1.




Общие положения
1.1. Политика обработки персональных данных в ООО «Бэйкхаус» (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в ООО «Бэйкхаус» (далее – Оператор или Компания) персональных данных, функции при обработке персональных данных, права субъектов персональных данных, а также реализуемые Оператором требования к защите персональных данных.
1.2. Политика разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.
1.3. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных работников Оператора и других субъектов персональных данных.
1.4. Во исполнение требований ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ) Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора https://bakehouse.family.
1.5 В Политике используются следующие понятия:

• персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
• оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования;
• автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
• распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

2.




Права и обязанности Оператора персональных данных
2.1 Оператор имеет право:

• получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
• в случае отзыва субъектом персональных данных согласия на обработку персональных данных, а также, направления обращения с требованием о прекращении обработки персональных данных, Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе № 152-ФЗ;
• самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Федеральным законом № 152-ФЗ или другими федеральными законами.

2.2 Оператор обязан:

• предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
• организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;
• отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Федерального закона № 152-ФЗ;
• сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 дней с даты получения такого запроса;
• публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных;
• принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
• прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Федеральным законом № 152-ФЗ;
• исполнять иные обязанности, предусмотренные Федеральным законом № 152-ФЗ о персональных данных.

3.





Основные права субъекта персональных данных
3.1 Субъекты персональных данных имеют право на:

• информацию, касающуюся обработки Оператором их персональных данных, в том числе:

- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- обрабатываемые персональные денные, относящиеся к субъекту персональных данных, источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
иные сведения, предусмотренные требованиями законодательства Российской Федерации.

• доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации;
• уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отзыв согласия на обработку персональных данных;
• принятие предусмотренных законом мер по защите своих прав;
• обжалование действия или бездействия Оператора, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
• осуществление иных прав, предусмотренных законодательством Российской Федерации.

4.




Цели сбора персональных данных
4.1 Обработка персональных данных осуществляется Оператором на законной и справедливой основе. Содержание и объем обрабатываемых персональных данных определяются исходя из целей обработки. Не обрабатываются персональные данные, избыточные или несовместимые по отношению к следующим основным целям:

• заключение трудовых отношений с физическими лицами, подбор персонала;
• заключение, продление договорных отношений с контрагентами;
• ведение кадрового и бухгалтерского учета;
• осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Компанию, в том числе по предоставлению персональных данных в органы государственной власти, в Федеральную Налоговую Службу, в Социальный фонд Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы.

4.2 В случаях обработки персональных данных, не предусмотренных действующим законодательством или договором с субъектом явно, такая обработка осуществляется после получения согласия субъекта персональных данных.
4.3 Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется Оператором на основании полученного согласия субъекта персональных данных на обработку его персональных данных.

5.




Объем и категории обрабатываемых ПДн субъектов ПДн
5.1 К категориям субъектов персональных данных, чьи данные обрабатываются ООО «Бэйкхаус» относятся:

• физические лица, состоящие или состоявшие в трудовых и гражданско-правовых отношениях, их ближайшие родственники;
• лица, являющиеся контрагентами, либо представителями контрагентов Оператора.

5.2 Для указанных категорий субъектов могут обрабатываться в соответствии с целями обработки:

• личная информация (фамилия, имя, отчество; пол; год, месяц, дата рождения; место рождения, гражданство);
• контактная информация (почтовый адрес, номера телефонов, адреса электронной почты; адреса регистрации и фактического проживания);
• сведения о документах, удостоверяющих личность; водительском удостоверении; сведения о идентификационных номерах субъекта в государственных системах учета (например, ИНН, СНИЛС и др.);
• профессиональная деятельность (должность);
• сведения о семье (семейное положение; состав семьи; законные представители, ближайшие родственники);
• финансовое состояние; платежные реквизиты; доходы; сведения о налоговых и иных отчислениях в государственные фонды; сведения о начислениях и удержаниях денежных средств, вознаграждений в иной форме; сведения о совершенных покупках, заказах товаров и услуг; сведения о платежах;
• сведения о воинском учете; сведения о миграционном учете;
• иные сведения, предусмотренные типовыми формами, установленным порядком и целями обработки.

6.




Правовые основания обработки ПДн
6.1 Правовыми основаниями, на основе которых Оператор осуществляет обработку персональных данных, являются:

• Трудовой кодекс Российской Федерации;
• Гражданский кодекс Российский Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 01.04.1996 № 27ФЗ «Об индивидуальном (персонифицирован-ном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
• Устав ООО «Бэйкхаус»;
• Договоры и соглашения ООО «Бэйкхаус»;
• Согласия субъектов персональных данных на обработку их персональных данных
• Согласия субъектов персональных данных на распространения из персональных данных неограниченному кругу лиц.

