Политика конфиденциальности

Индивидуальный предприниматель Смирнов Роман Николаевич
Псковская область, Дедовичский район, деревня Большая Храпь
ИНН 780620185111 ОГРНИП 319784700076790

Утверждаю
Индивидуальным предпринимателем
Смирновым Романом Николаевичем
01.07.2025 г.

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие положения

1.1. Настоящая Политика принята в Индивидуальным предпринимателем Смирновым Романом Николаевичем (далее - Индивидуальный предприниматель соответственно) для обеспечения сохранности и конфиденциальности персональных данных Индивидуальным предпринимателем в соответствии с требованиями действующего законодательства Российской Федерации, а также в целях регламентации порядка работы с персональными данными Индивидуальным предпринимателем.
1.2. Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных), Рекомендациями Роскомнадзора от 31.07.2017 по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", и иными нормативными правовыми актами Российской Федерации.
1.3. Настоящая Политика действует в отношении всех персональных данных, которые обрабатывает Индивидуальный предприниматель, и обязательна для соблюдения всеми работниками Индивидуального предпринимателя.
1.4. Настоящая Политика вступает в действие с момента утверждения Индивидуальным предпринимателем и действует до утверждения новой Политики. Настоящая Политика размещается на сайте Индивидуального предпринимателя в информационно-телекоммуникационной сети Интернет: https://teok.tech/.
1.5. Все изменения и дополнения к настоящей Политике должны быть утверждены Индивидуальным предпринимателем.
1.6. Основные понятия, используемые в настоящей Политике:
1.6.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1.6.2. Оператор персональных данных - Индивидуальный предприниматель Смирнов Роман Николаевич.
1.6.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемые с использованием средств автоматизации или без их использования, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.6.4. Субъекты персональных данных - работники Индивидуального предпринимателя, бывшие работники, кандидаты на замещение вакантных должностей (соискатели), а также родственники работников, бывших работников, соискателей; клиенты и контрагенты Индивидуального предпринимателя (физические лица); представители/работники клиентов и контрагентов Индивидуального предпринимателя (юридических лиц) и иные лица, персональные данные которых Индивидуальный предприниматель обязан обрабатывать в соответствии с законодательством Российской Федерации.
1.6.5. Персональные данные, разрешенные Субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен Субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных Субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных.
1.6.6. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
1.6.7. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.6.8. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.6.9. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
1.6.10. Уничтожение персональных данных - действия, в результате которых становится невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.6.11. Обезличивание персональных данных - действия, в результате которых становится невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту персональных данных.
1.6.12. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.7. Основные права и обязанности Индивидуального предпринимателя как Оператора персональных данных:
1.7.1. Индивидуальный предприниматель имеет право:
1.7.1.1. Получать от Субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные Субъекта персональных данных, для целей обработки, указанных в п. 2.3 Политики.
1.7.1.2. Требовать от Субъекта персональных данных своевременного уточнения предоставленных персональных данных.
1.7.1.3. Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.
1.7.1.4. Поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Индивидуального предпринимателя, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных.
1.7.1.5. В случае отзыва Субъектом персональных данных согласия на обработку персональных данных Индивидуальный предприниматель вправе продолжить обработку персональных данных без согласия Субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
1.7.2. Индивидуальный предприниматель обязан:
1.7.2.1. Организовывать обработку и защиту персональных данных в соответствии с требованиями Закона о персональных данных.
1.7.2.2. Отвечать на обращения и запросы Субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных.
1.7.2.3. Сообщать в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор, уполномоченный орган по защите прав субъектов персональных данных) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Индивидуальному предпринимателю необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
1.7.2.4. В порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.
1.8. Основные права и обязанности Субъекта персональных данных:
1.8.1. Субъект персональных данных имеет право:
1.8.1.1. На принятие предусмотренных законодательством Российской Федерации мер по защите своих прав.
1.8.1.2. Полную информацию, касающуюся обработки его персональных данных Индивидуальным предпринимателем, за исключением случаев, предусмотренных законодательством Российской Федерации.
1.8.1.3. Уточнение его персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
1.8.1.4. Требование от Индивидуального предпринимателя прекратить обработку его персональных данных.
1.8.1.5. Дачу предварительного согласия на обработку его персональных данных в целях продвижения на рынке товаров, работ и услуг.
1.8.1.6. Обжалование в Роскомнадзоре или в судебном порядке неправомерных действий или бездействия Индивидуального предпринимателя при обработке его персональных данных.
1.8.2. Субъект персональных данных обязан:
1.8.2.1. Обеспечивать достоверность предоставляемых Индивидуальному предпринимателю персональных данных, необходимых для целей обработки, предусмотренных в п. 2.3 Политики.
1.8.2.2. Предоставлять Индивидуальному предпринимателю сведения для уточнения (обновления, изменения) предоставленных персональных данных.
1.9. Индивидуальный предприниматель и Субъект персональных данных имеют иные права и несут иные обязанности, предусмотренные законодательством Российской Федерации.

