Разработчик	Руководитель отдела персонала.
Область регламентации	Обработка персональных данных
Назначение / Цель издания документа	Определение порядка сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения и защиты персональных данных, обрабатываемых Оператором
Введён	Впервые
Ответственный за контроль	Индивидуальный предприниматель, Служба безопасности
Ответственный за актуализацию	Служба безопасности, Отдел персонала ИП Никитина Сергея Леонидовича
Область действия документа	Политика действует в отношении персональных данных, которые обрабатывает Индивидуальный предприниматель Никитин Сергей Леонидович (далее – Оператор)

1.2 Нормативные ссылки

Вид, дата и номер документа	Заголовок документа
Федеральный закон	от 27.07.2006 № 152-ФЗ «О персональных данных»
В случае недатированных ссылок применяется последняя редакция документа (включая действующие к нему поправки).

1.3 Термины и определения, обозначения и сокращения

Термины и определения
Термин	Определение термина
Персональные данные (ПДн)	Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
Оператор персональных данных (оператор)	Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
Обработка персональных данных	Любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования Обработка персональных данных включает в себя, в том числе: • сбор; • запись; • систематизацию; • накопление; • хранение; • уточнение (обновление, изменение); • извлечение; • использование; • передачу (распространение, предоставление, доступ); • обезличивание; • блокирование; • удаление; • уничтожение.
Автоматизированная обработка персональных данных	Обработка персональных данных с помощью средств вычислительной техники
Распространение персональных данных	Действия, направленные на раскрытие персональных данных неопределенному кругу лиц
Предоставление персональных данных	Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц
Блокирование персональных данных	Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)
Уничтожение персональных данных	Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных
Обезличивание персональных данных	Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных
Информационная система персональных данных	Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
Трансграничная передача персональных данных	Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу
Контрагент	Физическое или юридическое лицо либо индивидуальный предприниматель, заключивший с Оператором гражданско-правовой договор

2. Цели обработки персональных данных. Правовое основание обработки персональных данных

2.1. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.2. Обработке подлежат только те персональные данные, которые отвечают целям их обработки.

2.3. Обработка Оператором персональных данных осуществляется в следующих целях:

− обеспечение соблюдения Конституции РФ, федеральных законов и иных нормативных правовых актов РФ;

− осуществление Оператором своей деятельности;

− информирование об оказываемых Оператором услугах и/или проводимых мероприятиях;

− связь с лицами, оставившими заявки в формах обратной связи на Сайте Оператора;

− осуществление гражданско-правовых отношений, заключение гражданско-правовых договоров с пользователями, оказание услуг, осуществление взаиморасчетов;

− оказание консультационной и технической поддержки субъекту персональных данных;

− ведение бухгалтерского учета;

− идентификация субъекта персональных данных;

− совершенствование и персонализация услуг, сбора статистики, проведения исследований.

2.4. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.

2.5. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

− Конституция РФ;

− Гражданский кодекс РФ;

− иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора;

− Устав Оператора;

− договоры, заключаемые между Оператором и субъектом персональных данных;

− согласие на обработку персональных данных.

3. Права и обязанности Оператора и Субъекта персональных данных

3.1. Субъект персональных данных вправе:

3.1.1. Получать информацию, касающуюся обработки его персональных данных, а также информацию, указанную в ч. 7 ст. 14 Закона о персональных данных.

3.1.2. Требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

3.1.3. Обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в п. 3.1.1 Политики, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в ч. 4 ст. 14 Закона о персональных данных, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения.

3.1.4. Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Закона о персональных данных.

3.1.5. Отозвать данное им согласие на обработку персональных данных.

3.1.6. Осуществлять защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

3.1.7. Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

3.1.8. Обратиться к Оператору либо направить запрос лично или с помощью представителя для реализации своих прав и законных интересов.

3.1.9. Осуществлять иные права, предусмотренные законодательством РФ.

3.2. Субъект персональных данных обязан:

3.2.1. Предоставлять Оператору достоверные данные о себе.

3.2.2. Сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

3.2.3. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.

3.3. Оператор вправе:

3.3.1. Получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные.

3.3.2. Продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных, в случае отзыва субъектом персональных данных согласия на обработку персональных данных.

3.3.3. Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми 1 Запрос должен содержать сведения, указанные в ч. 3 ст. 14 Закона о персональных данных. актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.

3.3.4. Осуществлять иные права, предусмотренные законодательством РФ.

3.4. Оператор обязан:

3.4.1. Предоставить субъекту персональных данных по его просьбе информацию, предусмотренную ч. 7 ст. 14 Закона о персональных данных.

3.4.2. Организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ.

3.4.3. Отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных.

3.4.4. Сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса.

3.4.5. Публиковать или иным образом обеспечивать неограниченный доступ к Политике в отношении обработки персональных данных.

3.4.6. Принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

3.4.7. Прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных.

3.4.8. Исполнять иные обязанности, предусмотренные законодательством РФ.

4. Категории Субъектов персональных данных. Объём и категории обрабатываемых персональных данных.

4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разд. 2 Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.2. Оператор может обрабатывать общие персональные данные следующих категорий субъектов персональных данных.

4.2.1. Лица, оставившие заявку на Сайте на получение обратной связи от Оператора:

− имя;

− номер телефона;

− адрес электронной почты.

4.2.2. Контрагенты (физические лица):

− фамилия, имя, отчество;

− дата (число, месяц, год) и место рождения;

− пол;

− вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

− адрес регистрации по месту жительства (месту пребывания);

− адрес фактического места жительства;

− номер телефона;

− адрес электронной почты;

− идентификационный номер налогоплательщика (ИНН);

− страховой номер индивидуального лицевого счета (СНИЛС);

− банковские реквизиты;

− место работы;

− сведения о заработной плате;

− сведения о кредитной истории;

− реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;

− сведения о семейном положении, составе семьи (степень родства, фамилии, имена, отчества (при наличии), даты (число, месяц, год) и места рождения);

− сведения об образовании и (или) квалификации или наличии специальных знаний (в том числе наименование образовательной и (или) иной организации, год окончания, уровень образования, квалификация, реквизиты документа об образовании, обучении);

− сведения об отношении к воинской обязанности, о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документа, наименование органа, выдавшего его);

− сведения о трудовой деятельности, а также информация о предыдущих местах работы, периодах и стаже работы;

− сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих в РФ);

− сведения, содержащиеся в разрешении на временное проживание в РФ (для иностранных граждан, временно проживающих в РФ), виде на жительство (для иностранных граждан, постоянно проживающих в РФ);

− сведения о доходах, обязательствах по исполнительным документам;

− сведения о наличии или отсутствии судимости;

− иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров, предоставления услуг.

4.2.3. Лица, являющиеся представителями/работниками контрагентов Оператора (юридических лиц и индивидуальных предпринимателей):

− фамилия, имя, отчество;

− номер телефона;

− адрес электронной почты;

− иные персональные данные, предоставляемые клиентами и контрагентами (юридическими лицами и индивидуальными предпринимателями), необходимые для заключения и исполнения договоров, предоставления услуг.

4.2.4. Лица, состоящие в гражданско-правовых, родственных, брачных или иных отношениях с контрагентами Оператора (физических и юридических лиц и индивидуальных предпринимателей):

− фамилия, имя, отчество;

− дата (число, месяц, год) и место рождения;

− пол;

− вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

− адрес регистрации по месту жительства (месту пребывания);

− адрес фактического места жительства;

− номер телефона;

− адрес электронной почты;

− иные персональные данные, предоставляемые лицами, заключившими с Оператором гражданско-правовые договоры, в целях исполнения договоров, предоставления услуг.

4.3. Оператор не осуществляет намеренно обработку персональных данных несовершеннолетних лиц. Исполнитель рекомендует пользоваться сайтом лицам, достигшим 18 лет. Ответственность за действия несовершеннолетних, включая приобретение ими услуг на Сайте, лежит на законных представителях несовершеннолетних. Все посетители, младше 18 лет, обязаны получить разрешение своих законных представителей прежде, чем предоставлять какую-либо персональную информацию о себе. Если Оператору станет известно о том, что он получил персональную информацию о несовершеннолетнем лице без согласия законных представителей, то такая информация будет удалена в возможно короткие сроки.

4.4. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством РФ.

4.5. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

5. Порядок и условие обработки персональных данных

5.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.

5.2. Обработка персональных данных осуществляется с письменного согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

5.3. Обработка персональных данных выполняется как с использованием, так и без использования средств автоматизации с передачей по внутренней сети Оператора и по информационно-коммуникационной сети «Интернет».

5.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.

5.5. Обработка персональных данных осуществляется путем:

− получения персональных данных от субъектов персональных данных путем заполнения формы обратной связи с Оператором на Сайте;

− получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;

− получения персональных данных непосредственно от субъектов персональных данных на электронную почту Оператора;

− получения персональных данных от контрагентов Оператора;

− внесения персональных данных в журналы, реестры и информационные системы Оператора; − использования иных способов обработки персональных данных.

5.6. В процессе обработки персональных данных Оператор осуществляет следующие действия с персональными данными:

− сбор;

− запись;

− систематизацию;

− накопление;

− хранение;

− уточнение (обновление, изменение);

− извлечение;

− использование;

− передачу (предоставление, доступ);

− обезличивание;

− блокирование;

− удаление;

− уничтожение.

5.7. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, предоставляется Оператору непосредственно указанным лицом.

5.8. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Фонд пенсионного и социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

5.9. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

− определяет угрозы безопасности персональных данных при их обработке;

− принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;

− назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;

− создает необходимые условия для работы с персональными данными;

− организует учет документов, содержащих персональные данные;

− организует работу с информационными системами, в которых обрабатываются персональные данные;

− хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;

− организует обучение работников Оператора, осуществляющих обработку персональных данных.

5.10. Хранение персональных данных.

5.10.1. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.

5.10.2. Персональные данные, содержащиеся в электронных документах, хранятся на средствах вычислительной техники (СВТ) и/или съемных носителях с обязательной установкой индивидуального кода-пароля. Персональные данные, содержащиеся на бумажных носителях, хранятся в шкафах, имеющих запирающие устройства.

5.10.3. Срок хранения персональных данных: − для лиц, указанных в п. 4.2.1. Политики, – 1 месяц; − для лиц, указанных в п. 4.2.2. – 4.2.4. Политики, - 3 года.

6. Актуализация, исправление, удаление и уничтожение персональных данных

6.1. Оператор осуществляет актуализацию и/или исправление персональных данных при подтверждении факта неточности персональных данных либо при направлении субъектом персональных данных или его законным представителем запроса на актуализацию и/или исправление персональных данных.

6.2. Персональные данные подлежат уничтожению:

− при достижении целей обработки персональных данных или при утрате необходимости в достижении цели обработки персональных данных, если иное не предусмотрено Законом о персональных данных;

− при изменении или признании утратившими юридическую силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;

− при выявлении факта неправомерной обработки персональных данных;

− при отзыве субъектом персональных данных своего согласия на их обработку;

− при истечении сроков хранения персональных данных.

