Политика конфиденциальности

Настоящая политика определяет действия в Фабрика "Бачо" (ИП Толстых Н.В. ИНН 482604197179, ОГРНИП 304482236300397), расположенном по адресу: 398902, г. Липецк, ул. Прудная, 2-71, (далее – Компания) в отношение обработки персональных данных физических лиц, в том числе – контрагентов и соискателей вакантных должностей, а также работников, представителей юридических лиц – контрагентов, передавших свои персональные данные для обработки, порядок и условия осуществления обработки персональных данных, обеспечение безопасности персональных данных с использованием и без использования средств автоматизации, устанавливает процедуры, направленные на предотвращение нарушений законодательства Российской Федерации, устранение последствий нарушений, связанных с обработкой персональных данных.

Политика разработана с целью обеспечения защиты прав и свобод физических лиц и работников, представителей юридических лиц при обработке их персональных данных, а также с целью установления ответственности работников Компании, имеющих доступ к персональным данным, за невыполнение требований и норм, регулирующих обработку персональных данных.

Действие настоящего документа не распространяется на отношения, на которые не распространяется действие Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») (п.2 ст.1 ФЗ «О персональных данных»).

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. В настоящем документе используются следующие термины и определения.

• Персональные данные – любая конфиденциальная информация ограниченного доступа, не составляющая государственную тайну, относящаяся прямо или косвенно к определенному или определяемому физическому лицу, или работнику, представителю юридического лица.
• Субъект персональных данных – физическое лицо или работник, представитель юридического лица, носитель персональных данных, чьи персональные данные переданы Компании для обработки.
• Интернет-сайт – совокупность информации, текстов, графических элементов, дизайна, изображений, фото и видеоматериалов, иных результатов интеллектуальной деятельности, а также программных средств для ЭВМ, обеспечивающих публикацию для всеобщего обозрения информации и данных, объединенных общим целевым назначением, посредством технических средств, применяемых для связи между ЭВМ, и сети Интернет.
• Сайт – официальный интернет-сайт Компании, который в настоящее время находится в сети Интернет по адресу: https://www.bacho48.ru/ (далее – «Сайт»), а также другие интернет-сайты в этом домене.
• Пользователь – физическое лицо или работник, представитель юридического лица, действующее в своих интересах или в интересах других лиц, акцептовавшее публичную оферту, размещенную на Сайте, имеющее доступ к Сайту и использующее его, независимо от факта регистрации на Сайте.
• Cookies – текстовые файлы, автоматически создаваемые при посещении пользователями Сайта и хранимые на технических устройствах, которые пользователи используют для посещения Сайта. Как правило, Cookies содержат данные о технических устройствах, которые пользователи используют для посещения сайта, и о действиях пользователей на сайте.
• Яндекс Метрика — это сервис веб-аналитики, который позволяет оценить посещаемость сайтов и поведение пользователей на них.
• Администрация сайта – работники, уполномоченные на управление сайтом, действующие от имени Компании, которые организуют и (или) осуществляют обработку персональных данных, а также определяют цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
• Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
• Автоматизированная обработка персональных данных – обработка персональных данных с использованием средств вычислительной техники.
• Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
• Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц, имеющих законное право на это.
• Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
• Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе.
• Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
• Использование персональных данных – действия с персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных, или других лиц, либо иными образом затрагивающих права и свободы субъекта персональных данных или других лиц.
• Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
• Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
• Конфиденциальность персональных данных – обязательное для соблюдения Компанией или иными получившим доступ к персональным данным лицами требование не допускать их распространение без согласия субъекта персональных данных или наличия законного основания.

1.2. Политика Компании в отношение обработки персональных данных (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в Компании персональных данных, функции Компании при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Компании требования к защите персональных данных.

1.3. Настоящая Политика определяет действия Компании в отношении обработки персональных данных субъектов, передавших свои персональные данные для обработки, порядок и условия осуществления обработки персональных данных, обеспечение безопасности персональных данных с использованием и без использования средств автоматизации, устанавливает процедуры, направленные на предотвращение нарушений законодательства Российской Федерации, устранение последствий нарушений, связанных с обработкой персональных данных.

