Политика в отношении обработки персональных данных
и реализации требований к их защите
1. Общие положения Настоящая Политика в отношении обработки персональных данных (далее - Политика) разработана в соответствии с требованиями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» в ИП Маликов А.Ю. (далее – организация). Политика определяет цели, принципы обработки и реализуемые требования к защите персональных данных в организации. Сведения о персональных данных относятся к числу конфиденциальных и составляют охраняемую законом тайну. 2. Понятие персональных данных Персональные данные - это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) (ст.3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). 3. Цели обработки персональных данных Обработка персональных данных в организации осуществляется в целях: - ведения бухгалтерского учета; - ведения кадрового учета; - расчета заработной платы; - содействия гражданам в трудоустройстве; - профессиональной подготовки сотрудников организации, их переподготовки, повышения квалификации и стажировки; - исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. 4. Правовые основания обработки персональных данных Организация осуществляет обработку персональных данных, руководствуясь: - Конституцией РФ; - Трудовым кодексом РФ от 31.12.2001 № 197-ФЗ; - Налоговым кодексом РФ от 05.08.2000 № 117-ФЗ; - Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»; - Федеральным закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;- Федеральным законом от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»; - Федеральным законом от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»; - глава 34 часть вторая Налогового кодекса Российской Федерации «Страховые взносы»; - Законом РФ от 19.04.1991 № 1032-1 «О занятости населения Российской Федерации»; - Постановлением Госкомстата России от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»; - Постановлением Правительства РФ от 27.11.2006 № 719 «Об утверждении положения о воинском учете»; - Постановлением Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативно правовыми актами, операторами, являющихся государственными или муниципальными органами»; - Постановлением правления ПФ РФ от 01.06.2016 № 473п «О формах документов индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования и инструкции по их заполнению»; - Приказом ФНС России от 15.10.2020 № ЕД-7-11/753@ «Об утверждении формы расчета сумм налога на доходы физических лиц, исчисленных и удержанных налоговым агентом (форма 6-НДФЛ), порядка ее заполнения и представления, формата представления расчета сумм налога на доходы физических лиц, исчисленных и удержанных налоговым агентом, в электронной форме, а также формы справки о полученных физическим лицом доходах и удержанных суммах налога на доходы физических лиц»; - Иными законами, постановлениями Правительства и нормативными правовыми актами; - Организационно-распорядительными документами, созданными в организации. 5. Принципы обработки персональных данных При обработке персональных данных организацией соблюдаются следующие принципы: - обработка персональных данных должна осуществляться на законной и справедливой основе; - обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных; - не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; - обработке подлежат только персональные данные, которые отвечают целям их обработки;- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки; - при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. В организации должны приниматься необходимые меры (либо обеспечиваться их принятие) по удалению или уточнению неполных или неточных данных; - хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. 6. Категории субъектов персональных данных В организации могут обрабатываться персональные данные: - сотрудников организации и их близких родственников; - кандидатов на трудоустройство в организации; - контрагентов. 7. Обрабатываемые персональные данные В организации могут обрабатываться следующие категории персональных данных: - фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, адрес, семейное положение, образование, профессия, доходы; - гражданство; - прежние фамилия, имя, отчество, дата, место и причина изменения (в случае изменения); - владение иностранными языками и языками народов Российской Федерации; - образование (когда и какие образовательные учреждения закончил(а), номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому); - послевузовское профессиональное образование (наименование образовательного или научного учреждения, год окончания), ученая степень, ученое звание (когда присвоены, номера дипломов, аттестатов); - выполняемая работа с начала трудовой деятельности; - классный чин федеральной государственной гражданской службы и (или) гражданской службы субъекта Российской Федерации и (или) муниципальной службы, дипломатический ранг, воинское и (или) специальное звание, классный чин правоохранительной службы, классный чин юстиции (кем и когда присвоены); - государственные награды, иные награды и знаки отличия (кем награжден(а) и когда); - степень родства, фамилии, имена, отчества, даты рождения близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены); - фамилии, имена, отчества, даты рождения, места рождения, места работы и домашние адреса мужей (жен); - адрес регистрации и фактического проживания; - дата регистрации по месту жительства; - паспорт (серия, номер, кем и когда выдан); - свидетельства о государственной регистрации актов гражданского состояния; - номер телефона; - отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу); - идентификационный номер налогоплательщика; номер страхового свидетельства обязательного пенсионного страхования; - наличие (отсутствие) судимости; - заключение медицинского учреждения о наличии (отсутствии) заболевания, препятствующего трудоустройству на должность. 