1. Общие положения
1.1. Настоящим Положением о работе с персональными данными контрагентов (далее - Положение) устанавливается порядок обработки персональных данных контрагентов ИП Чернега И.А. (далее - Оператор) и гарантии конфиденциальности сведений, предоставляемых контрагентами Оператору.
1.2. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 №149-ФЗ «Об информатизации, информационных технологиях и о защите информации», Постановлением Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и иными нормативными актами, действующими на территории Российской Федерации.
1.3. Настоящее Положение вступает в силу со дня его утверждения ИП Чернега И.А. Все изменения в настоящее положение вносятся приказом ИП Чернега И.А.
1.4. Действие настоящего Положения распространяется на всех работников Оператора и доводится до сведения работников под подпись.
1.5. В настоящем Положении используются следующие термины и определения:
• Оператор – ИП Чернега И.А. осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными контрагентов.
• контрагент - физическое лицо, официальный представитель - физическое лицо юридического лица и/или индивидуального предпринимателя, вступившее в договорные отношения с Оператором.
• Персональные данные контрагента - персональные данные, необходимые Оператору в связи с исполнением договорных отношений и касающиеся конкретного контрагента, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, номер контактного телефона, адрес электронной почты.
• Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
• Защита персональных данных контрагента - деятельность Оператора по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер обеспечения конфиденциальности информации.
• Конфиденциальность персональных данных - обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения и передачи третьим лицам без согласия субъекта персональных данных или наличия иного законного основания.

2. Виды допуска к обработке персональных данных контрагентов
2.1. Допуск работников к обработке персональных данных подразделяется на полный и частичный.
2.2. Полный допуск к обработке персональных данных контрагентов имеет ИП Чернега И.А., он же является ответственным за обработку персональных данных.
2.3. Частичный допуск к обработке персональных данных имеют Главный метролог и менеджер по качеству – для целей выполнения своих непосредственных должностных обязанностей.
2.4. Лицам, не указанным в п. 2.3 настоящего Положения, частичный допуск к обработке персональных данных контрагентов может быть предоставлен на основании письменного разрешения ИП Чернега И.А.

3. Порядок допуска работников к обработке персональных данных
3.1. Лица, указанные в п. 2.3, 2.4 настоящего Положения, допускаются к обработке персональных данных контрагентов с соблюдением общей процедуры оформления работы с персональными данными, после ознакомления с нормативными правовыми актами органов государственной власти и локальными нормативными актами ИП Чернега И.А. в области персональных данных.
3.2. Лица, указанные в п. 2.4 настоящего Положения, заинтересованные в частичном допуске к обработке персональных данных контрагентов, направляют ИП Чернега И.А. мотивированное ходатайство, в котором излагают:
• цель допуска к обработке персональных данных контрагентов;
• перечень персональных данных, допуск к обработке которых необходим;
• обоснование необходимости и целесообразности допуска к обработке персональных данных контрагентов.
3.3. Ходатайство подлежит рассмотрению в течение трех рабочих дней. По результатам рассмотрения ходатайства ИП Чернега И.А. издает распоряжение о допуске работника к обработке персональных данных либо принимает решение об отказе в допуске с указанием причин отказа.
4. Порядок прекращения допуска работников к обработке персональных данных
4.1. Допуск к обработке персональных данных контрагентов прекращается:
• при увольнении работника, имеющего допуск;
• при переводе работника, имеющего допуск, на должность, выполнение работ по которой уже не требует допуска к обработке персональных данных.
4.2. Допуск к обработке персональных данных у лиц, указанных в п. 2.4 настоящего Положения, может быть дополнительно прекращен по письменному решению ИП Чернега И.А.

5. Обработка персональных данных
5.1. Персональные данные контрагента относятся к категории конфиденциальной информации.
5.2. В целях обеспечения прав и свобод человека и гражданина Оператор и его представители при обработке персональных данных контрагента соблюдают следующие общие требования:
• обработка персональных данных контрагента осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия выполнения договорных обязательств в соответствии с законодательством Российской Федерации.
• все персональные данные контрагента Оператор получает у него самого, за исключением случаев, когда их получение возможно только у третьей стороны способом, не противоречащим законодательству Российской Федерации.
• обработка персональных данных, полученных от третьих лиц, возможна только при уведомлении субъекта персональных данных об этом заранее.
5.3. Оператор не получает и не обрабатывает персональные данные контрагента о его политических, религиозных и иных убеждениях и частной жизни.
5.4. Персональные данные не используются в целях причинения имущественного и морального вреда контрагенту, затруднения реализации его прав и свобод.
5.5. При принятии решений, затрагивающих интересы контрагента, Оператор не основывается на персональных данных контрагента, полученных исключительно в результате их автоматизированной обработки без его письменного согласия на такие действия.
5.6. При идентификации контрагента Оператор требует предъявление документов, удостоверяющих личность и подтверждающих полномочия представителя.
5.7. При заключении договора, как и в ходе его исполнения, в случае возникновения необходимости, Оператор может потребовать предоставление контрагентом иных документов, содержащих информацию о нем, с моментом предоставления которых может быть связано предоставление дополнительных гарантий и компенсаций.
5.8. После принятия решения о заключении договора или предоставления документов, подтверждающих полномочия представителя, а также впоследствии, в процессе выполнения договора, персональные данные контрагента, также будут включены в:
• договоры;
• иные документы, включение в которые персональных данных контрагента необходимо согласно действующему законодательству Российской Федерации (свидетельства, протоколы, акты, накладные, отчеты и т.д.).

