индивидуальный предприниматель 

         Еремин Сергей Сергеевич

ИНН 772796664813 ОГРНИП 318774600438290

117149, г. Москва, ул. Сивашская, д. 19, кв. 39

г. Москва.                                                             28 мая 2025 г.

ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И 

ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ 

1. Общие положения
1.1. Настоящее Положение об обработке персональных данных (далее - Положение) у Индивидуального предпринимателя Еремина Сергея Сергеевича), (далее - Оператор) разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и является локальным нормативным актом Оператора.
1.2. Цель разработки Положения - определение порядка обработки персональных данных субъектов персональных данных, персональные данные которых подлежат обработке Оператором, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина, в том числе работника Организации, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. Настоящее Положение вступает в силу с момента его утверждения Оператором и действует бессрочно, до замены его новым Положением.
1.4. Все изменения в Положение вносятся приказом Оператора.
1.5. Все субъекты персональных данных, персональные данные которых подлежат обработке Оператором, на основании полномочий Оператора, должны быть ознакомлены с настоящим Положением.
1.6. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии Организации, если иное не определено законом.

2. Основные понятия и состав персональных данных субъектов персональных данных
2.1. Для целей настоящего Положения используются следующие основные понятия:
- персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая Организации в связи с осуществлением деятельности;
- обработка персональных данных - сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов персональных данных;
- конфиденциальность персональных данных - обязательное для соблюдения назначенным ответственным лицом, получившим доступ к персональным данным субъектов персональных данных, требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания;
- распространение персональных данных - действия, направленные на передачу персональных данных субъекта персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных субъектов персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационным сетях или предоставление доступа к персональным данным субъектов персональных данных каким-либо иным способом;
- использование персональных данных - действия (операции) с персональными данными, совершаемые должностным лицом Оператора в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
- блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных субъектов персональных данных, в том числе их передачи;
- уничтожение персональных данные - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных субъектов персональных данных или в результате которых уничтожаются материальные носители персональных данных субъектов персональных данных;
- обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
- общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
- информация - сведения (сообщения, данные) независимо от формы их представления;
- документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
2.2. В состав персональных данных субъектов персональных данных входит следующая информация:
Общие виды информации:
● Фамилия, имя, отчество; 
● Номер контактного телефона; 
● Адрес электронной почты;
● куки-файлы - IP адрес Пользователя, история запросов и просмотров на Сайте и его сервисах (для посетителей Сайтов Оператора https://fin-resh.ru/)
Дополнительные данные работников (соискателей) Оператора:
● СНИЛС, дата и место рождения, образование, ИНН, адрес регистрации, банковские реквизиты, место работы, почта сведения о заработной плате, предыдущем месте профессиональной деятельности, трудовом стаже, наличии судимости, семейное положение, иные сведения, сообщенные работником(соискателем) о себе в резюме.
Дополнительные данные контрагентов Оператора:
● дата рождения, ИНН, адрес регистрации, паспортные данные, банковские реквизиты

3. Сбор, обработка и защита персональных данных
3.1. При сборе персональных данных посредством информационно-телекоммуникационной сети "Интернет", Оператор осуществляет запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
3.2. Все персональные данные субъекта персональных данных, обрабатываемых Оператором, следует получать у него самого. Если персональные данные субъекта персональных данных возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо Оператора должно сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
3.3. Оператор вправе обрабатывать персональные данные субъектов персональных данных только с их письменного согласия, а также согласия в электронном виде посредством проставления галочки пользователем в соответствующей веб-форме на сайте Оператора.
3.4. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование (фамилию, имя, отчество) и адрес Оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва.
3.5. Согласие субъекта персональных данных на обработку его персональных данных не требуется в следующих случаях, указанных в п.7.2. настоящего положения.
3.6. Субъект персональных данных предоставляет должностному лицу Оператора достоверные сведения о себе. Должностное лицо проверяет достоверность сведений, сверяя данные, предоставленные субъектом персональных данных, с имеющимися у субъекта персональных данных документами.
3.7. В целях обеспечения прав и свобод человека и гражданина работники оператора, осуществляющие обработку персональных данных, при обработке персональных данных субъекта персональных данных должны соблюдать следующие общие требования:
3.6.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.6.2. При определении объема и содержания, обрабатываемых персональных данных Оператор должен руководствоваться Конституцией Российской Федерации, ФЗ «О персональных данных» и иными федеральными законами.
3.6.3. Защита персональных данных субъекта персональных данных от неправомерного их использования или утраты обеспечивается Оператором за счет его средств в порядке, установленном законодательство Российской Федерации и локальными актами Оператора.
3.6.4. Работники и их представители должны быть ознакомлены под расписку с документами Организации, устанавливающими порядок обработки персональных данных субъектов персональных данных, а также об их правах и обязанностях в этой области.
3.6.5. Во всех случаях отказ субъекта персональных данных от своих прав на сохранение конфиденциальности персональных данных и защиту персональных данных недействителен.
3.6.6. По письменному запросу Пользователя Оператор обязан:
- предоставить информацию, касающуюся обработки соответствующих персональных данных, либо на законных основаниях отказать в предоставлении такой информации в срок, не превышающий 10 (десяти) рабочих дней с момента получения соответствующего запроса; 
- уточнять обрабатываемые персональные данные, блокировать или удалять их, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, в срок, не превышающий 7 (семи) рабочих дней со дня предоставления Пользователем актуальных сведений.

