Политика обработки персональных данных

Дата вступления в силу: 20.05.2025 г.

1. Общие положения

Настоящая политика обработки персональных данных (далее — Политика) действует в отношении персональных данных, которые ИП Орехов А. А. (далее — Оператор) может получить в процессе взаимодействия с субъектами персональных данных.

Под «взаимодействием» понимается любые действия и формальности, в результате которых персональные данные были получены Оператором.

Оператор уделяет большое внимание охране персональных данных и обязуется сохранять их конфиденциальность.

Настоящая политика содержит базовые принципы и правила сбора, хранения и обработки ваших персональных данных.

2. Основные понятия, используемые в Политике

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, в том числе Оператор.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:

• сбор;
• запись;
• систематизацию;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение.

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Неавтоматизированная обработка персональных данных — обработка персональных данных без использования средств вычислительной техники.

Смешанная обработка персональных данных — обработка персональных данных как с использованием средств вычислительной техники, так и без них.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

3. Персональные данные

Персональные данные — это информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу субъекту персональных данных.

Категории персональных данных:

• Основные: фамилия, имя, отчество, год, месяц, дата рождения и т.д.
• Специальные: расовая принадлежность, национальная принадлежность, политические взгляды и т.д.
• Биометрические ПД: сведения, которые характеризуют физиологические особенности человека.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни Оператором не осуществляется.

Трансграничная передача данных Оператором не осуществляется.

Обработка биометрических персональных данных и специальных категорий персональных данных допускается только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.

Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется на основании отдельного согласия субъекта персональных данных на распространение с соблюдением установленных субъектом персональных данных запретов и условий на обработку персональных данных.

4. Категории субъектов персональных данных и перечень персональных данных

Представители/работники юридических лиц (контрагентов) Оператора.

Перечень обрабатываемых персональных данных: фамилия, имя, отчество, номер телефона, адрес электронной почты, должность.

Цель обработки: заключения, исполнения договора, стороной которого является юридическое лицо (контрагент Общества); учет мнения контрагентов о качестве выполненных работ, в том числе публикация отзывов на сайте Оператора и в рекламных материалах (при наличии согласия).

5. Цели обработки персональных данных

Оператор осуществляет обработку персональных данных с целью:

• Обеспечение внешних коммуникаций с контрагентами (заключение, изменение, ведение, расторжение договоров и т.д.), в том числе по договорам гражданско-правового характера.
• Обработка обращений с сайта Оператора.
• Заключение и исполнение договоров.
• Анализ поведения пользователей на сайте и улучшение качества обслуживания.
• Публикация отзывов контрагентов о выполненных работах (услугах) в маркетинговых целях.

6. Действия, осуществляемые с персональными данными

Оператор осуществляет следующие действия с полученными персональными данными:

• сбор — целенаправленные действия оператора по получению персональных данных непосредственно от субъекта персональных данных или его представителя;
• запись — ввод персональных данных в ЭВМ и (или) фиксация персональных данных на материальном носителе;
• систематизация — действия, направленные на объединение и расположение персональных данных в определенной последовательности;
• хранение — действия, направленные на неизменность состояния материального носителя персональных данных;
• уточнение — действия, направленные на поддержание актуальности и достоверности персональных данных;
• уничтожение — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• удаление — изъятие персональных данных из информационных систем с сохранением последующей возможности их восстановления;
• использование — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
• передача (предоставление) — действия, направленные на передачу персональных данных определенному кругу лиц;
• блокирование — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

7. Срок обработки персональных данных

Сроки обработки (хранения) персональных данных определяются:

• в соответствии со сроком действия договора с субъектом персональных данных;
• сроком, установленным в соответствующем согласии субъекта персональных данных;
• в соответствии с Перечнем типовых управленческих архивных документов, утвержденным Приказом Росархива от 20.12.2019 № 236;
• сроками исковой давности;
• иными сроками, установленными законодательством РФ и нормативными документами Оператора.

После достижения целей обработки, сведения передаются на архивное хранение или уничтожаются в соответствии с законодательством РФ.

