Политика защиты и обработки персональных данных размещена в информационно-телекоммуникационной сети Интернет на сайте stratagro.ru

1. Общие положения
1.1. Политика индивидуального предпринимателя Леонова Дениса Владимировича в отношении обработки персональных данных (далее — «политика») разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика действует в отношении всех персональных данных, которые обрабатывает индивидуальный предприниматель Леонов Денис Владимирович (далее — «оператор»).
1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у оператора как до, так и после утверждения политики.
1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на принадлежащем оператору сайте в информационно-телекоммуникационной сети Интернет, с использованием которого осуществляется сбор персональных данных.
1.5. Ответственным за организацию обработки персональных данных назначен индивидуальный предприниматель Леонов Денис Владимирович (email: info@stratagro.ru; тел.: +7 (995) 118-98-02).

2. Общие условия обработки персональных данных
2.1. Обработка персональных данных осуществляется оператором в соответствии с требованиями законодательства Российской Федерации.
2.2. К обработке персональных данных допускаются работники оператора, в должностные обязанности которых входит обработка персональных данных.
2.3. Обработка персональных данных осуществляется путем:
1) получения персональных данных у субъекта и/или из иных источников при наличии законного основания, предусмотренного ст. 6 Закона о персональных данных;
2) внесения персональных данных в журналы, реестры и информационные системы оператора;
3) использования иных способов обработки персональных данных.
2.4. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2.5. Передача персональных данных уполномоченным органам исполнительной власти и организациям осуществляется в соответствии с требованиями законодательства Российской Федерации.

3. Цели обработки персональных данных
3.1. Политика устанавливает цели обработки персональных данных:
1) обеспечение соблюдения законодательства Российской Федерации;
2) ведение кадрового делопроизводства;
3) содействие работникам в трудоустройстве, получении образования и продвижении по работе, обеспечение личной безопасности работников, контроля количества и качества выполняемой работы, обеспечение сохранности имущества;
4) привлечение и отбор кандидатов на вакантную должность у оператора;
5) организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
6) заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
7) осуществление гражданско-правовых отношений;
8) ведение бухгалтерского учета.
3.2. Обработка персональных данных, несовместимая с целями, не допускается.
3.3. В соответствии с п. 2 ч. 1 ст. 18.1 Закона о персональных данных политика определяет для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.
3.3.1. Перечень персональных данных пользователя, которые обрабатывает оператор:
1) фамилия;
2) имя;
3) отчество;
4) электронный адрес;
5) номера телефонов;
6) год, месяц, дата и место рождения;
7) фотографии;
8) место работы, должность.
3.3.2. В соответствии с п. 3.1 физические лица предоставляют свои персональные данные, указанные в пункте 3.3.1, в соответствии с основаниями, предусмотренными ст. 6 Закона о персональных данных.

4. Категории и перечень обрабатываемых персональных данных
4.1. Категории и перечень персональных данных, обрабатываемых в целях, указанных в ч.ч. 1, 5, 6 п. 3.1. определяются соответствующими нормативно-правовыми актами Российской Федерации.
4.2. Категории и перечень персональных данных, обрабатываемых в целях, указанных в ч.ч. 2, 8 п. 3.1. определяются с учетом законодательства Российской Федерации (ТК РФ, Федерального закона «О бухгалтерском учете» от 06.12.2011 № 402-ФЗ, стандартов делопроизводства и др.). Перечень персональных данных не может включать биометрические персональные данные сотрудников, а также их специальные персональные данные, за исключением тех, обработка которых разрешена Законом об обработке персональных данных и иными нормативно-правовыми актами Российской Федерации.
4.3. Категории и перечень персональных данных, обрабатываемых в целях, указанных в ч.ч. 3, 4, 7 п. 3.1. включают в себя персональные данные, на обработку которых у субъектов персональных данных в установленной законом форме получено согласие, за исключением тех случаев, когда последнее не требуется в соответствии с законодательством Российской Федерации.

5. Категории субъектов обрабатываемых персональных данных
5.1. Персональные данные, обрабатываемые в целях, указанных в ч. 4 п. 3.1. могут быть получены у субъектов персональных данных, являющихся кандидатами на вакантную должность у оператора.
5.2. Персональные данные, обрабатываемые в целях, указанных в ч.ч. 2, 3, 5, 8 п. 3.1. могут быть получены у субъектов персональных данных, состоящих с оператором в трудовых отношениях, в т. ч. у уволившихся работников.
5.3. Персональные данные, обрабатываемые в целях, указанных в ч.ч. 1, 6, 7 п. 3.1. могут быть получены у субъектов персональных данных, являющихся кандидатами на вакантную должность у оператора, состоящих в трудовых отношениях с оператором, в т. ч. у уволившихся работников, а также у физических лиц, состоящих с оператором в гражданско-правовых отношениях.