2. Цели обработки персональных данных

2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.3. Обработка Индивидуальным предпринимателем осуществляется в следующих целях:
2.3.1. Продвижение товаров, работ, услуг на рынке.
2.3.2. Осуществление деятельности, в том числе заключение и исполнение договоров с контрагентами.
2.3.3. Исполнение трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе: содействие работникам в трудоустройстве, получении образования и продвижении по службе, привлечение и отбор кандидатов на работу у Индивидуального предпринимателя, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, ведение кадрового и бухучета, заполнение и передача в уполномоченные органы требуемых форм отчетности, организация постановки на индивидуальный (персонифицированный) учет работников в системах обязательного пенсионного страхования и обязательного социального страхования.
2.3.4. Осуществление пропускного режима.
2.4. Обработка персональных данных Субъектов персональных данных осуществляется исключительно с соблюдением принципа соответствия законам и иным нормативным правовым актам.

3. Правовые основания обработки персональных данных

3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение и в соответствии с которыми Индивидуальный предприниматель осуществляет такую обработку. К ним относятся:
 Конституция Российской Федерации;
 Гражданский кодекс Российской Федерации;
 Трудовой кодекс Российской Федерации; 
 Налоговый кодекс Российской Федерации;
 Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете";
 Федеральный закон от 15.12.2001 N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации";
 иные федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Индивидуального предпринимателя;
 договоры, заключаемые Индивидуальным предпринимателем с Субъектами персональных данных;
 согласие Субъекта персональных данных на обработку его персональных данных (за исключением случаев, когда оно не требуется в соответствии с законодательством).

4. Объем и категории обрабатываемых персональных данных,
категории субъектов персональных данных

4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Достоверными являются персональные данные, полученные из следующих источников: паспорт или иной документ, удостоверяющий личность; трудовая книжка и/или сведения о трудовой деятельности за исключением тех случаев, когда Индивидуальный предприниматель является для работника первым работодателем; документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета; военный билет и иные документы воинского учета; диплом об образовании; свидетельство о постановке на учет физического лица в налоговом органе;
Индивидуальным предпринимателем могут быть определены иные документы, которые рассматриваются как носители достоверных персональных данных.
4.3. Сотрудники Индивидуального предпринимателя обеспечивают проверку вышеперечисленных документов, содержащих персональные данные, на предмет их подлинности, а также обеспечивают при необходимости их временное хранение в установленном порядке.
4.4. К персональным данным работников и бывших работников, обрабатываемым Индивидуальным предпринимателем в целях исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ними отношений, в том числе ведения кадрового и бухгалтерского учета, относятся: фамилия, имя, отчество; пол; гражданство; дата и место рождения; изображение (фотография); паспортные данные; адрес регистрации по месту жительства; адрес фактического проживания; телефон, адрес электронной почты, иные контактные данные; индивидуальный номер налогоплательщика; страховой номер индивидуального лицевого счета (СНИЛС); сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации; семейное положение, наличие детей, родственные связи; сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий; данные о регистрации брака; сведения о воинском учете; сведения об инвалидности; сведения об удержании алиментов; сведения о доходе с предыдущего места работы; иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
4.5. К персональным данным соискателя, обрабатываемым Индивидуальным предпринимателем в целях исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ними отношений, относятся: фамилия, имя, отчество; пол; гражданство; дата и место рождения; телефон, адрес электронной почты, иные контактные данные; сведения об образовании, опыте работы, квалификации; иные персональные данные, сообщаемые соискателями в резюме и сопроводительных письмах.
4.6. К персональным данным родственников работников, бывших работников и соискателей (а также членов их семей), обрабатываемым Индивидуальным предпринимателем в целях исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ними отношений, относятся: фамилия, имя, отчество; степень родства; год рождения; иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
4.7. К персональным данным клиентов и контрагентов Индивидуального предпринимателя (физических лиц), обрабатываемым Индивидуальным предпринимателем в целях осуществления хозяйственной деятельности, в том числе заключения, исполнения и прекращения договоров с контрагентами, относятся: фамилия, имя, отчество; дата и место рождения; паспортные данные; адрес регистрации по месту жительства; телефон, адрес электронной почты, иные контактные данные; замещаемая должность; индивидуальный номер налогоплательщика; номер банковского счета; иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.
4.8. К персональным данным представителей клиентов и контрагентов Индивидуального предпринимателя (физических и юридических лиц), обрабатываемым Индивидуальным предпринимателем в целях осуществления хозяйственной деятельности, в том числе заключения, исполнения и прекращения договоров с контрагентами, относятся:
 фамилия, имя, отчество;
 паспортные данные;  
 телефон, адрес электронной почты, иные контактные данные;
 замещаемая должность;
 иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.