6.3. Уничтожение персональных данных производится следующими способами:

− при физическом уничтожении бумажного носителя используется уничтожение через шредирование (носители измельчаются механическим способом до степени, исключающей возможность прочтения текста) или уничтожение через термическую обработку (сжигание);

− алгоритм уничтожения персональных данных в информационной системе основывается на блокировании учетных данных субъекта, удалении из информационной системы (удаление из базы данных);

− алгоритм уничтожения персональных данных с машинного носителя основывается на многократной перезаписи магнитного диска (многократном перемагничивании поверхности диска) и (или) форматировании машинного носителя информации штатными средствами операционной системы, а также уничтожение персональных данных может проводиться с помощью специализированного программного обеспечения (ПО) для удаления файлов или физическим уничтожением машинного носителя информации (сжиганием, измельчением, плавлением, расщеплением, распылением и другими способами);

− при физическом уничтожении машинного носителя уничтожение заключается в физическом воздействии - методом разборки и путем нанесения неустранимых механических повреждений;

− уничтожение части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление);

− при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

6.4. Результат уничтожения персональных данных оформляется Актом об уничтожении персональных данных.

7. Порядок направления запросов Субъектом персональных данных и предоставления Оператором ответа на запрос Субъекта персональных данных

7.1. Лица, указанные п. 4.2. Политики, вправе получить от Оператора информацию, касающуюся обработки их персональных данных, а также иную информацию, указанную в ч. 7 ст. 14 Закона о персональных данных.

7.2. Информация, указанная в п. 8.1. Политики, предоставляется Оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

7.3. Запрос должен содержать:

− номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

− сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;

− подпись субъекта персональных данных или его представителя.

7.4. Запрос может быть направлен как в письменной, так и в электронной форме. К письменным запросам субъектов персональных данных относятся любые письменные обращения субъектов персональных данных, направленные в адрес Оператора, в том числе обращения, отправленные через отделения почтовой связи. К электронным запросам субъектов персональных данных относятся обращения, направленные по электронной почте. В данном случае запрос подписывается электронной подписью субъекта персональных данных или его представителем в соответствии с законодательством РФ.

7.4.1. Запрос в форме электронного документа может быть направлен на электронную почту представителю Оператора.

7.5. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

7.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

8. Обеспечение безопасности персональных данных

8.1. ИП при обработке персональных данных принимает (или обеспечивает их принятие) все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

8.2. Организация и проведение мероприятий по обеспечению безопасности и защиты персональных данных осуществляются в соответствии с настоящей Политикой и иными внутренними документами ИП.

8.3. Обеспечение безопасности персональных данных достигается в том числе путем:

− назначения ответственных за организацию обработки персональных данных;

− осуществления внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным нормативным актам;

− ознакомления работников ИП, непосредственно осуществляющих обработку персональных данных, с нормами законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными нормативными актами в отношении обработки персональных данных и (или) обучения указанных работников;

− определения угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

− применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для исполнения требований к защите персональных данных;

− оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

− учета машинных носителей персональных данных;

− принятия соответствующих мер реагирования в случае обнаружения фактов несанкционированного доступа к персональным данным;

− восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

− установления правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

− оценки вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который можем быть причинен субъекту персональных данных в случае нарушения законодательства РФ, соотношение указанного вреда и принимаемых ИП мер, направленных на обеспечение выполнения законодательных обязанностей ИП;

− контроля принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

8.4. ИП обеспечивает защиту информации с применением средств криптографической защиты информации, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, разработанных и эксплуатируемых в соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, утвержденным Приказом ФСБ РФ от 09.02.2005 №66, зарегистрированным Минюстом России 3 марта 2005 года, регистрационный № 6382, 25 мая 2010 года, регистрационный № 17350, и технической документацией на средства криптографической защиты информации.

8.5. С учетом важности и необходимости обеспечения безопасности ПДн ИП постоянно совершенствует системы защиты ПДн, обрабатываемых в рамках выполнения основной деятельности, принимает дополнительные меры, направленные на защиту информации о клиентах, работниках, партнерах, контрагентах и других субъектах ПДн. В целях повышения эффективности указанных систем и мер ИП руководствуется рекомендациями надзорных и контрольных органов, а также лучшими российскими и международными практиками.

9. Трансграничная передача персональных данных

ИП не осуществляет трансграничную передачу ПДн.

10. Заключительные положения

10.1. Настоящая Политика вступает в силу с момента ее утверждения индивидуальным предпринимателем и действует до ее замены в новой редакции.

10.2. ИП несет ответственность за общую организацию обработки персональных данных в ИП.

УТВЕРЖДЕНО
Приказом от 20.08.2024 № 3 Индивидуального предпринимателя Никитина Сергея Леонидовича

Рег. № НД П.03/2024-00

ПОЛОЖЕНИЕ

Об обработке и защите персональных данных
Индивидуального предпринимателя Никитина Сергея Леонидовича

1.    Общие положения

1.1 Паспорт документа

Разработчик	Руководитель отдела персонала.
Область регламентации	Безопасность персональных данных
Назначение / Цель издания документа	Положение устанавливает единые требования к обработке и защите персональных данных, обрабатываемых у Индивидуального предпринимателя
Введён	Впервые
Ответственный за контроль	Индивидуальный предприниматель, Служба безопасности
Ответственный за актуализацию	Служба безопасности, Отдел персонала
Область действия документа	Требования настоящего Положения обязательны для всех структурных подразделений и работников, задействованных в организации процесса обработки и обеспечения безопасности персональных данных

Вид, дата и номер документа	Заголовок документа
Федеральный закон	от 27.07.2006 № 152-ФЗ «О персональных данных»
В случае недатированных ссылок применяется последняя редакция документа (включая действующие к нему поправки).

Термины и определения
Термин	Определение термина
Безопасность ПДн	Состояние защищенности персональных данных (далее – ПДн) от неправомерных действий, характеризуемое способностью пользователей, технических средств и информационных систем обеспечить конфиденциальность, целостность и доступность ПДн при их обработке, независимо от формы их представления
Информационная система ПДн (ИСПДн)	Совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий, и технических средств
Конфиденциальность ПДн	Обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не допускать их распространения при отсутствии согласия субъекта ПДн или иного законного основания
Обработка ПДн	Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
Персональные данные (ПДн)	Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
Угрозы безопасности ПДн	Совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иных несанкционированных действий при их обработке в информационной системе ПДн
Модель угроз безопасности ПДн	Документ, определяющий систематизированный перечень угроз безопасности ПДн при их обработке в ИСПДн, источников угроз информационной безопасности и методов их реализации, типов возможных потерь, а также масштабов потенциального ущерба
Обозначения и сокращения
Сокращение/ обозначение	Расшифровка
ПДн	Персональные данные
ПОМПДн	Помещения, где осуществляется хранение и штатная обработка персональных данных
СП	Структурное подразделение
СБ	Служба безопасности
ИП	Индивидуальный предприниматель
ЭВМ (рабочая станция)	Электронная вычислительная машина (компьютер, ноутбук, сервер)
ЭНИ	Электронные носители информации, используемые для хранения данных вне ЭВМ (флэш-накопители, внешние жесткие диски, CD-диски и иные устройства хранения данных)

2.1   Настоящее Положение об обработке и защите персональных данных разработано в соответствии с законодательством Российской Федерации в области обработки и защиты персональных данных.

2.2   Работники несут ответственность за любой ущерб, который может быть нанесён Индивидуальному предпринимателю и/или субъекту персональных данных в связи с нарушением правил обработки и обеспечения безопасности информации, отнесённой к персональным данным.

2.3   С целью организации и контроля обработки и обеспечения безопасности персональных данных у Индивидуального предпринимателя, приказом назначаются:

2.3.1 Работник, ответственный за организацию обработки персональных данных, который обязан:

-      осуществлять внутренний контроль за соблюдением Индивидуальным предпринимателем и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

-      доводить до сведения работников положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

-      организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов;

-      руководствоваться в своей деятельности Инструкцией ответственного за организацию обработки персональных данных (Приложение 1).

2.3.2 Комиссия по обеспечению защиты персональных данных, на которую возлагаются следующие обязанности:

-      осуществлять мониторинг и аудит соответствия обработки персональных данных у Индивидуального предпринимателя требованиям действующего законодательства Российской Федерации;

-      осуществлять контроль актуальности и достаточности мер по обеспечению безопасности персональных данных, принятых у Индивидуального предпринимателя;

-      обеспечивать разработку и принятие у Индивидуального предпринимателя всех необходимых локальных актов в сфере защиты и обработки персональных данных согласно требованиям действующего законодательства, а также поддержание принятых локальных актов в актуальном состоянии;

-      осуществлять методологическую поддержку по вышеуказанным вопросам.

2.4   Подразделения обязаны уведомлять работника, ответственного за организацию обработки ПДн, о процессах, которые могут затрагивать обработку ПДн, и предоставлять всю информацию о таких процессах. Ответственный за организацию обработки ПДн должен вносить информацию о процессах обработки ПДн в соответствующий реестр.

3.1 К обработке ПДн допускаются только те работники, в должностные обязанности которых входят процессы/ функции, предусматривающие обработку ПДн.

3.2 Перечень указанных работников рассматривается Комиссией и утверждается совместно Индивидуальным предпринимателем и Руководителем отдела персонала (Приложение 2).

3.3 Указанные работники имеют право получать только те ПДн, которые необходимы им для выполнения своих должностных обязанностей.

3.4 Основанием для допуска работника к обработке ПДн является приказ о назначении его на должность и должностная инструкция, предусматривающая обработку ПДн (при наличии). Работник обязан руководствоваться в своей деятельности Инструкцией работников, допущенных к обработке ПДн (Приложение 3).

4.1   Требования к обработке ПДн, устанавливаемые настоящим Положением, распространяются на все ПДн, которые обрабатываются у Индивидуального предпринимателя.

4.2   Цели обработки ПДн изложены в Политике в области обработки персональных данных.

4.3   Обработка ПДн, не отвечающая целям обработки, запрещается.

4.4   Уполномоченный работник получает у субъекта ПДн Согласие на обработку ПДн до начала их обработки.

4.5   При приеме на работу уполномоченный работник получает у субъекта ПДн Согласие на обработку его ПДн, в том числе на включение ПДн в корпоративные источники ПДн (корпоративные справочники, адресные книги), которое оформляется по форме (Приложение 4).

4.6   В случае оформления согласий на обработку ПДн работников в бумажном виде, такие согласия хранятся в личных делах работников. Согласия на обработку ПДн, полученные в электронном виде, хранятся в соответствующих базах данных/ИСПДн, факт предоставления согласия на обработку ПДн может быть подтвержден выгрузкой из соответствующей базы данных.

4.7   Если ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлен Индивидуальным предпринимателем об этом заранее и должен предоставить письменное согласие на получение ПДн у третьих лиц.

4.8   Индивидуальный предприниматель сообщает субъекту ПДн о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа работника от дачи письменного согласия на их получение.

4.9   Необходимость оформления согласия на получение ПДн у третьих лиц и направления уведомления об этом может возникнуть в отношении работника, например, при восстановлении трудовой книжки, свидетельства о получении квалификации, при подтверждении факта работы в том или ином месте, факта смены фамилии и др., в том числе если утрата сведений произошла в связи со стихийными бедствиями, иными обстоятельствами.

4.10        Индивидуальный предприниматель не вправе запрашивать у третьих лиц даже с согласия субъекта ПДн информацию, не имеющую отношения к целям обработки персональных данных.