1.4. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.

Субъект персональных данных считается предоставившим согласие на их обработку после проставления галочки в соответствующем поле Сайта или после подписания соответствующего заявления/утверждения.

1.5. Субъект персональных данных обязан:

• передавать Компании достоверные персональные данные;
• своевременно сообщать Компании об изменении своих персональных данных.

1.6. Субъект персональных данных имеет право:

1. на получение информации, касающейся обработки его персональных данных, в частности:
   • подтверждения факта обработки персональных данных Компанией;
   • правовых оснований и целей обработки персональных данных;
   • применяемых Компанией способов обработки персональных данных;
   • наименования и местонахождение Компании, сведений о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании Федерального Закона;
   • обрабатываемых персональных данных, источниках их получения;
   • сроках обработки персональных данных и сроках их хранения;
   • порядке осуществления субъектом персональных данных своих прав;
   • наименовании или фамилии, имени, отчестве и адресе лиц, осуществляющих обработку персональных данных по поручению Компании, если обработка поручена или будет поручена таким лицам;
   • иных сведениях, предусмотренных Федеральным Законом.
2. требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
3. требовать от Компании извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях и дополнениях;
4. отозвать свое согласие на обработку персональных данных путем подачи письменного заявления;
5. на свободное безвозмездное ознакомление со своими персональными данными посредством личного обращения по месту расположения Компании в рабочее время либо направления запроса по электронному адресу: info@bacho48.ru, при этом сведения о персональных данных предоставляются в доступной форме, исключая персональные данные, относящиеся к другим субъектам персональных данных, в соответствии с п.8.1;
6. обжаловать действия или бездействие Компании в уполномоченный орган или в судебном порядке;
7. Субъект персональных данных имеет иные права, предусмотренные действующим законодательством.

1.7. Компания обязана:

• обеспечивать конфиденциальность персональных данных: Компания и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом;
• опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, сведениям о реализуемых требованиях к защите персональных данных;
• принимать необходимые правовые, организационные и технические меры (или обеспечивать их принятие) для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
• предоставлять ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных;
• Компания имеет иные обязанности, предусмотренные действующим законодательством.

1.8. Компания имеет право проверять достоверность предоставленных персональных данных в порядке, не противоречащем законодательству Российской Федерации, однако исходит из того, что субъект персональных данных предоставляет достоверные и достаточные персональные данные для осуществления целей обработки персональных данных, и поддерживает эту информацию в актуальном состоянии.

2. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Компания осуществляет обработку персональных данных для достижения конкретных, заранее определенных и законных целей, связанных с фактически осуществляемой Компанией деятельностью и бизнес-процессами в информационной системе персональных данных Компании:

1. идентификации пользователя, зарегистрированного на сайте, для оформления заявки на услуги или соискание вакантной должности;
2. предоставление доступа к персонализированным ресурсам сайта;
3. обеспечение возможности обмена между пользователем и сайтом информацией, связанной с оказанием услуг;
4. предоставления пользователю доступа к информационным ресурсам и сервисам партнеров сайта;
5. осуществления деятельности по администрированию сайта и обеспечению его функциональности;
6. ведения статистического учета, проведение статистических и иных исследований на основе обезличенных данных;
7. заключения договоров с пользователями сайта, касающихся использования сайта, в том числе договоров на предоставление услуг, оказание пользователям дополнительных услуг;
8. оказания услуг субъектам персональных данных, в том числе не являющимся пользователями;
9. обеспечения пропускного режима на территорию Компании и оказание услуг непосредственно субъектам персональных данных (т.е. Владельцам контракта/Членам Компании);
10. ведения деятельности Компании в части заключения, учета и исполнения договоров с контрагентами (в частности – заказчиками, исполнителями);
11. Возможна обработка персональных данных в иных целях, не противоречащих действующему законодательству Российской Федерации и условиям соглашений между Компанией и субъектами персональных данных.