4.9. Индивидуальный предприниматель не обрабатывает специальные категории персональных данных Субъекта персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением предусмотренных законом случаев.
Обработка персональных данных о состоянии здоровья, в частности, допускается в случаях, предусмотренных законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации, когда обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов Субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия Субъекта персональных данных невозможно.

5. Порядок и условия обработки персональных данных

5.1. Индивидуальный предприниматель при обработке персональных данных обязуется соблюдать конфиденциальность персональных данных.
5.2. Индивидуальный предприниматель осуществляет следующие операции с персональными данными: получение (сбор); запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (распространение, предоставление доступа); обезличивание; блокирование; удаление; уничтожение.
Индивидуальный предприниматель не осуществляет трансграничную передачу персональных данных.
5.3. Получение персональных данных (документов, на которых они зафиксированы) осуществляется непосредственно от Субъекта персональных данных. В случае если предоставление соответствующих данных возможно только от третьих лиц, то Субъект персональных данных должен дать письменное согласие на это.
5.4. Обработка персональных данных может осуществляться только с письменного согласия Субъекта персональных данных, за исключением случаев, предусмотренных пп. 2 - 11 п. 1 ст. 6 Закона о персональных данных.
Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.
Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает Субъект персональных данных.
5.5. Персональные данные обрабатываются Индивидуальным предпринимателем с использованием средств автоматизации с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой и без использования средств автоматизации (смешанная обработка).
5.6. Персональные данные Субъектов персональных данных размещаются Индивидуальным предпринимателем в следующих информационных системах:
 информационная система персональных данных работников Индивидуального предпринимателя;
 информационная система персональных данных лиц, не являющихся работниками Индивидуального предпринимателя, но персональные данные которых Индивидуальный предприниматель должен обрабатывать в соответствии с трудовым законодательством;
 информационная система персональных данных клиентов и контрагентов Индивидуального предпринимателя (физических лиц) и представителей клиентов и контрагентов Индивидуального предпринимателя (физических и юридических лиц);
5.7. Передача персональных данных осуществляется с учетом специфики конкретной информационной системы:
 в цифровой информационной системе (предназначенной для автоматизированной обработки персональных данных) передача данных осуществляется по защищенным каналам связи, а также при задействовании средств криптозащиты;
 в информационной системе на основе бумажных носителей передача данных осуществляется посредством перемещения или копирования содержимого данных носителей при участии работников Индивидуального предпринимателя, имеющих доступ к соответствующей информационной системе, который устанавливается отдельным локальным нормативным актом.
5.8. Индивидуальный предприниматель осуществляет распространение персональных данных, разрешенных Субъектом персональных данных для распространения, то есть производит действия, направленные на их раскрытие неопределенному кругу лиц, с соблюдением запретов и условий, установленных ст. 10.1 Закона о персональных данных. Согласие на обработку персональных данных, разрешенных Субъектом персональных данных для распространения, оформляется отдельно от иных согласий такого Субъекта на обработку его персональных данных.
5.9. Передача персональных данных органам дознания и следствия, в суды, Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.10. Индивидуальный предприниматель принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
 определяет угрозы безопасности персональных данных при их обработке;
 принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
 назначает лиц, ответственных за обеспечение безопасности персональных данных;
 создает необходимые условия для работы с персональными данными;
 организует учет документов, содержащих персональные данные;
 организует работу с информационными системами, в которых обрабатываются персональные данные;
 хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
 организует обучение работников, осуществляющих обработку персональных данных.
5.11. При обработке персональных данных с использованием средств автоматизации Индивидуальный предприниматель соблюдает Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные Постановлением Правительства Российской Федерации от 01.11.2012 N 1119, и Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
5.12. При обработке персональных данных без использования средств автоматизации Индивидуальный предприниматель соблюдает требования, установленные Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства Российской Федерации от 15.09.2008 N 687.
5.13. Индивидуальный предприниматель осуществляет хранение персональных данных в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
5.14. Персональные данные на бумажных носителях хранятся в течение сроков хранения документов, установленных законодательством Российской Федерации. Срок хранения персональных данных, обрабатываемых в цифровых информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
5.15. Индивидуальный предприниматель обеспечивает раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
5.16. Индивидуальный предприниматель должен прекратить обработку персональных данных Субъекта персональных данных в случаях, если:
 выявлена неправомерная обработка персональных данных - в течение 3 (трех) рабочих дней с даты этого выявления;
 достигнуты цели обработки персональных данных - в течение 30 (тридцати) дней с даты достижения целей обработки;
 Субъект персональных данных отозвал согласие на обработку его персональных данных - в течение 30 (тридцати) дней с даты отзыва;
 Субъект персональных данных обратился к Индивидуальному предпринимателю с требованием о прекращении обработки - в течение 10 рабочих дней с даты получения соответствующего требования, за исключением случаев, предусмотренных Законом о персональных данных, когда обработка не подлежит прекращению. Этот срок может быть продлен, но не более чем на 5 рабочих дней, если Индивидуальный предприниматель направит Субъекту персональных данных мотивированное уведомление с указанием причин продления срока;
 истек срок действия согласия;
 прекращена деятельность по обработке персональных данных с последующим уведомлением Роскомнадзора.
5.16.1. При достижении целей обработки персональных данных, а также в случае отзыва Субъектом персональных данных согласия на их обработку Индивидуальный предприниматель прекращает обработку этих данных, если:
 иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных;
 Индивидуальный предприниматель не вправе осуществлять обработку без согласия Субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
 иное не предусмотрено другим соглашением между Индивидуальным предпринимателем и Субъектом персональных данных.
5.17. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами Российской Федерации, не допускаются, за исключением случаев, указанных в Законе о персональных данных.