4.11    При обработке персональных данных кандидатов (соискателей) оформляется согласие по форме (Приложение 5). Согласие на обработку персональных данных кандидатов (соискателей) может также оформляться в электронном виде посредством заполнения формы и/или совершения иных конклюдентных действий. Выбор формы согласия на обработку персональных данных кандидатов (соискателей) зависит от формы поступления заявки от кандидата (соискателя).

4.12    Субъект ПДн вправе отозвать согласие на обработку ПДн путем подачи/направления письменного заявления Индивидуальному предпринимателю по адресу: Российская Федерация, 620144, Свердловская область, г Екатеринбург, ул Шейнкмана, д. 121, кв. 38. Отзыв должен содержать данные, которые позволят достоверно идентифицировать субъекта ПДн (например, паспортные данные, регистрационный номер и т.п.), собственноручную подпись.

4.13    В случае отзыва субъектом ПДн согласия на обработку ПДн Индивидуальный предприниматель вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, предусмотренных законодательством Российской Федерации.

 

5.1   Безопасность ПДн обеспечивается реализацией комплекса мер, определенных федеральными законами, указами Президента Российской Федерации, постановлениями Правительства Российской Федерации, приказами ФСТЭК России, ФСБ России, Роскомнадзора, нормативными документами Компании, в том числе включающих:

5.1.1     Организацию работы с ПДн, обеспечивающей сохранность носителей ПДн и средств защиты информации.

5.1.2     Размещение ИСПДн и специального оборудования в помещениях, исключающих возможность неконтролируемого пребывания в них посторонних лиц.

5.1.3     Разграничение доступа пользователей и работников, обслуживающих средства вычислительной техники, к информационным ресурсам, программным средствам обработки (передачи) и защиты информации.

5.1.4     Учет документов, информационных массивов, содержащих ПДн.

5.1.5     Регистрацию действий пользователей информационных систем и работников, обслуживающих средства вычислительной техники, в порядке, принятом Индивидуальным предпринимателем.

5.1.6     Контроль действий и недопущение несанкционированного доступа к ПДн пользователей информационных систем, персонала, обслуживающего средства вычислительной техники.

5.1.7     Хранение и использование материальных носителей, исключающих их хищение, подмену и уничтожение.

5.1.8     Необходимое резервирование технических средств и дублирование массивов и носителей информации, содержащей ПДн.

5.2   Для каждой информационной системы организационные и (или) технические меры определяются с учетом уровней защищенности ПДн, актуальных угроз безопасности ПДн и информационных технологий, используемых в информационной системе.

5.3   ПДн при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).

5.4   При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе ПДн, должны быть приняты меры по обеспечению раздельной обработки ПДн, в частности:

5.4.1 При необходимости использования или распространения определённых ПДн отдельно от находящихся на том же материальном носителе других ПДн осуществляется копирование ПДн, подлежащих распространению или использованию, способом, исключающим одновременное копирование ПДн, не подлежащих распространению и использованию, и используется (распространяется) копия ПДн.

5.4.2 При необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию.

5.5   При использовании типовых форм документов, в которые предполагается или допускается включение ПДн, должны соблюдаться условия, предусмотренные действующим законодательством.

5.6   Уточнение ПДн производится путем их обновления или изменения на материальном носителе, а если это не допускается особенностями материального носителя - путем изготовления нового материального носителя с уточненными ПДн.

5.7   При работе с документами, содержащими ПДн, должны быть приняты меры, исключающие возможность ознакомления с этими документами посторонних лиц, в том числе работников, не уполномоченных на обработку ПДн.

5.8   Документы, содержащие ПДн, должны храниться в специальном шкафу или помещении, обеспечивающем защиту от несанкционированного доступа.

5.9   Дела, содержащие ПДн, должны находиться в рабочих кабинетах или в специально отведенных для их хранения помещениях, располагаться в запираемых шкафах, обеспечивающих их полную сохранность.

5.10        Во время эксплуатации средств вычислительной техники, предназначенных для обработки ПДн, должны быть предусмотрены меры по исключению случаев несанкционированного подключения к внешним информационным системам, внешним информационно-телекоммуникационным сетям, а также несанкционированного доступа к этим средствам при проведении ремонтных, профилактических и других видов работ.

5.11        Во время перерывов в работе, а также после окончания работы с документами, содержащими ПДн, необходимо:

5.11.1 Убирать документы с поверхности рабочих столов в запирающееся хранилище (сейф, шкаф).

5.11.2 Блокировать средство вычислительной техники с помощью защищенной паролем экранной заставки.

5.11.3 Принимать необходимые меры по недопущению использования средства вычислительной техники другими работниками и посторонними лицами.

5.12        СБ в лице уполномоченных работников по защите информации имеет право использовать программные и аппаратные средства контроля утечек конфиденциальной информации (включая объекты информатизации ИТ-инфраструктуры), ее защиты и блокирования от несанкционированного доступа.

6.      Требования к обращению с материальными носителями персональных данных, их учет и хранение

6.1   Требования к подготовке, оформлению, обработке, прохождению (согласованию), регистрации и хранению бумажных носителей ПДн определяются нормативными документами, устанавливающими порядок ведения делопроизводства, с учетом требований, предусмотренных настоящим Положением.

6.2   ПДн субъектов хранятся на бумажных носителях и в электронном виде (в ИСПДн ИП, на ЭВМ, а также на съёмных носителях) с соблюдением условий, обеспечивающих их защиту от несанкционированного доступа.

6.3   Черновики и рабочие варианты документов, содержащих ПДн, уничтожаются исполнителем без возможности восстановления.

6.4   При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный доступ к ним.

6.5   Копирование и печатание документов, содержащих ПДн, должно осуществляться в порядке, исключающем возможность нарушения конфиденциальности ПДн.

6.6   ЭНИ учитываются в Журнале учета по форме согласно Приложению 8.

6.7   В процессе хранения ЭНИ, содержащих ПДн, запрещается:

6.7.1 Хранить ЭНИ, содержащие ПДн, на рабочих местах ненадлежащим образом или передавать на хранение другим лицам.

6.7.2 Выносить ЭНИ, содержащие ПДн, из рабочих помещений без служебной необходимости.

7.1   Для каждой ИСПДн ИП разрабатывается Модель угроз безопасности ПДн при их обработке в ИСПДн и Акт определения уровня защищённости ПДн при обработке в ИСПДн. Вышеуказанные модели угроз и акты определения уровня защищённости ПДн разрабатываются СБ, рассматриваются Комиссией и утверждаются Директором по безопасности – начальником Службы экономической безопасности ИП НИКИТИН С.Л.

7.2   Все изменения, кардинально меняющие состав и структуру ИСПДн, должны контролироваться СБ.

8.1   Подразделения ИП, которые имеют доступ к ПДн, осуществляют систематический мониторинг ПДн, цели обработки которых достигнуты или сроки хранения которых истекли, с последующим уничтожением документов, иных материальных носителей, содержащих ПДн, а также удалением ПДн, содержащихся в информационных системах ИП, файлах, хранящихся на ЭВМ или на внешних перезаписываемых ЭНИ, в соответствии с законодательством Российской Федерации или при наступлении иных законных оснований.

8.2   ПДн подлежат уничтожению в следующих случаях и в указанные сроки:

-            по достижении целей обработки ПДн - в 30-дневный срок;

-            в случае отзыва субъектом ПДн согласия на обработку своих ПДн - в 30-дневный срок;

-            при выявлении неправомерной обработки ПДн и невозможности обеспечить правомерность обработки ПДн - в срок, не превышающий 10 рабочих дней с даты выявления.

8.3   В процессе уничтожения дел и документов необходимо исключить возможность ознакомления посторонних лиц с содержащимися в них ПДн.

8.4   Уничтожение не вошедших в дела документов (копий документов), содержащих ПДн, должно производиться у Индивидуального предпринимателя с помощью бумагорезательной машины. При этом должна быть исключена возможность прочтения текста уничтоженного документа.

8.5   В случае если обработка ПДн осуществляется Индивидуальным предпринимателем без использования средств автоматизации, документом, подтверждающим уничтожение ПДн субъектов ПДн является Акт об уничтожении ПДн (Приложение 11).

8.6   В случае если обработка ПДн осуществляется с использованием средств автоматизации, документами, подтверждающими уничтожение ПДн субъектов ПДн, являются Акт об уничтожении ПДн и выгрузка из журнала регистрации событий в ИСПДн.

8.7   Уничтожение ЭНИ производится путем механического нарушения целостности ЭНИ, не позволяющего произвести считывание или восстановление содержания ПДн (надлом, физическое деформирование). В журнале учета ЭНИ ПДн производится соответствующая запись об их уничтожении.

8.8   Уничтожение или обезличивание части ПДн, если это допускает материальный носитель, может производиться способом, исключающим дальнейшую обработку этих ПДн, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).

8.9   При утрате или несанкционированном уничтожении ЭНИ проводится служебное расследование. Соответствующие отметки производятся в журнале учета ЭНИ ПДн.

 

9.1   Индивидуальный предпринимательможет поручать обработку или передавать ПДн в целях исполнения договорных обязательств и при наличии иных законных оснований.

9.2   Передача ПДн субъектов ПДн без их согласия допускается, если это необходимо для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве, по мотивированным запросам правоохранительных органов и иных органов государственной власти в рамках установленных полномочий, а также в других случаях, предусмотренных применимым законодательством, ТК РФ или иными федеральными законами.

9.3   Обязательным условием договоров, в рамках которых присутствует передача ПДн (включая допуск к ПДн) является обязанность обеспечения сторонами соблюдения конфиденциальности информации, полученной в ходе исполнения договора. Ответственность за соблюдение условий договоров в части обеспечения конфиденциальности информации, определяется включением соответствующих положений в договор согласно Приложения 7. Уполномоченные работники, участвующие в согласовании договоров, обязаны вносить указанные условия в договор в случае обработки ПДн в рамках взаимоотношений с контрагентом, а также приводить условия, регламентирующие обработку ПДн, предложенные контрагентом, в соответствие с шаблоном. В случае возникновения разногласий уполномоченный работник обязан обратиться к ответственному за организацию обработки ПДн.

9.4   Индивидуальный предпринимательможет поручать обработку ПДн другим лицам (третьим сторонам), а также выступать в роли лица, осуществляющего обработку ПДн по поручению других операторов ПДн.

9.5   В случае если Индивидуальный предпринимательпоручает обработку ПДн третьему лицу, с таким лицом заключается Соглашение об условиях поручения обработки ПДн (Приложение 6). Ответственным за заключение такого Соглашения об условиях поручения обработки ПДн является инициатор заключения договора.

10.1    Субъекты ПДн имеют право получать информацию, касающуюся обработки их ПДн у Индивидуального предпринимателя, в соответствии с требованиями Федерального закона «О персональных данных» и Политикой ИП в области обработки и обеспечения безопасности персональных данных.

10.2    Учет обращений (запросов) субъектов персональных данных ведется в журнале учета (Приложение 9).

10.3    В случае получения обращения субъекта ПДн, лицо, непосредственно получившее запрос, обязано незамедлительно (в течение 1 рабочего дня) направить такую информацию ответственному за организацию обработки ПДн и СБ ИП. Лицо, непосредственно получившее запрос, не вправе самостоятельно направлять какую-либо информацию Субъекту ПДн относительно обработки его ПДн у Индивидуального предпринимателя.