8. Передача персональных данных третьим лицам

Оператор не передает персональные данные третьим лицам без вашего согласия, если иное не предусмотрено законом.

Обращаем внимание, что в соответствии с действующим законодательством в области охраны персональных данных, Оператор вправе передать персональные данные в случаях запросов правоохранительных, судебных и контролирующих органов.

9. Условия обработки персональных данных

Обработка персональных данных осуществляется:

• с согласия субъекта персональных данных на обработку его персональных данных;
• в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;
• в случаях, когда обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных;
• обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• в случаях, когда субъект персональных данных предоставляет доступ к своим персональным данным неограниченному кругу лиц;
• в иных случаях, предусмотренных законодательством Российской Федерации.

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Поручение должно содержать перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные ч. 5 с. 18 и ст. 18.1 ФЗ «О персональных данных», обязанность по запросу Оператора персональных данных в течение срока действия поручения Оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 ФЗ «О персональных данных», в том числе требование об уведомлении Оператора о случаях, предусмотренных ч. 3.1 ст. 21 ФЗ «О персональных данных».

Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

10. Способы обработки персональных данных

Оператор осуществляет обработку персональных данных следующими способами:

• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных;
• смешанная обработка персональных данных.

10.1. Автоматизированная обработка персональных данных

Автоматизированная обработка персональных данных производится с помощью средств вычислительной техники, как установленных локально, так и объединенных в информационных системах. Доступ к информационным системам персональных данных предоставляется уполномоченным работникам только для исполнения ими своих функций и должностных обязанностей. При автоматизированной обработке, Персональных данных содержатся на машинных носителях Персональных данных. Фиксация Персональных данных на машинном носителе производится с использованием средств вычислительной техники (копирование Персональных данных на любой съемный или несъемный машинный носитель, ввод Персональных данных в базу данных и т.п.).

10.2. Неавтоматизированная обработка персональных данных

Неавтоматизированная обработка персональных данных осуществляется Оператором таким образом, чтобы персональные данные обособлялись от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков) и иным способом. При неавтоматизированной обработка персональных данных, предполагающей использование типовых форм документов, характер информации в которых предполагает или допускает включение в них Персональных данных (далее — типовая форма), обеспечивает выполнение следующих условий:

• типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать:
  • сведения о цели обработки Персональных данных, осуществляемой без использования средств автоматизации;
  • реквизиты Оператора (наименование и адрес);
  • фамилию, имя, отчество (при наличии) и адрес субъекта Персональных данных;
  • источник получения Персональных данных, сроки обработки Персональных данных;
  • перечень действий с Персональных данных, которые будут совершаться в процессе их обработки;
  • общее описание используемых оператором способов обработки Персональных данных;
• типовая форма должна предусматривать поле, в котором субъект Персональных данных может поставить отметку о своем согласии на обработку Персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку Персональных данных;
• типовая форма должна быть составлена таким образом, чтобы каждый из субъектов Персональных данных, содержащихся в документе, имел возможность ознакомиться со своими Персональных данных, содержащимися в документе, не нарушая прав и законных интересов иных субъектов Персональных данных;
• типовая форма должна исключать объединение полей, предназначенных для внесения Персональных данных, цели обработки которых заведомо не совместимы.

Оператор обеспечивает информирование лиц, осуществляющих обработку Персональных данных без использования средств автоматизации о факте обработки ими Персональных данных, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых Персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации.

При сохранении Персональных данных на материальных носителях (в т.ч. машинных носителях) не допускается сохранение на одном материальном носителе Персональных данных, цели обработки которых заведомо не совместимы. При несовместимости целей обработки Персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку Персональных данных отдельно от других зафиксированных на том же носителе Персональных данных, должны быть приняты меры по обеспечению раздельной обработки Персональных данных. Для обработки различных категорий Персональных данных, осуществляемой без использования средств автоматизации, для каждой категории Персональных данных следует использоваться отдельный материальный носитель.

10.3. Смешанная обработка персональных данных

Под смешанной обработкой персональных данных понимается обработка персональных данных как с использованием автоматизированных средств, так и без применения средств автоматизации.

