Приложение № 1

к Приказу № 6

от 23.09.2025 года

Политика обработки и защите персональных данных

  1. Общие положения

1.1.             Настоящая Политика является локальным нормативным актом ООО «ФЛАВИО» (далее – Организация), принятым с учетом требований, в частности, гл. 14 Трудового кодекса РФ, Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных).

1.2.             В Политике устанавливаются:

  • цель, порядок и условия обработки персональных данных;
  • категории субъектов, персональные данные которых обрабатываются, категории (перечни) обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований;
  • положения, касающиеся защиты персональных данных, процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в области персональных данных, на устранение последствий таких нарушений.

1.3.             В Политике используются термины и определения в соответствии с их значениями, определенными в Законе о персональных данных.

1.4.             Политика вступает в силу с момента его утверждения управляющим и действует до его отмены приказом Организации или до введения новой Политики.

1.5.             Внесение изменений в Политику производится приказом Организации. Изменения вступают в силу с момента подписания соответствующего приказа.

  1. Категории субъектов персональных данных

2.1.             К субъектам, персональные данные которых обрабатываются у Организации в соответствии с Политикой, относятся:

  • кандидаты для приема на работу в Организацию, кандидаты в исполнители по гражданско-правовым договорам;
  • исполнители по гражданско-правовым договорам;
  • контрагенты и клиенты Организации;
  • иные лица, персональные данные которых Организация обязан обрабатывать в соответствии с трудовым законодательством и иными актами, содержащими нормы трудового права.
  1. Цели обработки персональных данных, категории (перечни) обрабатываемых персональных данных

3.1.             Согласно Политике, персональные данные обрабатываются включая, но не ограничиваясь в следующих целях:

  • заключения и исполнения договоров на возмездное оказание услуг клиентам;
  • соблюдения требований законодательства (передача данных в государственные органы);
  • содействия в трудоустройстве;
  • ведения бухгалтерского учета;
  • заполнения и передаче в уполномоченные органы требуемых форм отчетности;
  • осуществления контроля за количеством и качеством выполняемой работы.

3.2.             В соответствии с целью, указанной в п. 3.1 Политики, у Организации обрабатываются следующие персональные данные:

  • фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения);
  • дата (число, месяц, год) и место рождения;
  • сведения о гражданстве;
  • вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
  • страховой номер индивидуального лицевого счета (СНИЛС);
  • идентификационный номер налогоплательщика (ИНН);
  • адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
  • номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
  • номера расчетного счета, банковской карты;
  • иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует цели обработки, предусмотренной п. 3.1 Политики;
  • фотографии (в т.ч. для соблюдения пропускного режима), видеозаписей в связи с исполнением обязательств);
  • иные персональные данные, которые субъект пожелал сообщить о себе, и обработка которых соответствует цели обработки, предусмотренной п. 3.1 Политики.
  • На сайте https://флавио.рф/ https://flaviosale.ru/ Организацией могут обрабатываться следующие персональные данные: IP-адрес; данные о местоположении; файлы cookie; информация об используемом браузере; данные об используемом устройстве; данные о посещениях сайта.

3.3.             Организация не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

  1. Порядок и условия обработки персональных данных

4.1.             До начала обработки персональных данных Организация обязана уведомить Роскомнадзор о намерении осуществлять обработку персональных данных.

4.2.             Правовым основанием обработки персональных данных являются Трудовой кодекс РФ, иные нормативные правовые акты, содержащие нормы трудового права, Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете», Постановление Правительства РФ от 27.11.2006 N 719 «Об утверждении Положения о воинском учете».

4.3.             Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящей Политикой.

4.4.             Обработка персональных данных в Организации выполняется следующими способами:

  • неавтоматизированная обработка персональных данных;
  • автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
  • смешанная обработка персональных данных.

4.5.             Обработка персональных данных в Организации осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.

4.5.1.       Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных.

Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Роскомнадзора.

4.5.2.       Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных. Исключение составляют ситуации, предусмотренные ч. 2 ст. 11 Закона о персональных данных.

4.6.             Организация не осуществляет трансграничную передачу персональных данных.

4.7.             Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.

4.7.1.       Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных у Организации осуществляются посредством:

  • получения оригиналов документов либо их копий;
  • копирования оригиналов документов;
  • внесения сведений в учетные формы на бумажных и электронных носителях;
  • создания документов, содержащих персональные данные, на бумажных и электронных носителях;
  • внесения персональных данных в информационные системы персональных данных.