10.4    Ответственный за организацию обработки ПДн и СБ ИП обязаны предоставить ответ Субъекту ПДн в установленные законодательством сроки.

11.1    В случае выявления утраты материальных носителей, разглашения или неправомерной обработки ПДн у Индивидуального предпринимателя должны быть осуществлены действия, направленные на обеспечение законных прав и свобод субъектов ПДн, а также приняты исчерпывающие меры по локализации условий, способствовавших нарушению режима защиты ПДн и минимизации ущерба.

11.2    О фактах утраты материальных носителей, разглашения ПДн либо неправомерной обработки ПДн письменно информируется ответственный за организацию обработки персональных данных у Индивидуального предпринимателя, и сотрудник СБ. Факт нарушения порядка обработки ПДн фиксируется в журнале учета нарушений порядка обработки ПДн (Приложение 10).

11.3    Служебное расследование проводится в соответствии с установленными у Индивидуального предпринимателя корпоративными требованиями и в рамках законодательства РФ.

12.1    Неавтоматизированная обработка ПДн у Индивидуального предпринимателя может осуществляться только в помещениях согласно утвержденному перечню. Указанный перечень утверждается Индивидуальным предпринимателем и/ или Руководителем СБ (при наличии в структуре компании).

12.2    Помещения должны иметь стандартные офисные входные двери. Не допускается применение открытого пространства («open space») для офиса.

12.3    Конструкция применяемых дверей должна позволять производить установку запорных элементов, СКУД для организации контроля технического доступа в помещение, а также эффективное использование этих элементов в процессе эксплуатации.

12.4    ПОМПДн в обязательном порядке оборудуются элементами централизованной системы охранной сигнализации офиса с минимум двухпороговым контролем и выводом информации на пункт центрального наблюдения охраны.

12.5    ПОМПДн в обязательном порядке оборудуются СКУД, которая в штатном режиме выполняет функцию как избирательного доступа (доступа конкретного лица), так и общего (доступа всех лиц) с обязательной фиксацией времени входа/выхода (в зависимости от функционала подразделения, располагающегося в каждом конкретном ПОМПДн).

12.6    В каждом конкретном ПОМПДн должны располагаться рабочие места только сотрудников подразделений ИП, занимающихся обработкой ПДн.

12.7    В рабочем порядке снимать ПОМПДн с охраны (получать ключи от ПОМПДн (на КПП – при наличии возможности)) и ставить на охрану (при сдаче ключей от ПОМПДн (на КПП – при наличии возможности)) могут только сотрудники располагающегося в ПОМПДн подразделения. В целях организации учета ключей, предусмотренных к выдаче целевым работникам, обрабатывающим ПДн, на КПП может вестись отдельный Журнал, фиксирующий оборот ключей от ПОМПДн.

12.8    Закрытие ПОМПДн на механический замок и постановка на охрану (происходит процедурно (при сдаче ключей на охране КПП – при наличии возможности)) осуществляется последним сотрудником подразделения (чье рабочее место находится в ПОМПДн), покидающим помещение в конце рабочего дня.

12.9    После сдачи ключи от ПОМПДн хранятся на охране КПП (при наличии возможности) до следующей выдачи.

12.10  Вскрытие помещения (отпирание механического замка и автоматическое процедурное снятие с технической охраны уполномоченным лицом) происходит после получения ключей на посту КПП сотрудником подразделения, чье рабочее место располагается в ПОМПДн.

12.11  В течение всего рабочего времени двери ПОМПДн должны находиться в полностью закрытом состоянии средствами СКУД. Вход в помещение и выход из него сотрудников в штатном режиме производится только по персональным пропускам посредством установленной СКУД или обеспечивается сотрудниками подразделения, чьи рабочие места находятся в конкретном ПОМПДн.

12.12 В отдельных ПОМПДн, куда необходим доступ любому сотруднику ИП, имеющему постоянный личный пропуск, СКУД осуществляет только фиксацию транзакций (вход/выход, время) без ограничения доступа. В таких помещениях контроль доступа посторонних должен осуществляться сотрудниками располагающегося в ПОМДн подразделения.

В случае, когда помещение покидает (даже временно) последний сотрудник подразделения, чье рабочее место находится в данном помещении, помещение должно запираться им на имеющийся механический замок.

12.13  Безопасность ИСПДн и ПДн, имеющихся в любом виде (на любых носителях или в виде документов) в ПОМПДн в процессе работы, осуществляется посредством самоохраны (самоконтроля) сотрудниками подразделения, занимающегося обработкой ПДн.

12.14  Техническая охрана ПОМПДн осуществляется посредством технических средств безопасности, штатными силами дежурной смены.

Приложение 1

УТВЕРЖДАЮ

Должность, подпись, ФИО

______._____.202__г.

ИНСТРУКЦИЯ

(ответственного за организацию обработки персональных данных)

1.    ОБЩИЕ ПОЛОЖЕНИЯ

1.1.        Настоящая Инструкция определяет функциональные обязанности ответственного за организацию обработки персональных данных в ИП НИКИТИН С.Л. (далее по тексту – ИП), перечень его прав и ответственность за исполнение возложенных обязанностей.

1.2.        Ответственный за организацию работы по обработке персональных данных (далее по тексту – «Ответственный») назначается и освобождается от выполнения функций ответственного за организацию обработки персональных данных Индивидуальным предпринимателем.

1.3.        Ответственный является должностным лицом, ответственным за организацию обработки персональных данных у Индивидуального предпринимателя. В рамках исполнения данных функций Ответственный получает указания непосредственно от Индивидуального предпринимателя ИП и подотчетен ему.

1.4.        Для целей исполнения обязанностей Ответственный наделяется организационно-распорядительными функциями в данной сфере и обладает полномочиями по принятию решений в области обеспечения защиты персональных данных, имеющих юридическое значение и влекущих определенные юридические последствия.

1.5.        В своей деятельности Ответственный руководствуется:

1.5.1.    Политикой ИП НИКИТИН С.Л. в области обработки персональных данных;

1.5.2.    Положением об обработке и защите персональных данных ИП НИКИТИН С.Л.

1.5.3.    Законодательством Российской Федерации в сфере обработки и защиты персональных данных;

1.5.4.    Приказами и распоряжениями Индивидуального предпринимателя;

1.5.5.    Иными локальными нормативными актами ИП, регламентирующими обработку и защиту персональных данных;

1.5.6.    Настоящей Инструкцией.

1.6.        Ответственный за организацию обработки персональных данных должен знать:

1.6.1.    Законодательные и нормативно-правовые акты, положения, инструкции, другие материалы и документы, регламентирующие деятельность ИП, а также обработку персональных данных;

1.6.2.    Локальные документы ИП по вопросам обработки и защиты персональных данных, документы, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

1.6.3.    Методы применения правовых, организационных и технических мер по обеспечению безопасности персональных данных;

1.6.4.    Меры осуществления внутреннего контроля соответствия обработки персональных данных;

1.6.5.    Порядок оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных;

1.6.6.    Порядок разработки нормативных материалов для защиты персональных данных;

1.6.7.    Передовой отечественный и зарубежный опыт в области обработки персональных данных.

1.6.8.    Методы обработки информации с использованием современных технических средств;

1.6.9.    Организационную структуру ИП.

2.    ОСНОВНЫЕ ОБЯЗАННОСТИ

2.1. Ответственный за организацию обработки персональных данных обязан:

2.1.1.    Организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

2.1.2.    Организовывать и осуществлять внутренний контроль за соблюдением лицами, допущенными к обработке персональных данных, требований законодательства Российской Федерации и ИП в области персональных данных, в том числе требований к защите персональных данных.

2.1.3.    Доводить до сведения лиц, допущенных к обработке персональных данных, положений законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных.

2.1.4.    Организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов.

2.1.5.    В случае нарушения требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных в рамках своей компетенции.

2.1.6.    Организовывать и осуществлять уведомление субъектов персональных данных, их представителей об устранении допущенных нарушений при обработке их персональных данных.

2.1.7.    Организовывать процедуру оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных, при необходимости проводить анализ соотношения указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных действующим законодательством в области обработки и защиты персональных данных.

2.1.8.    Осуществлять контроль за договорной работой по вопросам, связанным с обработкой персональных данных, в том числе в части поручений обработки персональных данных.

2.1.9.    Осуществлять контроль и актуализацию информационных ресурсов ИП в части персональных данных.

2.1.10. Осуществлять контроль и актуализацию уведомления об обработке персональных данных ИП.

2.1.11. Обеспечивать ведение и постоянную актуализацию реестра процессов обработки персональных данных у Индивидуального предпринимателя.

2.1.12. Осуществлять взаимодействие с органом, осуществляющим функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

2.1.13. Подавать запросы и обращения, подписывать их, вести переписку с органом, осуществляющим функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных в рамках своей компетенции.

2.1.14. Участвовать в рассмотрении проектов решений по вопросам своей компетенции.

2.1.15. Координировать деятельность структурных подразделений ИП в области обработки персональных данных.

2.1.16. Организовывать и осуществлять методическую работу в области персональных данных, в том числе осуществлять информационные рассылки об изменениях в регулировании персональных данных и лучших практиках обработки персональных данных.

2.1.17. Соблюдать режим коммерческой тайны.

3.    ПРАВА

3.1.        Ответственный за организацию обработки персональных данных имеет право:

3.1.1.    Доступа к информации, касающейся обработки персональных данных у Индивидуального предпринимателя и включающей: цели обработки персональных данных; категории обрабатываемых персональных данных; категории субъектов персональных данных, персональные данные которых обрабатываются; перечень действий с персональными данными, общее описание используемых способов обработки персональных данных; описание мер, направленных на обеспечение выполнения Индивидуальным предпринимателем обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных, а также мер по обеспечению безопасности персональных данных при их обработке, включая сведения о наличии шифровальных (криптографических) средств и наименования этих средств, иных средств защиты персональных данных; сведениям о дате начала обработки персональных данных, срок и условия прекращения обработки персональных данных, сведениям о наличии или отсутствии трансграничной передачи персональных данных; перечню лиц, которым предоставляется доступ или обработка персональных данных; сведениям о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.

3.1.2.    Принимать локальные нормативные акты в пределах своей компетенции, в том числе, но не ограничиваясь:

3.1.2.1.                Реестр процессов обработки персональных данных у Индивидуального предпринимателя;

3.1.2.2.                Перечень должностей работников, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

3.1.2.3.                Перечень помещений, в которых осуществляется хранение персональных данных (материальных носителей).

3.1.3.    Вносить на рассмотрение руководства предложения по совершенствованию работы, связанной с предусмотренными настоящей Инструкцией обязанностями.

3.1.4.    Принимать решения в пределах своей компетенции.

3.1.5.    Взаимодействовать со всеми службами (работниками) Компании по вопросам обработки и защиты персональных данных, требовать от специалистов подразделений представления материалов, необходимых для осуществления своих функций.