8. Обработка персональных данных 8.1. Условия обработки персональных данных Обработка персональных данных в организации допускается в следующих случаях: - обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; - обработка персональных данных необходима для заключения трудового договора или договора гражданско-правового характера по инициативе субъекта персональных данных; - обработка персональных данных необходима для исполнения трудового договора или договора гражданско-правового характера, стороной которого является субъект персональных данных. 8.2 Перечень действий с персональными данными Обработка персональных данных осуществляется, как с использованием средств автоматизации, так и без использования таких средств, и включает следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных. 8.3 Сбор персональных данных Персональные данные предоставляются в организации: - субъектами персональных данных, перечисленных в п.6 «Категории субъектов персональных данных»; - третьими лицами в соответствии с требованиями закона Российской Федерации и/или согласия субъекта персональных данных. 8.4 Хранение персональных данных Сроки хранения персональных данных определяются на основании:- статьи 29 Федерального закона от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учете», которая определяет обязанность организации хранить бухгалтерскую документацию в течение сроков, устанавливаемых законодательством РФ; - персональные данные, не подлежащие архивному хранению, подлежат уничтожению либо обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. 8.5 Передача персональных данных Предоставление организацией обрабатываемых персональных данных производится в соответствии с законодательством Российской Федерации: - Федеральной налоговой службе; - Пенсионному фонду Российской Федерации; - Федеральному фонду обязательного медицинского страхования; - Федеральной службе по труду и занятости; - Военному комиссариату Министерства обороны Российской Федерации; - Иным, определенным законом, государственным органам и ведомствам. Предоставление организацией обрабатываемых персональных данных производится в соответствии с письменным согласием сотрудников: - Страховым компаниям; - Банкам; - Учреждениям образования; - Иным организациям. 9. Права субъекта персональных данных Субъект персональных данных имеет право на получение информации, подтверждающей факт обработки, правовые основания, цели, способы, сроки обработки персональных данных, а также иные сведения, предусмотренные федеральными законами. Субъект персональных данных вправе требовать уточнения, блокирования или уничтожения своих данных в случае, если таковые являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. 10. Реализуемые требования к защите персональных данных Реализация требований к защите персональных данных в организации от неправомерного или случайного доступа к персональным данным, их уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с персональными данными осуществляется правовыми, организационными и техническими мерами, в том числе: − назначением ответственных за организацию обработки персональных данных; − осуществлением внутреннего контроля и (или) аудита соответствия обработки персональных данных;− оценкой вреда, который может быть причинен субъектам персональных данных, в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон), соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным Законом; − ознакомлением сотрудников организации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящим документом, и (или) обучением указанных сотрудников; − определением угроз безопасности персональных данных при их обработке в информационной системе персональных данных; − применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; − применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; − оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; − учетом машинных носителей персональных данных; − обнаружением фактов несанкционированного доступа к персональным данным и принятием мер; − восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; − установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учетом всех действий, совершаемых с персональными данными в информационной системе персональных данных; − контролем принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных. 11. Ответственность Сотрудники организации, организующие обработку персональных данных, в том числе сотрудники организации, непосредственно обрабатывающие персональные данные, несут ответственность за нарушение правил обработки персональных данных в порядке, установленном действующим законодательством РФ. 12. Заключительные положения Контроль исполнения требований настоящей Политики осуществляется индивидуальным предпринимателем. Настоящая Политика подлежит изменению, дополнению в случае изменения законодательства РФ в области персональных данных. С настоящей Политикой должны быть ознакомлены все сотрудники организации.