4.7.2.       У Организации используются следующие информационные системы: «Контур Диадок», «Сбис», «1С предприятие: бухгалтерия предприятия».

4.8.             Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Политикой.

  1. Сроки обработки и хранения персональных данных

5.1.             Обработка персональных данных Организацией прекращается в следующих случаях:

  • при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки — в течение трех рабочих дней с даты выявления такого факта;
  • при достижении целей их обработки (за некоторыми исключениями);
  • по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
  • при обращении субъекта персональных данных в Организацию с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки — не более 10 рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).

5.2.             Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение — случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем, по которому) является субъект персональных данных.

5.3.             Персональные данные на бумажных носителях хранятся в Организации в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).

5.4.             Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

  1. Порядок блокирования и уничтожения персональных данных

6.1.             Организация блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.

6.2.             При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.

6.3.             Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.

6.4.             Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления факта неправомерной обработки.

6.5.             Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем, по которому) является субъект персональных данных, иным соглашением между ним и Организацией либо если Организация не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.

6.6.             Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем, по которому) является субъект персональных данных, иное соглашение между ним и Организацией. Кроме того, персональные данные уничтожаются в указанный срок, если Организация не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

6.7.             Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляет лицо, обрабатывающее персональные данные.

6.8.             Уничтожение персональных данных Организация осуществляет с составлением акта с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.

6.9.             Персональные данные на бумажных носителях уничтожаются с использованием шредера или путем сжигания с соблюдением обязательных мер и правил пожарной безопасности. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.

6.10.         Подтверждение уничтожения персональных данных отражается согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 N 179, а именно:

  • актом об уничтожении персональных данных — если данные обрабатываются без использования средств автоматизации;
  • актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных — если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.

Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.

Формы акта и выгрузки из журнала с учетом сведений, которые должны содержаться в указанных документах, утверждаются приказом Организации.

После составления акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных Организация или уполномоченное им лицо осуществляет последующее хранение акта об уничтожении персональных данных и выгрузки из журнала. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.

Уничтожение персональных данных, не указанных в Политике, подтверждается актом, который оформляется непосредственно после уничтожения таких данных. Форма акта утверждается приказом.

  1. Защита персональных данных. Процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений

7.1.             Без письменного согласия субъекта персональных данных Организация не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.

Запрещено раскрывать и распространять персональные данные субъектов персональных данных по телефону.

7.2.             С целью защиты персональных данных приказами Организации утверждаются:

  • форма согласия на обработку персональных данных, форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
  • порядок защиты персональных данных при их обработке в информационных системах персональных данных;
  • иные формы и локальные нормативные акты, принятые в соответствии с требованиями законодательства в области персональных данных.

7.3.             Исполнители, которые производят обработку персональных данных по договорам гражданско-правового характера, допускаются к ней после подписания обязательства об их неразглашении.

7.4.             Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ.

7.5.             Доступ к персональной информации, содержащейся в информационных системах Организации, осуществляется по индивидуальным паролям.

7.6.             У Организации используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

7.7.             У Организации проводятся внутренние расследования в следующих ситуациях:

  • при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
  • в иных случаях, предусмотренных законодательством в области персональных данных.

7.8.             Организация / лицо, ответственное за организацию обработки персональных данных, осуществляет внутренний контроль: за соблюдением исполнителями уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов; соответствием указанных актов требованиям законодательства в области персональных данных.

7.9.             Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее — инцидент).

В случае инцидента Организация в течение 24 часов уведомляет Роскомнадзор:

  • об инциденте;
  • его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;
  • принятых мерах по устранению последствий инцидента;
  • представителе Организации, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.

В течение 72 часов Организация обязан сделать следующее:

  • уведомить Роскомнадзор о результатах внутреннего расследования;
  • предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).

При направлении уведомлений также необходимо руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, действующими на дату выявления инцидента.

7.10.         В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней. Организация уведомляет в письменном виде субъекта персональных данных (его представителя) о внесенных изменениях и сообщает (по электронной почте) о них третьим лицам, которым были переданы персональные данные.

7.11.         Организация уведомляет субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных. Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос.

В случае уничтожения персональных данных, которые обрабатывались неправомерно, уведомление направляется в соответствии с настоящей Политикой.

В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Организация уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде. Организация уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.

 

  1. Ответственность за нарушение норм, регулирующих обработку персональных данных

8.1.             Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном федеральными законами.

8.2.             Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.