6. Способы и сроки обработки и хранения персональных данных, порядок их уничтожения
6.1. Политика устанавливает единые способы и сроки обработки и хранения персональных данных, порядок их уничтожения ко всем персональным данным, получаемым оператором.
6.2. Персональные данные могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
6.3. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку всех полученных персональных данных.
6.4. При сборе персональных данных, в том числе посредством информационной телекоммуникационной сети Интернет, оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
6.5. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
6.6. Персональные данные, обрабатываемые с использованием средств автоматизации во всех целях, хранятся в разных папках.
6.7. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменных сервисах) в информационных системах, содержащих персональные данные.
6.8. Оператор осуществляет хранение всех персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше сроков, установленных Перечнем типовых управленческих архивных документов, утв. приказом Росархива № 236 от 20.12.2019.
6.9. Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
6.10. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
6.11. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей.
6.12. При выявлении нарушения безопасности персональных данных оператор в течение 24 часов направляет первичное уведомление в Роскомнадзор и в течение 72 часов — сведения о результатах внутреннего расследования, в порядке, установленном РКН (Приказ от 14.11.2022 № 187), на основании ст. 22 Закона о персональных данных.

7. Трансграничная передача ПДн
7.1 Оператор не осуществляет трансграничную передачу персональных данных. Используемые информационные системы, хостинг, резервное копирование, корпоративная почта и аналитические сервисы размещены и функционируют на территории Российской Федерации. Лицам, обрабатываемым персональные данные по поручению оператора, договором установлен запрет на трансграничную передачу.

8. Обработка web-идентификаторов
8.1 С целью анализа посещаемости сайта и улучшения пользовательского опыта используются web-индикаторы (IP, cookie и т. д.) для сбора данных о посещенных страницах, времени нахождения на сайте, действиях на странице, IP-адресе, типе устройства и браузере. Эти данные хранятся в течение 1 года и обрабатываются для сбор информации о действиях посетителей на сайте, улучшение качества сайта. Субъект персональных данных может отказаться от сбора данных с помощью web-индикаторов, изменив настройки своего браузера или отключив cookie.

9. Защита персональных данных
9.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
1) определяет угрозы безопасности персональных данных при их обработке;
2) принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
3) создает необходимые условия для работы с персональными данными;
4) организует учет документов, содержащих персональные данные;
5) организует работу с информационными системами, в которых обрабатываются персональные данные;
6) хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним, а также соблюдаются требования ч. 5 ст. 18 Закона о персональных данных, в том числе обязательное хранение персональных данных граждан Российской Федерации в базах данных, находящихся на территории Российской Федерации;
7) организует обучение работников оператора, осуществляющих обработку персональных данных;
8) классификация ИСПДн проведена, уровень защищенности определен в соответствии с Постановлением Правительства Р Ф № 1119. Реализован набор мер по Приказу ФСТЭК № 21 (включая идентификацию и аутентификацию, управление доступом, регистрацию событий безопасности, антивирусную защиту, контроль уязвимостей, обеспечение целостности и доступности, реагирование на инциденты, защиту каналов связи). Оценка эффективности реализованных мер проводится не реже одного раза в 3 года (п. 6 Приказа № 21). При необходимости применяются сертифицированные средства защиты информации.

10. Основные права субъектов персональных данных и обязанности оператора персональных данных
10.1. Субъект персональных данных имеет право:
10.1.1. на доступ к его персональным данным и следующим сведениям:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании законодательства РФ;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством РФ;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
8) информацию о правовых, организационных и технических мерах по обеспечению безопасности персональных данных, реализация которых является обязанностью оператора в соответствии со ст. 18.1 Закона о персональных данных.
10.1.2. направлять запросы и обращения оператору, в т. ч. в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации. При этом, если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ;
10.1.3. обжаловать действия и бездействия оператора;
10.1.4. в письменном виде отозвать согласие на обработку его персональных данных или потребовать прекращения обработки персональных данных.
10.2. Право субъекта персональных данных, указанное в п. 10.1.1 может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
10.3. Оператор персональных данных обязан:
1) исполнять законодательство Российской Федерации при обработке, хранении, защите, уничтожении, обезличивании персональных данных и других действиях, допустимых Законом о персональных данных;
2) принимать в целях исполнения ч. 1 п. 10.3. необходимые правовые, организационные и технические меры;
3) давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных не позднее 10 рабочих дней со дня поступления запроса в соответствии с требованиями, установленными Законом о персональных данных и иными нормативно-правовыми актами РФ, а также исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных.

11. Заключительные положения
11.1. Ответственность за нарушение требований законодательства Российской Федерации и иных нормативных актов в области персональных данных определяется в соответствии с законодательством Российской Федерации.
11.2. Политика вступает в силу с момента утверждения и действует бессрочно до принятия новой политики.
11.3. Все изменения и дополнения к политике должны быть утверждены в порядке принятия политики.