Политика конфиденциальности

УТВЕРЖДАЮ:
ИП Галиахметов Ринат Табрисович
«15» декабря 2024 г.

1. Общие положения
   1.1. Настоящее Положение принято ИП Галиахметовым Ринатом Табрисовичем, в лице
   Галиахметова Рината Табрисовича, действующего на основании ОГРНИП 322028000047857
   (далее — Организация) для обеспечения сохранности и конфиденциальности персональных
   данных работников и клиентов Организации в соответствии с требованиями действующего
   законодательства Российской Федерации, а также в целях регламентации порядка работы с
   персональными данными работников и клиентов Организации.
   1.2. Настоящее Положение разработано в соответствии с Федеральным законом от
   27.07.2006 N 152-ФЗ «О персональных данных», законодательными актами Российской
   Федерации.
   1.3. Настоящее Положение обязательно для соблюдения всеми работниками
   Организации.
   1.4. Настоящее Положение вступает в действие с момента утверждения его приказом
   руководителя Организации и действует до утверждения нового положения.
   1.5. Все изменения и дополнения к настоящему Положению должны быть утверждены
   приказом руководителя Организации.
   1.6. Основные понятия, используемые в настоящем Положении:
   1.6.1. Персональные данные — любая информация, относящаяся к прямо или косвенно
   определенному или определяемому физическому лицу (субъекту персональных данных).
   1.6.2. Оператор персональных данных (оператор) — государственный орган,
   муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с
   другими лицами организующие и (или) осуществляющие обработку персональных данных, а
   также определяющие цели обработки персональных данных, состав персональных данных,
   подлежащих обработке, действия (операции), совершаемые с персональными данными.
   1.6.3. Обработка персональных данных — любое действие (операция) или совокупность
   действий (операций) с персональными данными, совершаемые с использованием средств
   автоматизации или без их использования.
   1.6.4. Субъекты персональных данных: работники оператора, бывшие работники,
   кандидаты на замещение вакантных должностей, а также родственники работников; клиенты
   и контрагенты оператора (физические лица); представители/работники клиентов и
   контрагентов оператора (юридических лиц).
   1.6.5. Персональные данные, разрешенные субъектом персональных данных для
   распространения, — персональные данные, доступ неограниченного круга лиц к которым
   предоставлен субъектом персональных данных путем дачи согласия на обработку
   персональных данных, разрешенных субъектом персональных данных для распространения в
   порядке, предусмотренном Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных
   данных».

2. Критерии отнесения информации к персональным данным
2.1. К персональным данным относятся любая информация о работнике и клиенте, в том
числе Ф.И.О., дата рождения, адрес регистрации или проживания, семейное положение,
образование, уровень доходов.
2.2. Достоверность персональных данных определяется исходя из их изначального
размещения в таких документах, как:

• паспорт или иной источник, удостоверяющий личность;
• трудовая книжка и/или сведения о трудовой деятельности (за исключением тех случаев,
  когда Организация является для работника первым работодателем);
• свидетельство пенсионного страхования;
• военный билет и иные документы воинского учета;
• диплом об образовании;
• свидетельство о наличии ИНН.

Отдельным приказом руководителя Организации могут быть определены иные
документы, которые рассматриваются как носители достоверных персональных данных.
2.3. Отдел кадров, юридическая служба и/или отдел по работе с клиентами обеспечивают
проверку вышеперечисленных документов, содержащих персональные данные, на предмет
подлинности, а также обеспечивает при необходимости их временное хранение в
установленном порядке.

3. Операции с персональными данными
3.1. Настоящее Положение устанавливает, что Организация осуществляет следующие
операции с персональными данными работников:

• получение (сбор);
• обработка;
• передача;
• блокирование;
• хранение;
• ликвидация.

3.2. Под получением (сбором) персональных данных понимается последовательность
действий, связанных с установлением достоверности соответствующих данных, а также
размещением их в информационных системах.
3.3. Под обработкой персональных данных понимается прочтение, корректировка или
дополнение соответствующих данных, совершаемые уполномоченным лицом Организации.
Цели обработки персональных данных: Оформление трудовых отношений, ведение
кадрового и бухгалтерского учёта, оформление гражданско-правовых отношений для
организации.
3.4. Под передачей персональных данных понимается операция:

• по адресному размещению соответствующих данных на носителях и серверах, доступ к
  которым имеют работники Организации либо третьи лица;
• по размещению персональных данных в источниках внутрикорпоративного
  документооборота;

• по опубликованию в интересах Организации персональных данных о работнике в СМИ или на серверах Интернета в соответствии с нормами законодательства Российской Федерации.

3.5. Под блокированием персональных данных понимается временный запрет на
осуществление каких-либо операций с персональными данными, которые находятся в
информационных системах Организации, в случаях, предусмотренных положениями
локальных правовых актов Организации и законодательства Российской Федерации.
3.6. Под хранением персональных данных понимается совокупность операций,
направленных на обеспечение целостности соответствующих данных посредством их
размещения в информационных системах Организации.
3.7. Под ликвидацией персональных данных понимается операция по изъятию
соответствующих данных из информационных систем Организации, а также обеспечению
невозможности их восстановления.