3.1.6.    Требовать от работников Компании, связанных с обработкой персональных данных, выполнение положений действующего законодательства, политики и локальных актов Компании об обработке и защиты персональных данных

4.    ОТВЕТСТВЕННОСТЬ

4.1.        Ответственный за организацию обработки персональных данных несет ответственность за:

4.1.1.    Невыполнение или ненадлежащее исполнение возложенных обязанностей;

4.1.2.    Невыполнение Приказов и Распоряжений руководства ИП;

4.1.3.    Несоблюдение трудовой и исполнительской дисциплины;

4.1.4.    Разглашение информации, носящей конфиденциальный характер;

4.1.5.    Правонарушения, совершенные в процессе осуществления своей деятельности;

4.1.6.    Ненадлежащее выполнение функций по организации и контролю обработки персональных данных в соответствии с законодательством Российской Федерации в области персональных данных.

Лист ознакомления

Я, [ФИО, должность]

	Подпись
Со всеми локальными нормативными актами ИП об обработке персональных данных в том числе, но не ограничиваясь: ·         Политикой ИП НИКИТИН С.Л в области обработки персональных данных; ·         Положением об обработке и защите персональных данных ИП НИКИТИН С.Л., ознакомлен
С Инструкцией ответственного за организацию обработки персональных данных ознакомлен
С положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных ознакомлен, обучение по указанным вопросам проходил
Проинформирован о возможной обработке персональных данных без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации.

 

Приложение 2

	УТВЕРЖДАЮ
	[Наименование должности] [ФИО] [дата]

ПЕРЕЧЕНЬ

должностей работников ИП НИКИТИН С.Л., замещение которых предусматривает осуществление обработки персональных данных

№	Наименование структурного подразделения	Наименование должности
1	Бухгалтерия	Все должности в соответствии со штатным расписанием
2	Служба безопасности	Все должности в соответствии со штатным расписанием
3	Отдел персонала	Все должности в соответствии со штатным расписанием
4
5
6
7

Приложение 3

УТВЕРЖДАЮ

Должность, подпись, ФИО

______._______.202__г.

ИНСТРУКЦИЯ

(работников, допущенных к обработке персональных данных)

1.    ОБЩИЕ ПОЛОЖЕНИЯ

1.1.        Настоящая Инструкция определяет функциональные обязанности работников, допущенных к обработке персональных данных в ИП НИКИТИН С.Л. (далее по тексту – ИП), перечень его прав и ответственность за исполнение своих должностных обязанностей.

1.2.        Работники, допущенные к обработке персональных данных (далее по тексту – Работник) определяются согласно установленному у Индивидуального предпринимателя перечню. Допуск Работников осуществляется исключительно в связи с необходимостью выполнения служебных (трудовых) обязанностей, как с использованием средств автоматизации, так и без использования таких средств.

1.3.        В своей деятельности Работник руководствуется:

1.3.1.    Политикой ИП НИКИТИН С.Л. в области обработки персональных данных;

1.3.2.    Положением об обработке и защите персональных данных ИП НИКИТИН С.Л.;

1.3.3.    Законодательством Российской Федерации в сфере обработки и защиты персональных данных;

1.3.4.    Приказами и распоряжениями Индивидуального предпринимателя;

1.3.5.    Иными локальными нормативными актами ИП, регламентирующими обработку и защиту персональных данных;

1.3.6.    Настоящей Инструкцией.

1.4.        Работник должен знать:

1.4.1.    Законодательные и нормативно-правовые акты, положения, инструкции, другие материалы и документы, регламентирующие деятельность ИП, а также обработку персональных данных;

1.4.2.    Локальные документы ИП по вопросам обработки и защиты персональных данных, документы, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

1.4.3.    Методы применения правовых, организационных и технических мер по обеспечению безопасности персональных данных;

1.4.4.    Меры осуществления внутреннего контроля соответствия обработки персональных данных;

1.4.5.    Методы обработки информации с использованием современных технических средств.

2.    ОБЯЗАННОСТИ

2.1. Работник обязан:

2.1.1.    Своевременно и качественно выполнять свои должностные обязанности с точки зрения обработки персональных данных и обеспечения их защищенности.

2.1.2.    Осуществлять обработку персональных данных только для определенных и установленных целей, не допускать обработку персональных данных несовместимую с целями сбора персональных данных;

2.1.3.    При поступлении обращения от субъекта персональных данных или его законного представителя по вопросам обработки персональных данных незамедлительно сообщить непосредственному руководителю и ответственному за организацию обработки персональных данных у Индивидуального предпринимателя. При необходимости по указанию ответственного за организацию обработки персональных данных запросить дополнительные сведения.

2.1.4.    При поступлении запроса от уполномоченного органа по защите прав субъектов персональных данных или государственного надзорного органа Работник обязан в этот же день направить его своему непосредственному руководителю и ответственному за организацию обработки персональных данных.

2.1.5.    В случаи выявления инцидента информационной безопасности, связанного с обработкой и обеспечением безопасности персональных данных (далее – Инцидент), Работник обязан:

2.1.5.1.   Прекратить работу с ресурсом, в котором выявлен Инцидент;

2.1.5.2.   Оповестить своего непосредственного руководителя о факте выявленного Инцидента, а в случае его отсутствия – ответственного за организацию обработки персональных данных, а также сотрудника СБ ИП НИКИТИН С.Л.

2.1.6.    Для обеспечения физической сохранности материальных носителей персональных данных (далее – Документы), предотвращения их хищения, а также недопущения разглашения содержащихся в них сведениях, обязан:

2.1.6.1.   Хранить Документы в сейфах, шкафах или тумбах, запираемых на ключ;

2.1.6.2.   Не допускать хранение Документов в местах, не запираемых на ключ;

2.1.6.3.   Организовывать свое рабочее место таким образом, чтобы исключить просмотр Документов лицами, которые не допущены к обработке персональных данных;

2.1.6.4.   Контролировать, чтобы на столах находились только те Документы, которые необходимы для выполнения текущей задачи, остальные должны быть убраны в специально отведенное место;

2.1.6.5.   Убирать в специально отведенные места все Документы после окончания рабочего дня.

2.1.7.    Обеспечить хранение съемных машинных носителей персональных данных в условиях, исключающих возможность хищения, изменения целостности или уничтожения, содержащейся в них информации.

2.1.8.    Работник для обеспечения безопасности персональных данных обязан оповестить ответственного за организацию обработки персональных данных, а также сотрудника СБ ИП НИКИТИН С.Л.:

2.1.8.1.   О ставших ему известных попытках разглашения персональных данных, а также о других причинах или условиях возможной утечки персональных данных;

2.1.8.2.   Об утере материального носителя с персональными данными или при подозрении компрометации личных ключей и паролей;

2.1.8.3.   Об обнаружении фактов совершения попыток совершения несанкционированного доступа к персональной рабочей станции, сейфу, шкафу и др. (нарушение целостности пломб, наклеек с защитной и идентификационной информацией, нарушении печатей и др.);

2.1.8.4.   О несанкционированных (произведенных с нарушением установленного порядка) изменениях в конфигурации программных или аппаратных средств автоматизированных систем;

2.1.8.5.   В случае возникновения иных Инцидентов.

2.1.9.     Принимать меры для исключения возможности визуального просмотра экрана видеомонитора лицами, не имеющими допуск к обрабатываемой информации.

2.1.10. Предоставить всю необходимую информацию и документы при расследовании Инцидентов при проведении контрольных мероприятий по защите персональных данных, а также проверок со стороны регулирующих органов.

2.1.11. Учитывать установленные ограничения при работе с персональными данными, в том числе учитывать запрет на:

2.1.11.1.   Передачу кому бы то ни было (в том числе родственникам) устно или письменно сведений, составляющих персональные данные, доступ к которым был получен в связи с выполнением должностных обязанностей;

2.1.11.2.   Использование сведений, содержащих персональные данные, которые подлежат защите, при подготовке открытых публикаций, докладов, научных работ и т.д.;

2.1.11.3.   Снятие копий или произведение выписок из документов, содержащих персональные данные, без разрешения непосредственного руководителя;

2.1.11.4.   Накопление ненужных для работ персональных данных субъектов персональных данных;

2.1.11.5.   Оставление на рабочих столах, в столах и незакрытых сейфах документов, содержащих персональные данные, а также оставление незапертыми и не опечатанными после окончания работы сейфов, помещений и хранилищ с документами, содержащими персональные данные;

2.1.11.6.   Использование установленного программного обеспечения в неслужебных целях;

2.1.11.7.   Записывание и хранение персональных данных на неучтенных машинных носителях информации (внешние жесткие диски, USB-флэш-накопители и т.п.);

2.1.11.8.   Оставление включенной без присмотра своей рабочей станции без активации средств защиты от несанкционированного доступа.

3.    ПРАВА

3.1.        Работник имеет право:

3.1.1.    Получать доступ к персональным данным в количестве и объеме, требуемом для выполнения возложенных на него должностных обязанностей;

3.1.2.    Обращаться за консультациями по вопросам обработки персональных данных к ответственному за организацию обработки персональных данных, а также сотруднику СБ ИП НИКИТИН С.Л.;

3.1.3.    Вносить на рассмотрение руководства предложения по совершенствованию работы, связанной с предусмотренными настоящей Инструкцией обязанностями.

3.1.4.    Принимать решения в пределах своей компетенции.

4.    ОТВЕТСТВЕННОСТЬ

4.1.        Работник несет ответственность за:

4.1.1.    Невыполнение или ненадлежащее исполнение возложенных обязанностей;

4.1.2.    Невыполнение Приказов и Распоряжений руководства ИП;

4.1.3.    Разглашение информации, носящей конфиденциальный характер;

4.1.4.    Правонарушения, совершенные в процессе осуществления своей деятельности, в том числе в части нарушений требований нормативных документов в области защиты персональных данных.

Лист ознакомления

Я, [ФИО, должность]

Наименование	Подпись
Со всеми локальными нормативными актами ИП об обработке персональных данных в том числе, но не ограничиваясь: ·         Политикой ИП НИКИТИН С.Лв области обработки персональных данных; ·         Положением об обработке и защите персональных данных ИП НИКИТИН С.Л., ознакомлен
С Инструкцией работников, допущенных к обработке персональных данных, ознакомлен
С положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных ознакомлен, обучение по указанным вопросам проходил
Проинформирован о возможной обработке персональных данных без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации.

Приложение 4

СОГЛАСИЕ

на обработку персональных данных (работник)

Настоящим я, _______________________________________________________________________________

 ^{ФИО полностью}

паспорт: серия ________ № ___________, выдан: _________________________________________________

___________________________________________________________________________________________

проживающий(ая) по адресу: __________________________________________________________________

___________________________________________________________________________________________

даю свое согласие Индивидуальному предпринимателю, адрес места нахождения: 620144, Свердловская область, г Екатеринбург, ул. Шейнкмана, д. 121, кв. 38 (далее – «Оператор» и/или «ИП») на обработку моих персональных данных, указанных в п.1 настоящего согласия (далее «Согласие»), а именно совершение действий, предусмотренных п. 3 ст. 3 Федерального закона 27.07.2006 г №152-ФЗ «О персональных данных» в соответствии с нижеперечисленными условиями.