6. Актуализация (уточнение), исправление, удаление и уничтожение персональных данных, ответы на запросы Субъектов на доступ к персональным данным

6.1. Индивидуальный предприниматель предоставляет подтверждение факта обработки персональных данных, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, Субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения соответствующего запроса. Указанный срок может быть продлен, но не более чем на 5 рабочих дней, если Индивидуальный предприниматель направит в адрес Субъекта персональных данных мотивированное уведомление с указанием причин продления срока.
Указанные сведения Индивидуальный предприниматель предоставляет Субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
6.1.1. Запрос должен содержать:
 номер основного документа, удостоверяющего личность Субъекта персональных данных, дату выдачи, наименование выдавшего органа;
 номер основного документа, удостоверяющего личность представителя Субъекта персональных данных, дату выдачи, наименование выдавшего органа;
 сведения, подтверждающие факт обработки персональных данных Субъекта персональных данных Индивидуальным предпринимателем;
 подпись Субъекта персональных данных или его представителя.
Запрос может быть направлен следующими способами: почтой России ценным с описью письмом, либо в электронном виде, позволяющем установить отправителя и получателя соответствующего запроса.
6.1.2. Если в обращении (запросе) Субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или Субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право Субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
6.2. В случае выявления неточных персональных данных при обращении Субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Индивидуальный предприниматель осуществляет блокирование персональных данных, относящихся к этому Субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы Субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Индивидуальный предприниматель на основании сведений, представленных Субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные в течение 7 рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
6.3. Индивидуальный предприниматель обязан удалить сведения о Субъекте персональных данных из общедоступных источников персональных данных по требованию Субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
6.4. Индивидуальный предприниматель должен уничтожить персональные данные в следующих случаях и в следующие сроки:
 если достигнуты цели обработки персональных данных либо утрачена необходимость их достижения - в срок не более 30 дней с даты достижения указанных целей, если иное не предусмотрено договором, соглашением, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных;
 если Субъект персональных данных или его представитель предъявил сведения, подтверждающие, что такие персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в срок не более 7 рабочих дней со дня представления таких сведений;
 если выявлена неправомерная обработка персональных данных при условии, что невозможно обеспечить ее правомерность, - в срок не более 10 рабочих дней с даты выявления неправомерной обработки;
 если Субъект персональных данных отозвал согласие на обработку его персональных данных при условии, что сохранение таких данных более не требуется для целей их обработки, - в срок не более 30 дней с даты поступления отзыва. Это возможно при условии, что иное не предусмотрено договором, соглашением, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных.
 если достигнуты максимальные сроки хранения документов, содержащих персональные данные, - в течение 30 дней.
6.5. Лицо, уполномоченное осуществлять уничтожение персональных данных, и способы уничтожения персональных данных устанавливаются в Положении об обработке и защите персональных данных.
6.6. При обработке персональных данных без использования средств автоматизации документом, подтверждающим уничтожение персональных данных, является акт об уничтожении персональных данных.
При обработке персональных данных с использованием средств автоматизации документами, подтверждающими уничтожение персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных (далее - выгрузка из журнала).
При обработке персональных данных одновременно с использованием средств автоматизации и без использования средств автоматизации документами, подтверждающими уничтожение персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала.
Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.

