеспечивающие надёжную охрану данных от несанкционированного доступа и неправомерных действий.
17.6. Уничтожать персональные данные по достижении целей обработки либо при наступлении иных законных оснований.
17.7. Актуализировать Политику и иные локальные акты при изменении законодательства или процессов обработки персональных данных (не реже одного раза в год).
17.8. Обеспечивать обучение работников (при их наличии) в части требований законодательства о персональных данных.

18. Ответственность

18.1. Лица, виновные в нарушении законодательства о персональных данных, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
18.2. Оператор несёт ответственность перед субъектом персональных данных за убытки, причинённые в результате неправомерной обработки, в случаях, предусмотренных законом.
18.3. В случае причинения ущерба субъекту персональных данных Оператор обязан возместить убытки и (или) компенсировать моральный вред в порядке, установленном законодательством Российской Федерации.
18.4. Работники, допустившие утечку или разглашение персональных данных, привлекаются к ответственности в установленном порядке, вплоть до увольнения.

19. Заключительные положения

19.1. Настоящая Политика вступает в силу с даты её утверждения Оператором и действует до замены новой редакцией.
19.2. Политика размещается в свободном доступе на официальном сайте Оператора: https://shtukatur.spb.ru.
19.3. Актуализация настоящей Политики проводится не реже одного раза в год, а также при изменении законодательства Российской Федерации или фактических процессов обработки персональных данных.
19.4. Контроль за исполнением настоящей Политики осуществляет Оператор лично.
19.5. Все изменения и дополнения утверждаются Оператором приказом и подлежат размещению в актуальной редакции на сайте.