4. Порядок осуществления операций с персональными данными
4.1. Получение персональных данных (документов, на которых они зафиксированы)
осуществляется непосредственно от работника Организации. В случае если предоставление
соответствующих данных возможно только от третьих лиц, то работник должен дать
письменное согласие на это.
4.2. Организация не имеет права требовать и получать персональные данные работника,
отражающие личные аспекты его жизни, религиозные, политические, философские взгляды.
4.3. Обработка персональных данных работника может осуществляться только с его
письменного согласия, за исключением тех случаев, что предусмотрены пп. 2 — 11 п. 1 ст. 6
Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
4.4. Передача персональных данных работника осуществляется с учетом специфики
конкретной информационной системы:

• в цифровой информационной системе (предназначенной для автоматизированной
  обработки персональных данных) передача данных осуществляется по защищенным каналам
  связи, а также при задействовании средств криптозащиты;
• в информационной системе на основе бумажных носителей передача данных
  осуществляется посредством перемещения или копирования содержимого данных носителей
  при участии работников Организации, имеющих доступ к соответствующей информационной
  системе, который устанавливается отдельным локальным правовым актом.
  

4.5. Блокирование персональных данных в Организации осуществляется с учетом
специфики конкретной информационной системы:

• в цифровой информационной системе блокирование данных осуществляется
  посредством закрытия доступа к файлам при задействовании средств криптозащиты;
• в информационной системе на основе бумажных носителей блокирование данных
  осуществляется посредством закрытия доступа к соответствующей информационной системе
  для определенных групп работников.

4.6. Хранение персональных данных осуществляется с учетом специфики конкретной
информационной системы:

• в цифровой информационной системе хранение данных осуществляется на ПК отдела
  кадров Организации;
• в информационной системе на основе бумажных носителей хранение данных
  осуществляется в архиве отдела кадров.

4.7. Ликвидация персональных данных осуществляется с учетом специфики конкретной
информационной системы:

• в цифровой информационной системе ликвидация данных осуществляется посредством
  их удаления с ПК отдела кадров Организации, а также серверов;
• в информационной системе на основе бумажных носителей ликвидация данных
  осуществляется посредством уничтожения соответствующих носителей с помощью
  специальных технических средств.

5. Организация доступа к персональным данным
5.1. Доступ к персональным данным работников Организации, не требующий
подтверждения и не подлежащий ограничению, имеют:

• руководитель Организации, а также работники его секретариата;
• работники отдела кадров Организации;
• работники бухгалтерии Организации;
• работники, предоставившие Организации свои персональные данные;
• руководители отделов экономической безопасности, внутреннего контроля,
  непосредственные руководители работников, предоставивших Организации свои
  персональные данные.

5.2. Доступ к персональным данным работников Организации для иных лиц может быть
разрешен только отдельным распоряжением руководителя.

6. Обязанности работников, имеющих доступ
к персональным данным
6.1. Работники Организации и другие лица, имеющие доступ к персональным данным,
обязаны:

• осуществлять операции с персональными данными при соблюдении норм,
  установленных настоящим Положением, а также действующим законодательством
  Российской Федерации;
• информировать своего непосредственного руководителя и руководителя Организации о
  нештатных ситуациях, связанных с операциями с персональными данными;
• обеспечивать конфиденциальность операций с персональными данными;
• обеспечивать сохранность и неизменность персональных данных в случае, если
  выполняемая задача не предполагает их корректировки или дополнения.

1. Права работников в части осуществления операций
   с персональными данными
   7.1. Работник и клиент Организации, передавший Организации свои персональные
   данные, имеет право:

• на получение доступа к соответствующим данным в любой момент в целях
  осуществления необходимых операций с ними;
• на бесплатное получение копий файлов или бумажных носителей, содержащих
  персональные данные;
• требовать от Организации дополнительной обработки, блокирования или ликвидации
  персональных данных, если операции с ними противоречат интересам работника и клиента,
  осуществляются незаконно, а также в случае, если персональные данные недостоверны;
• получать от Организации информацию о лицах, имеющих доступ к персональным
  данным, а также о статистике обращений к персональным данным с их стороны;
• получать от Организации информацию о дополнительной обработке, блокировании или
  ликвидации персональных данных, осуществленных по инициативе Организации.

7.2. Работники и клиенты Организации, имеющие доступ к персональным данным
работников Организации, имеют право:

• на приобретение полномочий, необходимых в целях осуществления операций с
  персональными данными;
• получение консультационной поддержки со стороны руководства и других
  компетентных работников в части осуществления операций с персональными данными;
• отдачу распоряжений и направление предписаний работникам, передающим
  персональными данные Организации, связанных с необходимостью предоставления
  дополнительной или уточняющей информации в целях обеспечения корректного
  осуществления операций с персональными данными.

8. Ответственность работников за нарушения
правил осуществления операций с персональными данными
8.1. Работники и клиенты Организации при осуществлении операций с персональными
данными несут административную, гражданско-правовую, уголовную ответственность за
нарушения правил осуществления операций с персональными данными, установленных
настоящим Положением, а также нормами федерального, регионального и муниципального
законодательства Российской Федерации.
8.2. Правовые последствия нарушений правил осуществления операций с персональными
данными определяются исходя из локальных норм Организации, а также положений
законодательства Российской Федерации.