Индивидуальный предприниматель Смирнов Роман Николаевич
Псковская область, Дедовичский район, деревня Большая Храпь
ИНН 780620185111 ОГРНИП 319784700076790

Утверждаю
Индивидуальным предпринимателем
Смирновым Романом Николаевичем
01.07.2025 г.

Положение об обработке и защите персональных данных

г. Санкт-Петербург 01.07.2025 г.
1. Общие положения

1.1. Положение об обработке и защите персональных данных (далее - Положение) издано и применяется Индивидуальным предпринимателем Смирновым Романом Николаевичем (далее - Оператор) в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
Настоящее Положение определяет политику, порядок и условия Оператора в отношении обработки и защиты персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой и защитой персональных данных.
Все вопросы, связанные с обработкой и защитой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
1.2. Целью обработки персональных данных является:
 обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
 продвижение товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи (допускается в порядке, предусмотренном п. 3.7 настоящего Положения);
1.3. Действие настоящего Положения не распространяется на отношения, возникающие при:
1) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных фондов в соответствии с законодательством об архивном деле в Российской Федерации;
2) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
1.4. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и настоящим Положением.
Обработка организована Оператором на принципах:
 законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
 ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
 достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
 обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;
 соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
 недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
 обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
 хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
1.5. Способы обработки персональных данных:
 с использованием средств автоматизации;
 без использования средств автоматизации.
1.6. Категории персональных данных. В информационных системах Оператора осуществляется обработка следующих категорий персональных данных: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, социальное положение, имущественное положение, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации)
1.7. В соответствии с поставленными целями и задачами Оператор является ответственным за организацию обработки персональных данных.
1.7.1. Оператор оформляет и подписывает уведомление, предусмотренное ч. 1 и 3 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
1.8. Настоящее Положение и изменения к нему утверждаются руководителем Оператора.
1.9. Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под подпись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данным Положением и изменениями к нему. Обучение указанных работников организуется структурным подразделением по повышению квалификации в соответствии с утвержденными Оператором графиками.
1.10. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
1.11. Режим конфиденциальности персональных данных Оператор обеспечивает в соответствии с Положением Оператора о конфиденциальности.
1.12. Контроль за соблюдением сотрудниками Оператора требований законодательства Российской Федерации и положений локальных актов Оператора организован в соответствии с Положением о внутреннем контроле Оператора при обработке персональных данных. Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер. Он может проводиться структурным подразделением, ответственным за обеспечение безопасности персональных данных, или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите конфиденциальной информации.
1.13. Аудит соблюдения Оператором требований законодательства Российской Федерации и положений локальных нормативных актов Оператора организован в соответствии с Положением Оператора об аудите при обработке персональных данных.
1.14. Оценка вреда, в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Оператором требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса Российской Федерации. 1.15. Опубликование или обеспечение иным образом неограниченного доступа к настоящему Положению, иным документам, определяющим политику Оператора в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных Оператор проводит в соответствии с Политикой Оператора обработки персональных данных.
1.16. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Оператору сайта в информационно-телекоммуникационной сети Интернет, с использованием которых осуществляется сбор персональных данных, настоящее Положение и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к настоящему Положению с использованием средств соответствующей информационно-телекоммуникационной сети.
1.17. Оператор обязан представить документы и локальные акты, указанные в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", и (или) иным образом подтвердить принятие мер, указанных в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", по запросу уполномоченного органа по защите прав субъектов персональных данных в течение 30 (тридцати) календарных дней.
1.18. Условия обработки персональных данных Оператором:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
4) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
5) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
6) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
7) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
8) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом от 03.07.2016 N 230-ФЗ "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
9) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
10) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", при условии обязательного обезличивания персональных данных;
11) обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24.04.2020 N 123-ФЗ "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в ст. ст. 6 и 10 Федерального закона "О персональных данных" и Федеральным законом от 31.07.2020 N 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых и технологических инноваций в Российской Федерации", в порядке и на условиях, которые предусмотрены указанными Федеральными законами, Правилами взаимодействия федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, с операторами и взаимодействия государственной информационной системы, определенной в соответствии с ч. 2 ст. 13.1 Федерального закона "О персональных данных", и информационных систем операторов, утвержденными Постановлением Правительства РФ от 26.06.2025 N 966, Перечнем случаев формирования составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных, утвержденным Постановлением Правительства РФ от 24.04.2025 N 538;
12) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
1.19. Оператор на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".
1.20. Хранение персональных данных осуществляется в порядке, предусмотренном Положением о хранении персональных данных у Оператора.
1.21. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации.