3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Правовыми основаниями обработки персональных данных являются совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Компания осуществляет обработку персональных данных, в том числе:

• Гражданский кодекс РФ (гл.39 ГК РФ);
• Трудовой кодекс РФ;
• Налоговый кодекс РФ;
• Федеральный закон от 15.12.2001 №167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
• Учредительные документы Компании;
• Договор возмездного оказания услуг, заключенный между Компанией и субъектом персональных данных (оферта) и иные гражданско-правовые договоры;
• Согласие субъекта персональных данных на их обработку (форма Заявления/Утверждения).

4. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Физическое лицо – пользователь сайта:

• Фамилия, Имя, Отчество;
• число, месяц, год;
• фотография (изображение);
• адреса регистрации и фактического проживания (страна);
• номер телефона (домашний или мобильный);
• адреса электронной почты;
• сведения об используемом браузере;
• IP-адрес, местоположение;
• запрашиваемые интернет-страницы;
• источник захода на сайт.

4.2. Физическое лицо, не являющееся пользователем сайта, чьи персональные данные стали известны Компании в связи с заключением и исполнением договора оказания услуг (в том числе – физические лица, чьи персональные данные и согласие на их обработку получены контрагентом, который передал персональные данные Компании в рамках договора гражданско-правового характера):

• Фамилия, Имя, Отчество;
• число, месяц, год;
• фотография (изображение);
• адреса регистрации и фактического проживания (страна, город, улица, номер дома, номер корпуса, номер квартиры);
• номер телефона (домашний, мобильный);
• адреса электронной почты и мессенджеров;
• данные документа, удостоверяющего личность.

4.3. Физическое лицо – контрагент, с которым заключен договор гражданско-правового характера, трудовой договор:

• Фамилия, Имя, Отчество;
• число, месяц, год, место рождения;
• информация о гражданстве;
• фотография (изображение);
• адреса регистрации и фактического проживания (страна, город, улица, номер дома, номер корпуса, номер квартиры);
• номер телефона (домашний, мобильный);
• адреса электронной почты и мессенджеров;
• данные расчетного счета;
• сведения о семейном положении;
• данные документов об образовании, квалификации;
• СНИЛС;
• ИНН;
• данные документа, удостоверяющего личность;
• данные документа о воинском учете (для лиц, подлежащих воинскому учету).

4.4. Работники, представители юридических лиц – контрагентов и клиентов:

• наименование соответствующего юридического лица;
• Фамилия, Имя, Отчество;
• число, месяц, год, место рождения;
• информация о гражданстве;
• фотография (изображение);
• служебный адрес (страна, город, улица, номер дома, номер корпуса, номер офиса, кабинета);
• номер телефона (рабочий, домашний, мобильный);
• адреса электронной почты и мессенджеров;
• данные документа, удостоверяющего личность;
• данные документа, удостоверяющего связь с соответствующим юридическим лицом.

4.5. Соискатели вакантных должностей Компании:

• Фамилия, Имя, Отчество;
• число, месяц, год, место рождения;
• информация о гражданстве;
• фотография (изображение);
• данные о характере, времени и месте получения образования, предшествующей работы;
• адреса регистрации и фактического проживания (страна, город, улица, номер дома, номер корпуса, номер квартиры);
• номер телефона (домашний, мобильный);
• адреса электронной почты и мессенджеров;
• данные расчетного счета;
• сведения о семейном положении;
• СНИЛС;
• ИНН;
• данные документа, удостоверяющего личность.

5. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных в Компании осуществляется с соблюдением принципов и условий, предусмотренных действующим законодательством Российской Федерации о персональных данных.

5.2. Работники Компании, получившие доступ к персональным данным, имеют обязательства не раскрывать их третьим лицам или неопределенному кругу лиц и не распространять иным образом без получения на то согласия соответствующих субъектов персональных данных, если иное прямо не предусмотрено действующим законодательством Российской Федерации.