6. Организация защиты персональных данных
6.1. Все работники, имеющие доступ к персональным данным контрагентов, подписывают Обязательство о неразглашении персональных данных.
6.2. Защита персональных данных контрагентов от неправомерного их использования или утраты обеспечивается Оператором в порядке, установленном законодательством Российской Федерации, внутренними регламентирующими документами Оператора.
6.3. Защите подлежат:
• персональные данные, содержащиеся на электронных и материальных носителях;
• носители, содержащие персональные данные.
6.4. Ответственные лица структурных подразделений Оператора, хранящие персональные данные на бумажных и машинных носителях информации, обеспечивают их защиту от несанкционированного доступа и копирования.
6.5. Ответственные лица, обрабатывающие персональные данные в информационных системах персональных данных и на машинных носителях информации, обеспечивают защиту в соответствии с требованиями законодательства Российской Федерации, нормативными и методическими документами, касающимися защиты персональных данных.

7. Хранение персональных данных
7.1. Сведения о контрагентах на бумажных носителях хранятся в помещениях Оператора. Для хранения носителей используются шкафы, сейфы, расположенные внутри контролируемой зоны Оператора.
7.2. Обязанности по хранению документов, в которых содержатся персональные данные контрагентов, возлагаются на ответственных за их обработку.
7.3. Ключи от шкафов и сейфов, в которых хранятся носители персональных данных, находятся у работника, ответственного за обработку персональных данных.
7.4. В конце рабочего дня все документы с персональными данными, находящиеся в работе, помещаются ответственными за обработку персональных данных в места хранения.
7.5. Места хранения каждой категории данных определены в Приложении 1 к настоящему Положению.
7.6. Персональные данные контрагентов также хранятся в электронном виде - на электронных носителях информации, доступ к которым ограничен и регламентируется Оператором. К обработке персональных данных контрагентов допускаются работники Оператора в соответствии с Приказом «О работе с персональными данными контрагентов».
7.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено законодательством Российской Федерации, вышеуказанные персональные данные уничтожаются.

8. Передача персональных данных
8.1. При передаче персональных данных контрагента Оператор соблюдает следующие требования, и выполняются следующие условия:
• осуществляет обработку персональных данных контрагента в пределах своей организации в соответствии с настоящим Положением;
• разрешает доступ к персональным данным контрагентов только специально уполномоченным лицам, при этом указанные лица вправе получать только те персональные данные контрагента, которые необходимы для выполнения конкретных функций;
• вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством;
• определяет требования к защите обрабатываемых персональных данных и перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, а также устанавливает обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке;
• в случае если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором;
• передает персональные данные контрагента его представителям в порядке, установленном законодательством Российской Федерации, и ограничивает эту информацию только теми персональными данными контрагента, которые необходимы для выполнения указанными представителями их функций.
8.2. В случае если Оператору оказываются услуги, выполняются работы или осуществляется поставка товаров юридическими или физическими лицами на основании заключенных договоров (либо иных оснований), и в силу данных договоров эти лица должны иметь доступ к персональным данным, то необходимые персональные данные предоставляются Оператором при наличии в заключенном договоре условия о неразглашении конфиденциальной информации (в том числе содержащей персональные данные или составляющую коммерческую тайну) либо после подписания с указанными лицами Соглашения о неразглашении информации, содержащей персональные данные (неразглашении конфиденциальной информации).
8.3. Все сведения о передаче персональных данных контрагентов регистрируются в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается, какая именно информация была передана.