1.            Согласие предоставлено в отношении моих следующих персональных данных (далее «Персональные данные»):

1.1.         фамилия, имя, отчество (в том числе прежние);

1.2.         дата и место рождения;

1.3.         изображение (фото и видео);

1.4.         номер служебного телефона и адрес служебной электронной почты;

1.5.         наименование занимаемой должности, профессии, структурного подразделения;

1.6.         табельный номер, номер пропуска;

1.7.         паспортные данные, включая данные заграничного паспорта (серия, номер, наименование выдавшего органа, дата выдачи, код подразделения), а также иные сведения, содержащиеся в паспорте;

1.8.         гражданство;

1.9.         номер домашнего телефона, номер личного мобильного телефона, адрес личной электронной почты;

1.10.      адрес регистрации и адрес фактического проживания;

1.11.      сведения об опыте работы, местах предыдущей работы и осуществления предпринимательской деятельности;

1.12.      суммы начислений и удержаний заработной платы (в т. ч. сторонними организациями, исполнительными органами);

1.13.      сведения о работе по совместительству;

1.14.      сведения о семейном положении, составе и членах семьи (включая реквизиты соответствующих документов: свидетельств о браке, о рождении);

1.15.      сведения об установлении опеки, попечительства над несовершеннолетними детьми, об усыновлении детей (если применимо);

1.16.      сведения об образовании (включая реквизиты соответствующих документов) и местах обучения (город, образовательное учреждение, периоды обучения);

1.17.      сведения по повышению квалификации и переподготовке, о результатах аттестации и оценочных процедур;

1.18.      сведения об ученой степени (при наличии);

1.19.      сведения о состоянии здоровья, включая сведения об инвалидности (если применимо), а также сведения, связанные с новой коронавирусной инфекцией (Covid-19) (если применимо);

1.20.      сведения о воинском учете;

1.21.      анкетные и биографические данные, рекомендации;

1.22.      сведения о наказаниях, поощрениях, наградах и званиях;

1.23.      реквизиты банковского счета, необходимые для перечисления заработной платы;

1.24.      сведения о социальных льготах, компенсациях, гарантиях, пенсионном обеспечении и страховании;

1.25.      сведения об исчисленном налоге на доходы физического лица (НДФЛ) и страховым взносам, уплачиваемым в пенсионный фонд и фонды социального страхования;

1.26.      сведения о владении акциями (долями в уставном капитале) юридических лиц, в том числе ИП и его аффилированных лиц;

1.27.      идентификационный номер налогоплательщика (ИНН);

1.28.      страховой номер индивидуального лицевого счета (СНИЛС).

______________________/_____________________________ (подпись, расшифровка)

2.            Персональные данные будут обрабатываться со следующей целью (далее «Цель»):

№	Цель обработки персональных данных	Подпись
2.1	Осуществление Оператором прав и обязанностей по отношению ко мне как работнику ИП в соответствии с действующим законодательством РФ и внутренними документами ИП в том числе осуществление контроля количества и качества выполняемой работы, соблюдения норм трудового законодательства, достоверности предоставленных сведений и документов, в том числе путем направления запросов третьим лицам с просьбой подтвердить факт их выдачи; определения возможности выполнения работником определенных трудовых функций с учетом его состояния здоровья.
2.2	Организация и управление служебными поездками и командировками работников (включая помощь в бронировании билетов/гостиниц, оформлении виз); оформление визитных карточек, предоставление услуг такси, организация курьерских услуг.
2.3	Обеспечение личной безопасности и защита жизни и здоровья работников (в том числе посредством организации пропускного контроля на объектах ИП; организация доступа работника к информации ограниченного доступа (информация, составляющая коммерческую тайну; персональные данные).
2.4	Выполнение Индивидуальным предпринимателем принятых на себя социальных обязательств (добровольное медицинское страхование, выплата материальной помощи, оформление путевок/предоставление компенсаций за путевки, корпоративная программа софинансирования накопительной части пенсии, предоставление подарков)
2.5	Осуществление информационного обеспечения ИП, ведения справочников, корпоративного портала, содержащих контактную и иную деловую информацию; проверка знаний, осуществление оценки уровня удовлетворенности работников ИП; организация корпоративных и спортивных мероприятий.
2.6	Организация и осуществление Индивидуальным предпринимателем обучения, повышения квалификации, профессиональной подготовки работников, а также получения необходимой информации

Даю согласие на включение в корпоративные источники персональных данных (корпоративные справочники, адресные книги, корпоративный портал), перечисленных в пп. 1.1-1.5 настоящего Согласия.

Для реализации вышеуказанной Цели Персональные данные могут передаваться третьим лицам в рамках исполнения требований корпоративных стандартов, политик и процедур; налоговые органы; государственные внебюджетные фонды; страховые компании; Росстат; банки; юридические и физические лица, оказывающие Оператору услуги по бронированию гостиниц, авиа- и железнодорожных билетов, оформлению виз; аудиторские компании.

Полный перечень третьих лиц, которым могут передаваться Персональные данные или которым может поручаться обработка Персональных данных, размещен на корпоративном ресурсе и может периодически обновляться.

3.            Перечень действий с Персональными данными, на совершение которых дается Согласие, общее описание используемых Оператором способов обработки персональных данных:

Обработка Персональных данных будет осуществляться путем смешанной (автоматизированной и неавтоматизированной) обработки персональных данных, в том числе в информационных системах персональных данных, а именно с Персональными данными будут осуществляться следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение и иные действия, разрешенные действующим законодательством. Обработка Персональных данных может быть поручена Оператором другому лицу на основании заключаемого с этим лицом договора и в соответствии с требованиями и процедурами, установленными действующим законодательством РФ.

______________________/_____________________________ (подпись, расшифровка)

Для реализации вышеуказанной цели даю согласие на хранение в моем личном деле копий документов, содержащих мои Персональные данные, в частности: паспорта, СНИЛС, документов об образовании, обучении и/или повышении квалификации, военного билета и иных. Я понимаю и признаю, что хранение копий указанных документов может осуществляться как в бумажном виде, так и с использованием цифровых способов хранения.

4.            Срок действия Согласия и порядок его отзыва:

Настоящее Согласие действует со дня его подписания в течение всего срока действия трудового договора.

Согласие на обработку персональных данных может быть отозвано полностью (в отношении всех случаев обработки персональных данных, перечисленных в п.2 настоящего Согласия) или частично (в отношении лишь некоторых случаев обработки персональных данных, перечисленных в п.2 настоящего Согласия) путем подачи/направления письменного заявления по адресу: 620144, Свердловская область, г Екатеринбург, ул Шейнкмана, д. 121, кв. 38.

Отзыв должен содержать номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе, собственноручную подпись.

В случае отзыва Согласия Индивидуальный предпринимательвправе продолжить обработку персональных данных без согласия при наличии оснований, предусмотренных действующим законодательством.

После увольнения из ИП (прекращения трудовых отношений) мои персональные данные будут храниться у Индивидуального предпринимателя в течение предусмотренного законодательством РФ срока хранения.

В случае предоставления мной Оператору информации о членах семьи и/или родственниках, и/или иных лицах, я подтверждаю, что до предоставления любой информации об указанных лицах Оператору, мною самостоятельно были получены все необходимые разрешения / согласия.

С «Политикой в области обработки персональных данных» и «Положением о защите персональных данных в ИП НИКИТИН С.Л. ознакомлен (а).

Я подтверждаю, что настоящее Согласие является конкретным, предметным, информированным, сознательным и однозначным.

	/
(подпись)		(Фамилия И.О.)

 «______» _______________________20­­___

Приложение 5

СОГЛАСИЕ

на обработку персональных данных (соискатель)

Настоящим я, _______________________________________________________________________________

 ^{ФИО полностью}

паспорт: серия ________ № ___________, выдан: _________________________________________________

___________________________________________________________________________________________

проживающий(ая) по адресу: __________________________________________________________________

___________________________________________________________________________________________

даю свое согласие Индивидуальному предпринимателю, адрес места нахождения: 620144, Свердловская область, г Екатеринбург, ул Шейнкмана, д. 121, кв. 38  (далее – «Оператор» и/или «ИП») на обработку моих персональных данных, указанных в п.1 настоящего согласия (далее «Согласие»), а именно совершение действий, предусмотренных п. 3 ст. 3 Федерального закона 27.07.2006 г №152-ФЗ «О персональных данных» в соответствии с нижеперечисленными условиями.

1.            Согласие предоставлено в отношении моих следующих персональных данных (далее «Персональные данные»):

1.1.         фамилия, имя, отчество (в том числе прежние);

1.2.         дата и место рождения;

1.3.         изображение (фото и видео);

1.4.         номер служебного телефона и адрес служебной электронной почты;

1.5.         наименование занимаемой должности, профессии, структурного подразделения;

1.6.         табельный номер, номер пропуска;

1.7.         паспортные данные, включая данные заграничного паспорта (серия, номер, наименование выдавшего органа, дата выдачи, код подразделения), а также иные сведения, содержащиеся в паспорте;

1.8.         гражданство;

1.9.         номер домашнего телефона, номер личного мобильного телефона, адрес личной электронной почты;

1.10.      адрес регистрации и адрес фактического проживания;

1.11.      сведения об опыте работы, местах предыдущей работы и осуществления предпринимательской деятельности;

1.12.      суммы начислений и удержаний заработной платы (в т. ч. сторонними организациями, исполнительными органами);

1.13.      сведения о работе по совместительству;

1.14.      сведения о семейном положении, составе и членах семьи (включая реквизиты соответствующих документов: свидетельств о браке, о рождении);

1.15.      сведения об установлении опеки, попечительства над несовершеннолетними детьми, об усыновлении детей (если применимо);

1.16.      сведения об образовании (включая реквизиты соответствующих документов) и местах обучения (город, образовательное учреждение, периоды обучения);

1.17.      сведения по повышению квалификации и переподготовке, о результатах аттестации и оценочных процедур;

1.18.      сведения об ученой степени (при наличии);

1.19.      сведения о состоянии здоровья, включая сведения об инвалидности (если применимо), а также сведения, связанные с новой коронавирусной инфекцией (Covid-19) (если применимо);

1.20.      сведения о воинском учете;

1.21.      анкетные и биографические данные, рекомендации;

1.22.      сведения о наказаниях, поощрениях, наградах и званиях;

1.23.      реквизиты банковского счета, необходимые для перечисления заработной платы;

1.24.      сведения о социальных льготах, компенсациях, гарантиях, пенсионном обеспечении и страховании;

1.25.      сведения об исчисленном налоге на доходы физического лица (НДФЛ) и страховым взносам, уплачиваемым в пенсионный фонд и фонды социального страхования;

1.26.      сведения о владении акциями (долями в уставном капитале) юридических лиц, в том числе ИП и его аффилированных лиц;

1.27.      идентификационный номер налогоплательщика (ИНН);

1.28.      страховой номер индивидуального лицевого счета (СНИЛС).

______________________/_____________________________ (подпись, расшифровка)

2.            Персональные данные будут обрабатываться с целью рассмотрения моей кандидатуры (в том числе оценки профессиональных, деловых и личностных качеств, включая проведение тестирования) на имеющиеся вакантные должности, и которые могут возникнуть в будущем, т.е. включение меня во внешний кадровый резерв Оператора.

В случае предоставления мной Оператору информации о членах семьи и/или родственниках, и/или иных лицах, я подтверждаю, что до предоставления любой информации об указанных лицах Оператору, мною самостоятельно были получены все необходимые разрешения / согласия.