5.3. Обработка персональных данных осуществляется Компанией с момента предоставления субъектом персональных данных соответствующего согласия на их обработку. Обработка персональных данных прекращается по истечение срока действия согласия, или в случае отзыва согласия на обработку персональных данных соответствующим субъектом, или в случае выявления неправомерной обработки персональных данных.

5.4. Обработка персональных данных может осуществляться в статистических или иных исследовательских целях, за исключением целей, указанных в ст.15 ФЗ «О персональных данных», при условии обязательного обезличивания персональных данных.

5.5. Компания вправе поручить обработку персональных данных третьим лицам с согласия соответствующих субъектов персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации. Лица, осуществляющие обработку персональных данных по поручению Компании, обязуются соблюдать требования ФЗ «О персональных данных» и данной Политики.

5.6. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется в период их обработки. В соответствии с ч.5 ст.18 ФЗ «О персональных данных», при осуществлении хранения персональных данных Компания обязан использовать (и обеспечивать использование контрагентами) базы данных, находящиеся на территории Российской Федерации.

5.7. Если оказание услуг требует трансграничной передачи персональных данных, она осуществляется с обеспечением выполнения требований пп.5.1-5.6.

5.8. Компания использует средство “Яндекс Метрика” для сбора сведений об использовании сайта, таких как частота посещения Сайта пользователями, посещенные страницы и сайты, на которых были пользователи до перехода на данный сайт. Яндекс.Метрика собирает только IP-адреса, назначенные пользователю в день посещения данного сайта, но не имя или другие идентификационные сведения.

6. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Компания осуществляет обработку персональных данных субъектов посредством совершения любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, включая следующие:

• сбор;
• запись;
• систематизация;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передача (предоставление);
• обезличивание;
• блокирование;
• удаление;
• уничтожение.

6.2. Компания получает персональные данные:

1. путем личной передачи субъектом персональных данных при внесении данных на Сайте;
2. путем личной передачи субъектом в рамках гражданско-правовых отношений;
3. от третьих лиц (клиентов, контрагентов);
4. из общедоступных источников.

6.3. Получение Компанией персональных данных от третьих лиц, а равно поручение обработки персональных данных третьим лицам осуществляется на основании договора, содержащего условия порядка обработки и сохранения конфиденциальности полученных персональных данных.

6.4. В случае, если Компания поручает обработку персональных данных третьим лицам, не являющимся его сотрудниками, при заключении соответствующих договоров должно быть предусмотрено, что третьи лица обязуются соблюдать требования ФЗ «О персональных данных» и данной Политики. Компания передает персональные данные для обработки третьим лицам только после момента подписания с ними соответствующих договоров.

6.5. В целях собственного информационного обеспечения Компания может создавать общедоступные источники персональных данных, в том числе справочники и адресные книги, в которые персональные данные могут включаться только после проверки их подлинности и только с письменного согласия соответствующего субъекта. Персональные данные должны быть исключены из общедоступных источников Компании в течение трех рабочих дней после получения требования соответствующего субъекта, либо решения суда, либо требования иных уполномоченных государственных органов.

6.6. Хранение персональных данных, цели обработки которых различны, осуществляется раздельно в рамках информационной системы или, при условии хранения на материальных носителях, в рамках структуры дел соответствующего подразделения Компании.

6.7. Сотрудник Компании, имеющий доступ к персональным данным в связи с исполнением трудовых обязанностей, обеспечивает исключение доступа к персональным данным других лиц.

6.8. Обработка персональных данных прекращается в связи с:

1. достижением цели обработки персональных данных или утратой необходимости в достижении цели обработки персональных данных – в течение тридцати календарных дней, если иное не предусмотрено договором;
2. отзывом согласия субъектом персональных данных – в течение трех рабочих дней после достижения цели обработки персональных данных или утратой необходимости в достижении цели обработки персональных данных;
3. истечением срока действия согласия субъекта персональных данных – в течение десяти рабочих дней;
4. выявлением неправомерной обработки персональных данных – в течение трех рабочих дней с даты выявления;
5. невозможностью обеспечения правомерной обработки персональных данных – в течение десяти рабочих дней.