7.




Порядок и условия обработки ПДн
7.1 Оператор получает персональные данные непосредственно от субъектов персональным данных. Общество вправе получать персональные данные от третьих лиц только при наличии письменного согласия субъекта персональных данных или в иных случаях, прямо предусмотренных в законодательстве.
7.2 Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление и уничтожение персональных данных.
7.3 Обработка персональных данных ведется смешанным способом: с использованием средств автоматизации и без.
7.4 При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. Не допускается объединение баз персональных данных, относящихся к разным целям обработки. При обнаружении неточных или неполных персональных данных может производиться их уточнение и актуализация.
7.5 Оператор поручает обработку персональных данных бухгалтерского учета сторонней организации — ИП Яшину Сергею Сергеевичу ИНН 772864172530 — на основании договора об оказании бухгалтерских услуг. Указанное лицо обязано соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке. Оператор несет ответственность перед субъектами персональных данных за действия указанного лица.
7.6 Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или соглашением с субъектом персональных данных не установлен соответствующий срок хранения.
7.7 Срок, в течение которого Оператор будет обрабатывать персональные данные субъекта, указываются в документе о согласии субъекта персональные данные на обработку его персональных данных в отношении каждой цели обработки персональных данных.

8.




Меры, принимаемые Оператором для обеспечения защиты персональных данных
8.1 В соответствии со статьями 18.1 и 19 Федерального закона № 152-ФЗ Оператор принимает следующие меры для обеспечения конфиденциальности обрабатываемых персональных данных:

• назначение лица, ответственного за организацию обработки персональных данных в ООО «Бэйкхаус»;
• принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных в ООО «Бэйкхаус», в том числе данный документ;
• соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
• обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
• организация обучения работников Оператора, допущенных к работе с персональными данными;
• получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
• обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах;
• обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;
• обеспечение безопасности персональных данных при их передаче по открытым каналам связи;
• разработка модели актуальных угроз безопасности персональных данных при их обработке в информационной системе персональных данных и разработка мер и мероприятий по защите персональных данных;
• установление индивидуальных паролей доступа работников к рабочим местам и в информационные системы, в которых происходит хранение и обработка персональных данных;
• применение сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами;
• хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
• осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным нормативным актам Оператора;
• иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.

9.




Актуализация, исправление, удаление и уничтожение ПДН, ответы на запросы субъектов ПДН
9.1 Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Федеральном законе от 27.07.2006 № 152-ФЗ "О персональных данных", предоставляются Оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.
В предоставляемых сведениях по запросу субъекта персональных данных не включаются сведения, относящиеся к другим субъектам персональных данных.
9.2 Запрос должен содержать:

• номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта персональных данных в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
• подпись субъекта персональных данных или его представителя.

9.3 Запрос может быть оформлен в бумажном виде и представлен лично, либо отправлен почтовым отправлением по адресу: 107392, г. Москва, Вн.тер.г. Муниципальный округ, Преображенское, ул. Просторная, д. 6, кв. 140, так и может быть направлен в форме электронного документа и подписан усиленной электронной цифровой подписью в соответствии с законодательством Российской Федерации.
9.4 Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона № 152-ФЗ все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
9.5 Оператор не вправе предоставлять персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных Федеральным законом № 152-ФЗ.
9.6. В случае, если лицо, обратившееся с запросом, не уполномочено Федеральным законом № 152-ФЗ или настоящей Политикой на получение информации, относящейся к персональным данным сотрудника, Оператор обязан отказать лицу в выдаче информации.
9.7 В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
9.8 При выявлении неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
9.9 Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:

• достижение целей обработки персональных данных или максимальных сроков хранения – подлежит уничтожению либо обезличиванию в течение 30 дней;
• утрата необходимости в достижении целей обработки персональных данных – в течение 30 дней;
• предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки – в течение 7 дней;
• невозможность обеспечения правомерности обработки персональных данных – в течение 10 дней;
• отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных – в течение 30 дней;
• требование субъекта персональных данных о прекращении обработки персональных данных – в течение 10 дней;
• отзыв субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными клиентами при продвижении программных продуктов, товаров, работ и услуг – в течение 2 дней;
• факт уничтожения персональных данных как на бумажном носителе, так и в электронном виде подтверждается документально актом об уничтожении.

9.10. Опубликование и актуализация Политики
9.10.1. Политика является общедоступным документом ООО «Бэйкхаус» и предусматривает возможность ознакомления любых лиц с ее действующей версией путем опубликования в сети интернет по адресу https://bakehouse.family.
9.10.2. Политика действует бессрочно после утверждения и до ее замены новой версией. Политика пересматривается ежегодно для поддержания в актуальном состоянии и актуализируется по мере необходимости.