4. Передача и хранение персональных данных
4.1. При передаче персональных данных субъекта персональных данных Оператор должен соблюдать следующие требования:
4.1.1. Не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральным законом.
4.1.2. Не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия. Обработка персональных данных субъектов персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
4.1.3. Предупредить лиц, получивших персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные субъекта персональных данных, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными субъектов персональных данных в порядке, установленном федеральными законами и иными нормативно-правовыми актами Российской Федерации.
4.1.4. Осуществлять передачу персональных данных субъектов персональных данных в пределах Оператора в соответствии с настоящим Положением.
4.1.5. Разрешать доступ к персональным данным субъектов персональных данных только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъекта персональных данных, которые необходимы для выполнения конкретной функции.
4.1.6. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
4.1.7. Передавать персональные данные субъекта персональных данных представителям субъекта персональных данных в порядке, установленном законодательством Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта персональных данных, которые необходимы для выполнения указанными представителями их функции.
4.2. Хранение и использование персональных данных субъектов персональных данных:
4.2.1. Организация хранения документов организовывается лицом, назначенным ответственным за защиту и хранение персональных данных Оператора (далее - ответственный за ПД), в соответствии с требованиями нормативного акта «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного приказом ФСТЭК России № 21 от 18 февраля 2013 года;
4.2.2. На бумажных носителях информациях хранится в сейфах или металлических несгораемых шкафах, которые запираются на замок, или в специально оборудованном помещении с ограниченным доступом. Доступ к информации предоставляется ответственным за ПД с записью в журнале регистрации доступа к персональным данным, с указанием цели доступа.
4.2.3. Информация в электронном виде хранится в соответствии с «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными Постановлением Правительства РФ № 1119 от 1 ноября 2012 года,  
4.2.4. Информация, обрабатываемая в разных целях, хранится отдельно друг от друга, с разбивкой по срокам хранения персональных данных; 
4.2.5. Персональные данные работников и соискателей обрабатываются и хранятся в отделе кадров (при отсутствии отдела кадров - ответственным за ПД). В личных делах сотрудников не хранить: копии паспорта, СНИЛС и ИНН, свидетельства о браке или рождении ребенка, и иные содержащие избыточные персональные сведения.
4.2.6. Сроки хранения персональных данных сотрудников должны соответствовать срокам, установленным в Перечне типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, утвержденном приказом Росархива от 20.12.2019 № 236. Если срок хранения персональных данных работника не установлен в законе или договоре с ним, то хранить их нужно не дольше, чем это нужно для цели их обработки.
Основные сроки хранения:
50 лет — документация по личному составу, которая оформлена после 2003 года (трудовые договоры, личные дела и карточки работников, их лицевые счета и карточки, приказы по личному составу (о приеме на работу, переводе, увольнении и т.п.)
5 лет — хранятся приказы о ежегодных оплачиваемых и учебных отпусках, направлении в командировку, дежурствах, которые не связаны с основной занятостью работника 
3 года — документация, касающаяся наложения на работника дисциплинарного взыскания, а также согласие на обработку персональных данных, когда закончился период его хранения либо оно отозвано субъектом персональных данных 
4.2.7. Сроки хранения персональных данных посетителей сайтов Оператора - бессрочно до отзыва согласия посетителем сайта.
4.2.8. Сроки хранения персональных данных контрагентов Оператора - 5 (пять) лет после полного исполнения договора для обеспечения защиты Оператора в суде на протяжении исковой давности с учетом возможного продления данного срока по заявлению истца.
4.2.9. Срок хранения документов, связанных с обработкой персональных данных:
Согласия на обработку персональных данных - 3 года после истечения срока действия согласия или его отзыва
Локальные нормативные акты, регулирующие обработку персональных данных (документы, определяющие политику обработки персональных данных, правила и процедуры) - Постоянно
Акты об уничтожении персональных данных - Постоянно
Журналы регистрации, например, журналы учета выдачи персональных данных - 3 года
4.2.10. Расчет сроков хранения документов и информации производится с 1 января года, который следует за годом окончания делопроизводства данных документов.
4.2.11. Ответственный за ПД организует проведение инструктажей сотрудников и исполнителей, работающих с защищаемой информацией Оператора, обеспечивает периодический пересмотр актуальных угроз безопасности информации, и имеет право требовать от пользователей защищаемой информации выполнения указаний и инструкций, связанных с защитой информации.
4.2.12. Персональные данные субъектов персональных данных могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
4.2.13. При получении персональных данных не от субъекта персональных данных (за исключением случаев, если персональные данные были предоставлены Оператору на основании федерального закона или если персональные данные являются общедоступными) Оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
- наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные Федеральным законом «О персональных данных» права субъекта персональных данных.
4.3. Ответственный за ПД организует учет и хранение средств криптографической защиты информации (далее - СКЗИ) Оператора в соответствии с «Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденной приказом ФАПСИ от 13 июня 2001 №152. при этом:
- используются только сертифицированные ФСБ России СКЗИ, предназначенные для защиты информации, не содержащей сведений, составляющих государственную тайну.
- Ответственный за ПД осуществляет:
● поэкземплярный учет СКЗИ, эксплуатационной и технической документации к ним, ключевых носителей и ключевых документов;
● учет пользователей СКЗИ (далее – Пользователи) и представление на утверждение руководителю списка пользователей СКЗИ;
● контроль за соблюдением условий использования СКЗИ;
● расследования и составление заключений по фактам нарушений условий использования СКЗИ;
● разработку и ​обеспечение мер по предотвращению возможных нежелательных последствий таких нарушений;
● обучение Пользователей правилам работы с СКЗИ и правилам хранения СКЗИ, ключевых носителей и ключевых документов.