2. Лица, уполномоченные на обработку персональных данных

2.1. Обработку персональных данных организует Оператор и его сотрудники.
2.2. Сотрудники Оператора находится в непосредственном подчинении Оператора.
2.3. Состав, уровень квалификации сотрудников, полномочия, функции, условия допуска работников к персональным данным, порядок взаимодействия с другими структурными подразделениями Оператора, ответственность сотрудников установлены в настоящем Положении.
2.4. Сотрудники под руководством Оператора:
1) доводят до сведения работников Оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
2) организуют обработку персональных данных сотрудниками Оператора;
3) организуют прием и обработку обращений и запросов субъектов персональных данных или их представителей.
2.5. Контроль за исполнением сотрудниками Оператора требований законодательства Российской Федерации и положений локальных нормативных актов Оператора при обработке персональных данных возложен на Оператора.
2.6. Сотруднику Оператора, имеющему право осуществлять обработку персональных данных, предоставляются уникальный логин и пароль для доступа к соответствующей информационной системе Оператора в установленном порядке. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными регламентами Оператора.
Информация может вноситься как в автоматическом режиме - при уточнении, извлечении, использовании и передаче на машиночитаемом носителе информации, так и в ручном режиме - при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
2.7. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах Оператора, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
 определение актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах;
 применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах Оператора, необходимых для выполнения требований к защите персональных данных;
 применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
 применение для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
 оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;
 учет машинных носителей персональных данных;
 обеспечение работоспособного функционирования компьютерной техники с персональными данными в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации;
 обнаружение и регистрация фактов несанкционированного доступа к персональным данным, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных и принятие мер;
 восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
 установление правил доступа к персональным данным, обрабатываемым в информационных системах Оператора, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах Оператора;
 контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем.
2.8. Сотрудники Оператора обеспечивают:
 своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до Оператора;
 недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
 восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
 постоянный контроль за обеспечением уровня защищенности персональных данных;
 соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
 учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
 при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;
 разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
2.9. Сотрудники Оператора принимают все необходимые меры по восстановлению персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.
2.10. Обмен персональными данными при их обработке в информационных системах Оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
2.11. Доступ сотрудников Оператора к персональным данным, находящимся в информационных системах Оператора, предусматривает обязательное прохождение процедуры идентификации и аутентификации.
2.12. В случае выявления нарушений порядка обработки персональных данных в информационных системах Оператора уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