11. Права и обязанности субъекта персональных данных

11.1. Права субъекта персональных данных:

• получать информацию, касающуюся обработки его персональных данных, в порядке, форме и в сроки, установленные законодательством Российской Федерации в сфере персональных данных;
• требовать уточнения своих персональных данных, их блокирования или уничтожения, в случае, если персональных данных являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении субъектом персональных данных согласия на обработку персональных данных;
• требовать прекращения обработки своих персональных данных;
• принимать предусмотренные законом меры по защите своих прав;
• отозвать свое согласие на обработку персональных данных.

Субъект персональных данных может реализовать свои права на получение информации, касающейся обработки его персональных данных, и на ознакомление с персональными данными, принадлежащими субъекту, обрабатываемыми Оператором путем направления запроса в форме электронного документа по адресу: hi@nut-s.ru.

В соответствии с ч. 3 ст. 14 Федерального закона от 27 июля 2006 г. № 152‑ФЗ «О персональных данных» запрос субъекта персональных данных (или его представителя) должен содержать:

• номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
• подпись субъекта персональных данных или его представителя.

В рамках реализации права на отзыв своего согласия на обработку персональных данных, субъект персональных данных вправе обратиться в адрес Оператора с заявлением об отзыве ранее данного согласия на обработку персональных данных. Также субъект персональных данных вправе обратиться к Оператору с требованием о прекращении обработки персональных данных.

Оператор оставляет за собой право продолжить обработку персональных данных без согласия персональных данных, если такая обработка будет осуществляться при наличии оснований, указанных в пунктах 2‑11 ч. 1 ст. 6, пунктах 2‑10 ч. 2 ст. 10 и ч. 2 с. 11 Закона № 152‑ФЗ.

11.2. Обязанности субъекта персональных данных:

• предоставлять Оператору достоверные данные о себе;
• сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.

12. Обязанности оператора

• предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
• организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;
• отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
• сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 дней с даты получения такого запроса;
• публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных;
• принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
• прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных;
• исполнять иные обязанности, предусмотренные Законом о персональных данных.

13. Хранение персональных данных

Персональные данные субъектов могут быть получены, обработаны и переданы на хранение как на бумажных носителях, так и в электронном виде.

Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

Оператор при осуществлении хранения персональных данных использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных».

Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.

После истечения срока нормативного хранения документов на бумажных носителях, которые содержат персональные данные субъектов, документы подлежат уничтожению. Для этого ответственным сотрудником (или сотрудниками) Оператора производится физическое уничтожение бумажных носителей.

После истечения срока нормативного хранения персональных данных в электронном виде ответственный сотрудник Оператора уничтожает с информационных носителей персональные данные путем стирания или форматирования без возможности восстановления, либо физически уничтожает сами носители, на которых хранится информация.

Факт уничтожения персональных данных как на бумажном носителе, так и в электронном виде подтверждается документально актом об уничтожении.

14. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

14.1. Ознакомление с персональными данными

В случаях, прямо предусмотренных ст. 14 Закона № 152‑ФЗ, Оператор сообщает субъекту Персональных данных или его представителю информацию о наличии Персональных данных, относящихся к соответствующему субъекту Персональных данных, а также предоставляет возможность ознакомления с этими Персональных данных при обращении субъекта Персональных данных или его представителя либо в течение 10 (десяти) рабочих дней с даты получения запроса субъекта Персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней при условии направления Оператором в адрес субъекта Персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

В рамках реализации требования Закона № 152‑ФЗ, Оператор на безвозмездной основе представляет субъекту Персональных данных или его представителю возможность ознакомления с Персональных данных, относящимися к этому субъекту Персональных данных. В срок, не превышающий 7 (семь) рабочих дней со дня предоставления субъектом Персональных данных или его представителем сведений, подтверждающих, что Персональные данные являются неполными, неточными или неактуальными, Оператор вносит в них необходимые изменения. В срок, не превышающий 7 (семь) рабочих дней со дня представления субъектом Персональных данных или его представителем сведений, подтверждающих, что такие Персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор уничтожает такие Персональных данных. При этом Оператор обязуется уведомить субъекта Персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимать разумные меры для уведомления третьих лиц, которым Персональных данных этого субъекта были переданы.