9. Обработка персональных данных автоматизированным способом
9.1. Обработка персональных данных автоматизированным способом включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу, распространение, обезличивание, блокирование персональных данных с помощью автоматизированных рабочих мест.
9.2. Обработка персональных данных контрагентов с помощью автоматизированного способа служит только целям внутреннего использования и не предназначена для передачи и распространения.
9.3. Любое копирование, распечатка с последующей передачей персональных данных на бумажных носителях, передача посредством электронной почты, хранение информации, касающейся персональных данных контрагентов, в рабочей области вне учетной записи стационарного автоматизированного рабочего места, а также в сторонних облачных хранилищах запрещены.
9.4. Использование мобильных накопителей информации (флеш-накопителей, SSD-накопителей, CD-дисков и проч.) запрещено.

10. Обработка персональных данных неавтоматизированным способом
10.1. Обработка персональных данных неавтоматизированным способом включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу, обезличивание, уничтожение персональных данных без использования средств автоматизации, либо признается таковой при извлечении данных из средств автоматизации и их использовании, уточнении, распространении, уничтожении в отношении каждого из субъектов персональных данных, при непосредственном участии человека.
10.2. Обработка персональных данных контрагентов с помощью неавтоматизированного способа служит только целям внутреннего использования и не предназначена для передачи и распространения.
10.3. Категории лиц, допущенных к обработке персональных данных неавтоматизированным способом, область, объем обрабатываемых ими персональных данных и цели, для которых ведется обработка персональных данных отображены в Приложении 2 к настоящему Положению,
10.4. При наличии в обрабатываемом документе персональных данных, доступ к которым уполномоченному работнику не предоставлен, такие данные перед передачей уполномоченному работнику удаляются (вымарываются) ИП Чернега И.А. из документа (либо его копии).
10.5. Используемые в процессе обработки типовые формы документов должны иметь выделенное поле (сформированное при разработке типовой формы либо добавленное в нее любым возможным способом) для согласия субъекта персональных данных на их обработку без использования средств автоматизации.
10.6. Типовые формы, содержащие персональные данные, утверждаются Приказом ИП Чернега И.А.
10.7. Использование документов с персональными данными в качестве черновиков запрещено.

11. Обязанности контрагента и оператора
11.1. В целях обеспечения достоверности персональных данных, контрагент обязан:
• при заключении договора предоставить Оператору полные и достоверные данные о себе;
• в случае изменения сведений, составляющих персональные данные контрагента, не позднее пяти рабочих дней, предоставить обновленную информацию Оператору.
11.2. Оператор обязан:
• обеспечить защиту персональных данных от неправомерного их использования или утраты в порядке, установленном законодательством Российской Федерации;
• ознакомить субъекта персональных данных с действующими внутренними правилами обработки персональных данных;
• обеспечить защищенное хранение документов, содержащих персональные данные. При этом персональные данные не должны храниться дольше, чем этого требуют цели, для которых они были получены, или дольше, чем это требуется в интересах лиц, о которых собраны данные, или дольше, чем этого требует законодательство;
• вести учет передачи персональных данных контрагентов третьим лицам путем ведения соответствующего Журнала учета передачи персональных данных;
• в случае реорганизации или ликвидации Оператора, учет и сохранность документов, порядок передачи их на государственное хранение осуществлять в соответствии с правилами, предусмотренными учредительными документами и действующим законодательством Российской Федерации;
• вести Журнал учета обращений субъектов персональных данных;
• осуществлять передачу персональных данных субъекта только в соответствии с законодательством Российской Федерации и настоящим Положением;
• по требованию субъекта персональных данных или его законного представителя предоставить ему полную информацию о его персональных данных и обработке этих данных.

12. Права контрагентов в целях защиты персональных данных
12.1. В целях обеспечения защиты персональных данных, хранящихся у Оператора, контрагенты имеют право на:
• получение полной информации о составе своих персональных данных и их обработке, в частности, контрагент имеет право знать, кто и в каких целях использует или использовал информацию о его персональных данных;
• бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные контрагента на основании письменного запроса, за исключением случаев, если предоставление персональных данных нарушает конституционные права и свободы других лиц;
• определение своих представителей для защиты своих персональных данных;
• требование об исключении или исправлении неверных, неполных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для Оператора персональных данных. При отказе Оператора исключить или исправить персональные данные контрагента он имеет право заявить в письменной форме Оператору о своем несогласии с соответствующим обоснованием такого несогласия;
• требование об извещении Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные контрагента, обо всех произведенных в них исключениях, исправлениях или дополнениях;
• обжалование в суде или надзорном органе любых неправомерных действий или бездействия Оператора при обработке и защите его персональных данных.

13. Ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных
13.1. Лица, виновные в нарушении норм, регулирующих обработку персональных данных, привлекаются к ответственности в соответствии с действующим законодательством Российской Федерации.

14. Заключительные положения
14.1. В случае изменения действующего законодательства РФ, внесения изменений в нормативные документы по защите персональных данных настоящее Положение действует в части, не противоречащей действующему законодательству до приведения его в соответствие.