5. Доступ к персональным данным субъектов персональных данных
5.1. Право доступа к персональным данным субъектов персональных данных имеют:
5.1.1. ответственный за организацию обработки персональных данных;
5.1.2. ответственный за безопасность персональных данных;
5.1.3. иные лица в соответствии с законодательством Российской Федерации и локальными актами Оператора.
5.2. Субъект персональных данных имеет право:
5.2.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные субъекта персональных данных.
5.2.2. Требовать от Оператора уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для Оператора персональных данных.
5.2.3. Получать от Оператора:
5.2.3.1. сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
5.2.3.2. перечень обрабатываемых персональных данных и источник их получения;
5.2.3.3. сроки обработки персональных данных, в том числе сроки их хранения;
5.2.3.4. сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
5.2.4. Требовать извещения Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
5.2.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Оператора при обработке и защите его персональных данных.
5.3. Передача информации третьей стороне возможна только при письменном согласии субъекта персональных данных.

6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
6.2. Работники Оператора, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
6.3. Оператор за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные работника.

7. Дополнительные условия обработки
7.2. Согласно пп. 2-11 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» не требуется согласие на обработку персональных данных физического лица, если такая обработка необходима:
- для участия лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
- для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- для заключения договора по инициативе гражданина или договора, по которому он будет выгодоприобретателем или поручителем (например, если индивидуальный предприниматель арендует помещение и в договоре указываются его паспортные данные);
- исполнения договора, стороной которого является гражданин (к примеру, если запрашивается адрес гражданина для доставки ему товара);
- для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных и т.д.
7.3. Уничтожение персональных данных производится в случае:
- предоставления пользователем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки - в течение 7 рабочих дней со дня представления таких сведений (ч. 1 ст. 14, ч. 3 ст. 20 Закона № 152-ФЗ);
- выявления неправомерной обработки персональных данных - в течение 10 рабочих дней (ч. 3 ст. 21 Закона № 152-ФЗ);
- отзыва персональных данных Пользователем - в течение 30 дней (ч. 5 ст. 21 Закона № 152-ФЗ;
- достижения цели обработки персональных данных - в течение 30 дней (ч. 4 ст. 21 Закона № 152-ФЗ);
- истечения сроков хранения персональных данных - в течение 30 дней (ч. 4 ст. 21 Закона № 152-ФЗ).


Еремин С.С. _______________