3.            Перечень действий с Персональными данными, на совершение которых дается Согласие, общее описание используемых Оператором способов обработки персональных данных:

Обработка Персональных данных будет осуществляться путем смешанной (автоматизированной и неавтоматизированной) обработки персональных данных, в том числе в информационных системах персональных данных, а именно с Персональными данными будут осуществляться следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение и иные действия, разрешенные действующим законодательством. Обработка Персональных данных может быть поручена Оператором другому лицу на основании заключаемого с этим лицом договора и в соответствии с требованиями и процедурами, установленными действующим законодательством РФ.

Для реализации вышеуказанной цели даю согласие на хранение в моем личном деле копий документов, содержащих мои Персональные данные, в частности: паспорта, СНИЛС, документов об образовании, обучении и/или повышении квалификации, военного билета и иных. Я понимаю и признаю, что хранение копий указанных документов может осуществляться как в бумажном виде, так и с использованием цифровых способов хранения.

4.            Срок действия Согласия и порядок его отзыва:

Настоящее Согласие действует со дня его подписания до принятия решения о трудоустройстве или отказа в трудоустройства.

Согласие на обработку персональных данных может быть отозвано полностью (в отношении всех случаев обработки персональных данных, перечисленных в п.2 настоящего Согласия) или частично (в отношении лишь некоторых случаев обработки персональных данных, перечисленных в п.2 настоящего Согласия) путем подачи/направления письменного заявления по адресу: 620144, Свердловская область, г Екатеринбург, ул Шейнкмана, д. 121, кв. 38.

Отзыв должен содержать номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе, собственноручную подпись.

В случае отзыва Согласия Индивидуальный предпринимательвправе продолжить обработку персональных данных без согласия при наличии оснований, предусмотренных действующим законодательством.

В случае предоставления мной Оператору информации о членах семьи и/или родственниках, и/или иных лицах, я подтверждаю, что до предоставления любой информации об указанных лицах Оператору, мною самостоятельно были получены все необходимые разрешения / согласия.

С «Политикой в области обработки персональных данных» в ИП НИКИТИН С.Л. ознакомлен (а).

Я подтверждаю, что настоящее Согласие является конкретным, предметным, информированным, сознательным и однозначным.

	/
(подпись)		(Фамилия И.О.)

 «______» _______________________20­­___

Приложение 6

СОГЛАШЕНИЕ

об условиях поручения обработки персональных данных

г. Екатеринбург

__ ______ ___ года

Индивидуальный предприниматель ФИО, действующего на основании (основание), именуемое в дальнейшем «Оператор» и/или «ИП», с одной стороны, и

Общество с ограниченной ответственностью «Исполнитель», именуемое в дальнейшем «Исполнитель», в лице Генерального директора (Ф.И.О.), действующего на основании Устава, с другой стороны, вместе именуемые — «Стороны», подписали настоящее Соглашение об условиях поручения обработки персональных данных (далее – «Поручение») о нижеследующем:

1.            Предмет Поручения и его цели.

1.1.        По настоящему Поручению Оператор поручает, а Исполнитель принимает на себя обязательство совершать обработку персональных данных физических лиц – работников Оператора и их родственников; кандидатов на вакантные должности и иных физических лиц, состоящих в договорных и иных гражданско-правовых отношениях с Оператором и/или являющихся представителями контрагентов ИП (далее – «Субъектов персональных данных») в рамках Договора оказания услуг № ______ от __.__.20__ г.  (далее – «Договор»).

1.2.        Перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться Исполнителем, цели их обработки закрепляются в Приложении №1 к настоящему Поручению.

1.3.        Обработка персональных данных производится в той мере, в которой это разумно необходимо для исполнения Договора.

2.            Гарантии Сторон:

2.1.        Оператор гарантирует, что:

a)            персональные данные получены им законными способами;

b)           цели сбора персональных данных совместимы с Целью обработки;

c)            он получил согласие Субъектов персональных данных на их обработку, в том числе передачу в рамках Договора и настоящего Поручения.

2.2.        Исполнитель гарантирует, что:

a)            хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных, не дольше чем этого требует Цель обработки;

b)           обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении Цели обработки в рамках настоящего Поручения или в случае утраты необходимости в достижении этой цели, если иное не предусмотрено законодательством Российской Федерации;

c)            обеспечиваются условия обработки персональных данных, конфиденциальности и безопасности персональных данных, установленные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

3.            Обязанности Сторон

3.1.        Исполнитель обязуется:

a)            при выполнении Поручения принимать правовые, организационные и технические меры по обеспечению безопасности и конфиденциальности персональных данных согласно требованиям ст.19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», включая принятие мер, необходимых для выполнения требований, предусмотренных Постановлением Правительства РФ №1119 от 01.11.2012;

b)           соблюдать принципы обработки персональных данных, установленные российским законодательством;

c)            не использовать персональные данные для целей, не связанных с исполнением Договора и настоящего Поручения и не допускать обработку персональных данных, несовместимую с указанными в Поручении целями обработки персональных данных;

d)           по запросу Оператора в течение срока действия Поручения, в том числе до обработки персональных данных, в течение 3 (трех) рабочих дней предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения Поручения Оператора требований, установленных в соответствии со ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

e)            при сборе персональных данных, обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством;

f)             не допускать объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

g)           не допускать накопления избыточных персональных данных;

h)           в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, с момента выявления такого инцидента Исполнителем, уполномоченным органом по защите прав Субъектов персональных данных или иным заинтересованным лицом уведомить Оператора:

·                    в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав Субъектов персональных данных, и предполагаемом вреде, нанесенном правам Субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Исполнителем на взаимодействие с Оператором, по вопросам, связанным с выявленным инцидентом;

·                    в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

i)             по требованию Оператора оказать ему необходимую поддержку в отношении исполнения требований по минимизации последствий утечки персональных данных, предусмотренных законодательством;

j)             в случае, если организационные и/или технические меры Исполнителя на момент утечки не соответствовали требованиям, установленным российским законодательством или настоящим Поручением, за свой счет принять меры технические и/или организационные меры, которые по мнению Оператора, являются необходимыми в целях защиты персональных данных.

3.2.        Оператор обязуется:

a)            обеспечить соответствие целей обработки персональных данных, обрабатываемых в рамках Поручения, целям сбора персональных данных;

b)           обеспечить наличие правовых оснований для обработки персональных данных и поручения обработки персональных данных Исполнителю;

c)            в случае отзыва Субъектом персональных данных согласия на обработку его персональных данных, немедленно сообщить такую информацию Исполнителю путем направления письменного уведомления, а также самостоятельно принять меры для исключения персональных данных таких Субъектов из обработки по данному Поручению в целях исполнения Договора.

4.            Условия исполнения Поручения

4.1.        Стороны обязуются соблюдать режим конфиденциальности в отношении данных, ставших им известными при исполнении настоящего Поручения и Договора.

4.2.        Исполнитель обязуется раскрывать информацию о персональных данных, порученным Оператором, своим работником и иным лицам, вовлеченным в обработку персональных данных, только в тех пределах, которые необходимы для достижения целей, определенных в Поручении.

4.3.        При обработке персональных данных Исполнитель обеспечивает их безопасность комплексом технических и организационных мер в необходимых для достижения указанной Цели объемах. Исполнитель по мере необходимости, применяет следующие меры безопасности:

a)            определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;

b)           применяет технические, организационные и иные меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, достаточные для выполнения требований по защите персональных данных, исполнение которых обеспечивает необходимый уровень защищенности персональных данных;

c)            применяет средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия;

d)           проводит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;

e)            ведет учет машинных носителей персональных данных;

f)             проводит мероприятия по обнаружению фактов несанкционированного доступа к персональным данным с принятием необходимых мер;

g)           при возможности восстанавливает модифицированные или уничтоженные персональные данные вследствие несанкционированного доступа к ним третьих лиц;

h)           обеспечивает регистрацию и учет действий, совершаемых с персональными данными в информационной системе персональных данных;

i)             устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных;

j)             осуществляет контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

4.4.        При обработке персональных данных Исполнитель обязуется принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, относятся:

a)            назначение ответственного за организацию обработки персональных данных;

b)           издание документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие не предусмотренные законодательством Российской Федерации полномочия и обязанности;

c)            осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных российскому законодательству, требованиям к защите персональных данных, политике в отношении обработки персональных данных Исполнителя, локальным актам Исполнителя;

d)           оценка вреда, который может быть причинен субъектам персональных данных в случае нарушений требований российского законодательства, соотношение указанного вреда и принимаемых Исполнителем мер, направленных на обеспечение выполнения обязанностей, предусмотренных российским законодательством;

e)            ознакомление работников Исполнителя, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Исполнителя в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных Исполнителя, и (или) обучение указанных работников;

f)             предоставление неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

4.5.        По достижении Цели обработки, переданные персональные данные, подлежат уничтожению.

5.            Заключительные положения

5.1.        Ответственность перед Субъектом персональных данных за действия Исполнителя с персональными данными, связанные с исполнением настоящего Поручения, несет Оператор.

5.2.        Исполнитель несет ответственность за действия с персональными данными, связанные с исполнением настоящего Поручения, только перед Оператором.

5.3.        В случае привлечения Оператора к ответственности из-за нарушения Исполнителем условий, предусмотренных в настоящем Поручении в части вопросов, касающихся обработки персональных данных, Исполнитель по получении извещения от Оператора обязуется выступить на стороне Оператора, оказать всемерное содействие при урегулировании таких претензий.

5.4.        В случае привлечения Исполнителя к ответственности из-за нарушения Оператором условий, предусмотренных в настоящем Поручении в части вопросов, касающихся обработки персональных данных, Оператор по получении извещения от Исполнителя обязуется выступить на стороне Исполнителя, оказать всемерное содействие при урегулировании таких претензий.

5.5.        Ни одна из Сторон не несет ответственности за нарушения, допущенные другой Стороной в части исполнения настоящего Поручения.

5.6.        Для выполнения настоящего Поручения Исполнитель вправе при условии получения предварительного согласия Оператора привлекать на договорной основе сторонние организации. В случае привлечения третьего лица к исполнению Поручения Исполнителем, последний обязуется включить в договоры с таким третьим лицом условия и требования по обработке персональных данных Субъектов персональных данных, аналогичные условиям и требованиям, указанным в настоящем Поручении.

5.7.        В случае обращения к Исполнителю субъекта персональных данных с запросом, основанным на статье 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Исполнитель информирует об этом Оператора и действует в соответствии с его инструкциями, которые не должны выходить за рамки вышеуказанного закона.

5.8.        Никакие положения Поручения не освобождают Стороны от соблюдения законных требований, предъявляемых уполномоченными органами. Исполнитель обязан уведомлять Оператора о получении запросов со стороны уполномоченных органов, касающихся обработки персональных данных Оператора, и обязан обсуждать с Оператором ответы на вопросы, связанные с истребованием информации со стороны уполномоченного органа.

5.9.        Настоящее Поручение вступает в силу с момента его подписания обеими Сторонами, распространяет свое действие на правоотношения Сторон, возникшие до его подписания, и действует до расторжения Договора или письменного отзыва Оператором Поручения.