3. Порядок обеспечения Оператором прав субъекта персональных данных

3.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.
3.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном гл. 3 и 4 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
3.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке ст. ст. 185 и 185.1 Гражданского кодекса Российской Федерации, ч. 2 ст. 53 Гражданского процессуального кодекса Российской Федерации или удостоверенной нотариально согласно ст. 59 Основ законодательства Российской Федерации о нотариате (утв. Верховным Советом Российской Федерации 11.02.1993 N 4462-1). Копия доверенности представителя, отснятая Службой ОПД с оригинала, хранится Оператором не менее трех лет, а в случае, если срок хранения персональных данных больше трех лет, - не менее срока хранения персональных данных.
3.4. Сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", предоставляются субъекту персональных данных Сотрудниками Оператора либо Оператором в доступной форме без персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных, в электронном виде. По требованию субъекта персональных данных они могут быть продублированы на бумаге. Доступная форма заверяется Оператором или иным уполномоченным Сотрудником Оператора.
3.5. Сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", предоставляются субъекту персональных данных или его представителю Сотрудниками Оператора либо Оператором в течение 10 (десяти) рабочих дней с момента обращения либо получения Оператором запроса субъекта персональных данных или его представителя.
Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
3.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
3.7. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных. Согласие может быть устным, письменным, либо подписанным на сайте Оператора в информационной телекоммуникационной сети Интернет.
3.7.1. Индивидуальное устное общение с потенциальными потребителями производится по специально выделенной телефонной линии Оператора. При этом рабочее место Сотрудника Оператора, которому поручено общение, обеспечивается техническими средствами, позволяющими в автоматизированном режиме вести регистрацию телефонных вызовов, а также (с согласия субъекта персональных данных) вести аудиозапись переговоров. В данной ситуации аудиозапись полученного устного согласия является надлежащей.
3.7.2. Если документирование информации в виде аудиозаписи на цифровой диктофон или аудиокассету проводилось физическим лицом по собственной инициативе скрытно, а порой с целью искусственного создания доказательств, то данные доказательства признаются недопустимыми и не имеющими юридической силы на основании ч. 2 ст. 50 Конституции Российской Федерации.
3.7.3. Для письменного согласия достаточно простой письменной формы.
3.7.4. Для подписания согласия на сайте Оператора в информационной телекоммуникационной сети Интернет достаточно ознакомиться с согласием и поставить соответствующую галочку под согласием в строке «согласен на обработку персональных данных».
Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Оператор не докажет, что такое согласие было получено.
3.8. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
3.9. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами Российской Федерации, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3.10. Оператор обязан устно, а по письменному требованию субъекта персональных данных или его представителя - письменно, разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
3.10.1. Текст устного разъяснения Оператор составляет в письменном виде до начала автоматизированной обработки персональных данных и хранит не менее 3 (трех) лет.
3.10.2. В случае автоматизированной обработки персональных данных различными способами разъяснение готовится отдельно для каждого способа.
3.11. Оператор обязан рассмотреть возражение, указанное в ч. 3 ст. 16 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", в течение 30 (тридцати) дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
3.12. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего расположения в рабочее время.
3.13. Оператор в течение 30 (тридцати) дней с момента исправления или уничтожения персональных данных по требованию субъекта персональных данных или его представителя обязан уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
Формы уведомлений, предусмотренных ч. 1, 4.1 и 7 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", устанавливаются уполномоченным органом по защите прав субъектов персональных данных.