14.2. Проверка персональных данных

В случае выявления неправомерной обработки Персональных данных при обращении/запросе субъекта Персональных данных, его представителя либо уполномоченного органа по защите прав субъектов Персональных данных Оператор обязуется с момента обращения/запроса на период проверки осуществить блокирование неправомерно обрабатываемых Персональных данных, относящихся к этому субъекту Персональных данных, или обеспечить их блокирование (если обработка Персональных данных осуществляется другим лицом, действующим по поручению Оператора). В случае выявления неточных Персональных данных при обращении/запросе субъекта Персональных данных, его представителя либо уполномоченного органа по защите прав субъектов Персональных данных Оператор обязуется осуществить блокирование Персональных данных, относящихся к этому субъекту Персональных данных, или обеспечить их блокирование (если обработка Персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения/запроса на период проверки, если блокирование Персональных данных не нарушает права и законные интересы субъекта Персональных данных или третьих лиц. В случае подтверждения факта неточности Персональных данных, Оператор на основании сведений, представленных субъектом Персональных данных, его представителем либо уполномоченным органом по защите прав субъектов Персональных данных, обязуется уточнить Персональных данных либо обеспечить их уточнение (если обработка Персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование Персональных данных.

14.3. Прекращение обработки персональных данных

Оператор также прекращает обработку Персональных данных или обеспечивает прекращение обработки Персональных данных лицом, действующим по его поручению:

• в случае выявления неправомерной обработки Персональных данных, осуществляемой Оператором или лицом, действующим по его поручению, в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления;
• в случае отзыва субъектом Персональных данных согласия на обработку его Персональных данных Оператором, при отсутствии иных правовых оснований обработки Персональных данных;
• в случае получения требования субъекта Персональных данных о прекращении обработки его Персональных данных и при отсутствии иных правовых оснований обработки Персональных данных, в срок не превышающий 10 (десяти) рабочих дней с даты получения Оператором такого требования. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес субъекта Персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;
• в случае достижения цели обработки Персональных данных, при отсутствии иных правовых оснований обработки Персональных данных.

14.4. Уничтожение персональных данных

Оператор обязан уничтожить Персональные данные или обеспечить их уничтожение, если обработка Персональных данных осуществляется другим лицом, действующим по поручению Оператора:

• в случае отзыва субъектом Персональных данных согласия на обработку его Персональных данных Оператором в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзывы, если иной срок не установлен договором, иным соглашением, федеральным законодательством и при отсутствии иных правовых оснований обработки Персональных данных;
• в случае достижения цели обработки Персональных данных, в срок, не превышающий 30 (тридцати) дней с даты достижения цели, если иной срок не установлен договором, иным соглашением, федеральным законодательством и при отсутствии иных правовых оснований обработки Персональных данных;
• в случае представления субъектом Персональных данных, его представителем сведений, подтверждающих, что такие Персональных данных являются незаконно полученными или не являются необходимыми для заявленной цели обработки, в срок, не превышающий 7 (семи) рабочих дней со дня представления таких сведений;
• в случае, если невозможно обеспечить правомерность обработки Персональных данных, в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки Персональных данных.

В случае отсутствия возможности уничтожения Персональных данных в течение указанного срока, Оператор осуществляет блокирование таких Персональных данных или обеспечивает их блокирование, если обработка Персональных данных осуществляется другим лицом, действующим по поручению Оператора, и обеспечивает уничтожение Персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.

15. Правовые основания обработки персональных данных

Политика обработки персональных данных Оператора определяется следующими нормативно-правовыми актами:

• Федеральный закон от 27 июля 2006 г. № 152‑ФЗ «О персональных данных».
• «Трудовой кодекс Российской Федерации» от 30.12.2001 N 197‑ФЗ.
• Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
• Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
• Иные нормативно-правовые акты РФ, обязательные для Оператора.
• Локальные нормативные акты Оператора, регулирующие вопросы, касающиеся обработки персональных данных.