5.10.     Настоящее Поручение составлено в 2 (двух) экземплярах, имеющих равную юридическую силу для каждой из Сторон.

6.            Реквизиты и подписи Сторон

ИП:	Исполнитель:
_____________________ /ФИО/ М.П.	_____________________ /ФИО/ М.П.

Перечень

персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться Исполнителем, цели их обработки в связи с Поручением

№	Перечень персональных данных	Перечень действий (операций) с персональными данными	Цели обработки персональных данных
Персональные данные
1	фамилия, имя, отчество (в том числе прежние);	Запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование,  передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.	Ведение кадрового документооборота,в том числе в части учёта рабочего времени и оформления иных кадровых событий, а также ведение бухгалтерского и налогового учета в целях кадрового администрирования.
	дата рождения
	место рождения
	номер служебного/личного телефона и адрес служебной/личной электронной почты
	табельный номер
	гражданство
	адрес регистрации и адрес фактического проживания
	паспортные данные, включая данные заграничного паспорта и иного документа, удостоверяющего личность (в том числе прежние) (серия, номер, наименование выдавшего органа, дата выдачи, код подразделения), а также иные сведения, содержащиеся в паспорте и ином документе удостоверяющим личность
	сведения об образовании (включая реквизиты соответствующих документов) и местах обучения (город, образовательное учреждение, периоды обучения, форма обучения), данные о квалификации, навыках и иных деловых качествах; об ученой степени (при наличии);
	идентификационный номер налогоплательщика (ИНН)
	страховой номер индивидуального лицевого счета (СНИЛС), в том числе членов семьи
	наименование и адрес текущего места работы, занимаемой должности, профессии, структурного подразделения;
	реквизиты банковского счета;
	сведения о работе по совместительству (если применимо);
	сведения о семейном положении, составе и членах семьи (включая реквизиты соответствующих документов: свидетельств о браке, о рождении, в том числе членов семьи   степень родства, о перемене имени, установлении отцовства)
	сведения об установлении опеки, попечительства над несовершеннолетними детьми, об усыновлении детей (если применимо)
	сведения о трудовой деятельности (наименования работодателя, периоды работы, стаж по каждому периоду, профессия (должность), причина увольнения, даты начала общего стажа, страхового стажа, стажа для выслуги лет, стажа на предприятии)
	вид пенсии, тип пенсии, дата назначения пенсии (фактическая/планируемая, номер пенсионного удостоверения, количества иждивенцев, размер пенсии)
	сведения о воинском учете, серия и номер военного билета период прохождения военной службы  категория запаса,  воинское звание, полное кодовое обозначение ВУС, категория  годности к военной службе , места участия  в боевых действиях,  наименование военного комиссариата   по месту жительства;
	сведения о состоянии здоровья, включая сведения об инвалидности и утрате трудоспособности (реквизиты и сведения медицинских документов), а также сведения, связанные с новой коронавирусной инфекцией (Covid-19) (если применимо);
	номер и дата приказа (распоряжения) о назначении, номер и дата трудового договора, вид и характер работы, дата первого и последнего дня работы, цех, подразделение, наименование должности (профессии), разряд, размер часовой тарифной ставки (оклада), размеры удержаний, количество дней отпуска, номер смены, размер надбавок, доплат, выплат стимулирующего характера и вознаграждений, информация о замещении другого работника (причина и кого заместил), данные об увольнении (номер и дата издания приказа (распоряжения) о прекращении (расторжении) трудового договора, причина и основание увольнения, дата увольнения (последний день работы), размер выходного пособия; сведения о начисленной и выплаченной заработной плате и других выплатах;  сведения об исчисленном налоге на доходы физического лица (НДФЛ), а также страховым взносам, уплачиваемым в пенсионный фонд и фонды социального страхования; сведения о доходах (в том числе с предыдущих мест работы), имуществе и обязательствах имущественного характера, а также о доходах, об имуществе и обязательствах имущественного характера членов семьи;
	сведения о поощрениях (вид поощрения, номер и дата издания приказа (распоряжения) о поощрениях, сведения о наградах и званиях;
	сведения о нарушениях (номер и дата издания приказа (распоряжения) о применении дисциплинарного взыскания, вид нарушения);
	данные о командировках, служебных поездках (периоды планируемый и фактический, количество дней, цель);
	сведения о судимости (номер и наименование статьи УК РФ, вид и содержание наказания, вид и содержание противоправного деяния);
	сведения о результатах медосмотра (тип медосмотра, даты начала  и окончания, годность к работе по должности (профессии);
	сведения о владении акциями (долями в уставном капитале) юридических лиц, в том числе ИП и его аффилированных лиц.
2.	Фамилия, имя, отчество;	Запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование,  передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.	Ведение бухгалтерского и налогового учета ИП, в том числе в части формирования соответствующей отчетности; осуществление финансовых и казначейских операций, а также сопровождение коммерческой деятельности.
	дата рождения;
	место рождения;
	гражданство;
	адрес регистрации и адрес фактического проживания;
	паспортные данные или данные иного документа, удостоверяющего личность (в том числе, серия, номер, наименование выдавшего органа, дата выдачи, код подразделения);
	идентификационный номер налогоплательщика (ИНН);
	страховой номер индивидуального лицевого счета (СНИЛС);
	реквизиты банковского счета;
	сведения о начисленном и выплаченном вознаграждении; сведения об исчисленном налоге на доходы физического лица (НДФЛ), а также страховым взносам; сведения о доходах, имуществе и обязательствах имущественного характера.
3.	Персональные данные работников/иных лиц, необходимые для подготовки доверенностей на представление интересов ИП, персональные данные физических лиц-контрагентов, иных лиц-представителей контрагентов, указанные в договорных документах, доверенностях, персональные данные работников, контрагентов, указанные в материалах, необходимых для подготовки к представлению интересов ИП в судах/государственных органах, в том числе: - фамилия, имя, отчество; - дата рождения; - место рождения; - место жительства или место пребывания; - паспортные данные, включая данные заграничного паспорта и иного документа, удостоверяющего личность (серия, номер, наименование выдавшего органа, дата выдачи, код подразделения), а также иные сведения, содержащиеся в паспорте и ином документе, удостоверяющем личность; - страховой номер индивидуального лицевого счета (СНИЛС); - идентификационный номер налогоплательщика (ИНН); - наименование должности; - номер служебного/личного телефона и адрес служебной/личной электронной почты.	Запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование,  передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.	Юридическое сопровождение деятельности ИП.

Реквизиты сторон

ИП:	Исполнитель:
_____________________________ /ФИО / М.П.	___________________________________ /ФИО/ М.П.

 

Шаблон

условий в части обеспечения конфиденциальности персональных данных для включения в договоры с третьими лицами (контрагентами, подрядчиками) «Персональные данные

1.            Исполнитель несет следующие обязательства в связи с обработкой персональных данных (далее «ПДн»):

a)            Исполнитель просматривает и обрабатывает ПДн только в пределах, необходимых для выполнения настоящего Договора, а также любого дополнения и/или приложения к нему или в соответствии с письменным распоряжением Заказчика;

b)           Исполнитель обязуется обеспечить конфиденциальность ПДн и не раскрывать их третьим лицам без специального письменного согласия Заказчика;

c)            Исполнитель принимает все необходимые технические и организационные меры (включая, если применимо, получение необходимых лицензий и разрешений) по обеспечению секретности и конфиденциальности ПДн и исключающие их случайное, несанкционированное или противозаконное уничтожение, изменение или утрату;

d)           Исполнитель принимает все меры, необходимые для обеспечения соблюдения его персоналом и привлекаемыми третьими лицами обязательств, связанных с ПДн, и разрешает доступ своего персонала либо третьих лиц к ПДн только после подписания индивидуальных соглашений о соблюдении конфиденциальности в отношении ПДн;

e)            Исполнитель соблюдает Федеральный закон № 152-ФЗ «О персональных данных», положения Трудового Кодекса РФ и иные применимые нормативные акты Российской Федерации;

f)             Заказчик оставляет за собой право, предварительно направив письменное уведомление Исполнителю, в любое время провести проверку в офисах Исполнителя и его контрагентов в отношении соблюдения Исполнителем обязательств в связи с обработкой ПДн во время действия и после расторжения настоящего Договора. Исполнитель обязуется предоставить доступ ко всем соответствующим помещениям, объектам, оборудованию и документации для проведения такой проверки.

g)           После расторжения настоящего Договора по любой причине Исполнитель полностью прекращает обработку ПДн и возвращает Заказчику либо уничтожает по его требованию все их копии и экземпляры с подтверждением такого уничтожения. Данные обязательства в отношении ПДн остаются в силе после расторжения настоящего Договора по любой причине.

2.            Обработка ПДн включает операцию или набор операций, выполняемых с ПДн, в том числе в автоматическом режиме, таких как сбор, регистрация, доступ, поиск, использование, упорядочивание, хранение, адаптация и изменение, экспертиза, раскрытие путем передачи, распространение или предоставление иным способом, группировка или объединение, разделение на блоки, стирание или уничтожение.

ЖУРНАЛ

учета электронных носителей информации (ЭНИ) персональных данных

№ п/п	Вид ЭНИ	Номер ЭНИ	Дата постановки на учет ЭНИ	Ф.И.О., должность работника, получившего ЭНИ в пользование	Дата и подпись работника в получении ЭНИ	Дата возврата и подпись уполномоченного работника в получении ЭНИ от работника	Дата и подпись уполномоченного работника и исполнителя об уничтожении ЭНИ
1	2	3	4	5	6	7	8

ЖУРНАЛ

учета обращений (запросов) субъектов персональных данных

N п/п	Дата поступления обращения (запроса)	Ф.И.О. заявителя	Адрес места жительства заявителя	Количество листов обращения (запроса)	Дата, входящий номер, откуда поступило обращение (запрос), форма обращения (личное, письменное, электронное, почтовое)	Краткое содержание	Исполнитель ответа на обращение (запрос) (должность, фамилия)	Исходящий номер и дата ответа	Номер и дата почтового отправления	Примечание
1	2	3	4	5	6	7	8	9	10	11

ЖУРНАЛ

учета нарушений порядка обработки персональных данных

№ п/п	Дата	Источник получения информации о нарушении	Краткое содержание нарушения	Результаты проверки	Сведения о месте хранения материалов
1	2	3	4	5	6

Приложение 11

ФОРМА

Акт об уничтожении персональных данных

г. Екатеринбург

__.__.20__

Комиссия в составе председателя – [должность, ФИО], членов комиссии - [должность, ФИО], созданная на основании приказа от ____ №__, руководствуясь Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», составила Акт о том, что произведено уничтожение персональных данных, находящихся в ИП НИКИТИН С.Л. (620144, Свердловская область, г Екатеринбург, ул Шейнкмана, д. 121, кв. 38), в следующем объеме:

№	Перечень категорий уничтожаемых ПДн	ФИО/иная информация субъекта ПДн  (если применимо)	Наименование материального носителя, с указанием кол-ва листов (если применимо)	Наименование ИСПДн (если применимо)	Способ уничтожения ПДн	Причина уничтожения ПДн	Дата уничтожения ПДн

Должность	___________________/ФИО
Должность	___________________/ФИО