4. Порядок обработки персональных данных

4.1. Цель обработки персональных данных определяет Оператор. Цель обработки персональных данных утверждается Оператором.
4.2. На основании заданной цели Оператор определяет задачи, сроки, способы и условия обработки персональных данных, перечень причастных и ответственных лиц. Такие задачи, сроки, способы, условия, лица утверждаются распоряжением Оператора.
4.3. Оператор обязан:
 организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых Оператором, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
 осуществлять внутренний контроль за соблюдением его подчиненными требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
 доводить до сведения Сотрудников Оператора положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки ПД, требований к защите персональных данных;
 организовать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов;
 в случае нарушения требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
4.4. Оператор вправе:
 иметь доступ к информации, касающейся порученной ему обработки персональных данных и включающей:
 цели обработки персональных данных;
 категории обрабатываемых персональных данных;
 категории субъектов, персональные данные которых обрабатываются;
 правовые основания обработки персональных данных;
 перечень действий с персональными данными, общее описание используемых у Оператора способов обработки персональных данных;
 описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
 дату начала обработки персональных данных;
 срок или условия прекращения обработки персональных данных;
 сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
 сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации;
 привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, иных сотрудников Оператора с возложением на них соответствующих обязанностей и закреплением ответственности.
4.5. Запись, систематизация персональных данных осуществляются только Сотрудниками Оператора во взаимодействии с Оператором.
4.6. В соответствии с поставленными целями и задачами накопление, хранение, уточнение (обновление, изменение) персональных данных осуществляются только Сотрудниками Оператора во взаимодействии с Оператором в порядке, установленном настоящим Положением.
4.7. В соответствии с поставленными целями и задачами извлечение, использование, передача (распространение, предоставление, доступ) персональных данных осуществляются только Сотрудниками Оператора и Оператором.
4.8. Обезличивание, блокирование, удаление, уничтожение персональных данных осуществляются только Сотрудниками Оператора и Оператором по следующей процедуре:
4.8.1. Ежегодно осуществляется экспертиза ценности дел (документов), содержащих персональные данные, постоянного и временного сроков хранения. По результатам экспертизы ценности документов составляются описи дел постоянного, временного (свыше 10 (десяти) лет) хранения и по личному составу (включая описи электронных документов постоянного хранения) (далее - описи дел), а также акты о выделении к уничтожению документов (дел), не подлежащих хранению (включая акты о выделении электронных документов).
4.8.2. Описи дел и акты о выделении к уничтожению документов (дел), не подлежащих хранению, рассматриваются Оператором одновременно.
4.8.3. Документы (дела), не подлежащие хранению и включенные в данные акты, уничтожаются в присутствии специальной комиссии, созданной специально для уничтожения документов.
4.8.4. По окончании процедуры уничтожения Сотрудниками Оператора или Оператором составляется акт об уничтожении документов, в учетных формах (номенклатурах дел, журналах) проставляется отметка об их уничтожении, пишется словами или проставляется штамп "Уничтожено. Акт (дата, N)", заверяется подписью Оператора или Сотрудника Оператора, осуществляющего учет документов, содержащих персональные данные.
4.8.5. Уничтожение выделенных документов на бумажных носителях осуществляется путем измельчения документов на куски, гарантирующего невозможность восстановления текста.
Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

5. Взаимодействие с другими операторами при обработке персональных данных с применением системы электронного взаимодействия

5.1. На основании двух- и многосторонних соглашений Оператор осуществляет обработку персональных данных в рамках электронного информационного взаимодействия с применением системы электронного взаимодействия (далее - СЭВ).
5.2. По согласованным регламентам Оператор в рамках СЭВ на основании поступивших запросов направляет информацию, включающую персональные данные субъектов, обрабатываемые Сотрудниками Оператора.
5.3. По перечню, утвержденному Оператором, Сотрудники Оператора в рамках СЭВ вправе направить запросы о предоставлении информации, включающей персональные данные субъектов.
5.4. Прекращение действия соглашения с другим оператором является основанием для уничтожения Оператором обработанных в рамках такого соглашения персональных данных.

6. Обязанности руководителя и сотрудников оператора

6.1. Руководитель Оператора:
 оказывает содействие Сотрудникам Оператора в выполнении им своих обязанностей;
 организует устранение выявленных нарушений законодательства Российской Федерации, нормативных правовых актов уполномоченного федерального органа исполнительной власти, внутренних документов Оператора, а также причин и условий, способствовавших совершению нарушения.
6.2. Сотрудники Оператора:
 оказывают содействие Оператору в выполнении им своих обязанностей;
 незамедлительно доводят до сведения Оператора сведения о предполагаемых нарушениях законодательства Российской Федерации, в том числе нормативных правовых актов уполномоченного федерального органа исполнительной власти, и внутренних документов Оператора другими сотрудниками Оператора или контрагентами Оператора.

7. Контроль, ответственность за нарушение или неисполнение положения

7.1. Контроль за исполнением Положения возложен на Оператора.
7.2. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной (ст. ст. 5.39, 13.11 - 13.14, 19.7 Кодекса Российской Федерации об административных правонарушениях) или уголовной ответственности (ст. ст. 137, 140, 272, 272.1, 274 Уголовного кодекса Российской Федерации).
7.3. Сотрудники Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.