6.9. После окончания обработки персональных данных они подлежат уничтожению либо обезличиванию.

6.10. Не допускается хранение персональных данных в Cookies. Содержащаяся в Cookies информация может использоваться исключительно при осуществлении целей, предусмотренных п.2.1.6.

6.11. Сведения, полученные через Яндекс Метрику, используются только для совершенствования услуг на данном Сайте. Компания не объединяет сведения, полученные через Яндекс Метрику с персональными сведениями.

7. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Безопасность персональных данных, обработка которых осуществляется Компанией, обеспечивается посредством применения правовых, организационных, технических и программных мер, необходимых и достаточных для соблюдения требований действующего законодательства Российской Федерации о персональных данных.

7.2. Перечень конкретных мер, принимаемых Компанией в целях обеспечения безопасности персональных данных, определяется Компанией самостоятельно и может включать в себя, в частности:

• ограничение состава работников Компании, имеющих доступ к персональным данным;
• назначение ответственных за организацию обработки персональных данных в подразделениях Компании;
• ознакомление сотрудников Компании с требованиями действующего законодательства Российской Федерации о персональных данных и данным Положением;
• реализация разрешительной системы доступа пользователей сайта к информационным ресурсам сайта, содержащим персональные данные;
• регистрация и учет действий пользователей сайта;
• осуществление антивирусного контроля программного обеспечения;
• использование средств защиты информации, отвечающих требованиям действующего законодательства Российской Федерации;
• иные меры, соответствующие требованиям, предъявляемым действующим законодательством Российской Федерации к защите персональных данных.

7.3. Мероприятия по защите персональных данных регламентируются Положениями, Приказами, Инструкциями и другими локальными актами Компании.

8. ЗАПРОСЫ, ОБРАЩЕНИЯ И ПОРЯДОК ИХ ОБРАБОТКИ

8.1. Компания безвозмездно предоставляет возможность ознакомления с персональными данными соответствующему субъекту или его представителю в день личного обращения или ответить на направленный запрос в течение 3 (трех) рабочих дней с момента его получения. В случае предоставления сведений о неполноте, неточности или неактуальности персональных данных соответствующим субъектом или его представителем, Компания обязана внести в них необходимые изменения в течение 3 (трех) рабочих дней. В случае предоставления сведений о незаконном получении или несоответствии заявленной цели обработки персональных данных соответствующим субъектом или его представителем, Компания обязана уничтожить их в течение семи рабочих дней. О внесенных изменениях и предпринятых действиях Компания информирует субъекта персональных данных или его представителя.

8.2. Если обработка персональных данных осуществляется другим лицом, действующим по поручению, Компания организует осуществление необходимых действий, при этом сроки, указанные в п.8.1, увеличиваются на два рабочих дня.

8.3. По запросу уполномоченного органа по защите прав субъектов персональных данных Компания сообщает необходимую информацию в течение тридцати календарных дней с момента получения такого запроса.

9. ПРОЧИЕ ПОЛОЖЕНИЯ

9.1. Данная Политика подлежит изменениям в случаях внесения соответствующих изменений или дополнений в действующее законодательство Российской Федерации о персональных данных, а также может быть изменена в любое время по усмотрению Компании.

9.2. Действующая редакция Политики размещается для просмотра неограниченным кругом лиц на Сайте.

9.3. Все отношения с участием Компании, касающиеся обработки и защиты персональных данных и не получившие непосредственного регулирования в данной Политике, регулируются другими локальными актами Компании и положениями действующего законодательства Российской Федерации о персональных данных.

9.4. Все сотрудники Компании, допущенные к работе с персональными данными, должны быть ознакомлены с данной Политикой до начала работы с персональными данными.