Политика обработки и защиты персональных данных

1. Общие положения

1.1. Политика обработки и защиты персональных данных (далее — Политика) определяет основные принципы, цели, содержание, условия, порядок и способы обработки персональных данных, устанавливает процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяет для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

1.2. Цель настоящей Политики — обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных в информационных системах персональных данных, защиты персональных данных субъектов персональных данных от несанкционированного доступа и разглашения.

1.3. При разработке настоящей Политики использованы следующие нормативные документы:

• Конституция Российской Федерации;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 17.07.2006 № 152-ФЗ «О персональных данных»;
• Требования к защите персональных данных при их обработке в информационных системах персональных данных, утверждённые постановлением Правительства РФ от 1 ноября 2012 г. № 1119;
• Другие нормативные правовые акты Российской Федерации, регулирующие отношения, связанные с обработкой персональных данных.

1.4. Действие настоящей Политики распространяется на всех работников Индивидуального предпринимателя Джурик Алёны Михайловны (далее — Индивидуальный предприниматель, Оператор), имеющих право доступа к персональным данным субъектов персональных данных.

2. Основные понятия, термины и определения

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

База данных — совокупность данных, организованных по определённым правилам, предусматривающим общие принципы описания, хранения и манипулирования данными, независимая от прикладных программ.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Компрометация пароля учётной записи — ознакомление с паролем третьими лицами.

Материальный носитель персональных данных — материальный объект, содержащий персональные данные в электронном или графическом виде, используемый для закрепления и хранения на нём персональных данных (в том числе бумажный носитель, машиночитаемый носитель).

Неавтоматизированная обработка персональных данных — обработка персональных данных, содержащихся в информационной системе персональных данных либо извлечённых из такой системы, считается осуществлённой без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор персональных данных (Оператор) — Индивидуальный предприниматель Джурик Алёна Михайловна, юридический адрес: 169840, Республика Коми, г. Инта, ул. Мира, д. 60, кв. 16, ОГРНИП 325110000010186, осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

Пользователь ИСПДн — работник Индивидуального предпринимателя, который допущен к обработке персональных данных в информационных системах персональных данных в соответствии со своими должностными обязанностями приказом должностного лица Оператора.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.

Субъект персональных данных — физическое лицо, гражданин Российской Федерации, состоящий с Индивидуальным предпринимателем в трудовых или договорных отношениях (контрагент, работник контрагента, клиент, посетитель и т. д.).

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3. Состав персональных данных

3.1. Обрабатываемые Оператором категории субъектов персональных данных:

• физические лица (пользователи услуг, потенциальные пользователи услуг);
• физические лица, заключившие договоры гражданско-правового характера с Оператором;
• уполномоченные на основании доверенности представители вышеуказанных субъектов персональных данных.

3.2. Полный состав персональных данных, обрабатываемых Оператором, в зависимости от цели обращения к Оператору, которая указывается в каждом конкретном случае в соответствующем согласии на обработку персональных данных:

• контактные данные (адрес электронной почты, номер мобильного телефона);
• банковские реквизиты.

Обработка специальных категорий персональных данных, включая расовую, национальную принадлежность, политические взгляды, религиозные и философские убеждения, интимную жизнь, Оператором не осуществляется.

3.3. Оператор обрабатывает персональные данные, указанные в п. 3.2. Политики, с согласия субъекта персональных данных, путём записи, систематизации, накопления, хранения, уточнения (обновление, изменение), извлечения, использования, обезличивания, передачи (предоставление, доступ), блокирования, удаления, уничтожения персональных данных.

3.4. Google Analytics и Яндекс.Метрика

3.4.1. Оператор использует средства «Google Analytics» и «Яндекс.Метрика» для сбора сведений об использовании сайта, таких как частота посещения сайта пользователями, посещённые страницы и сайты, на которых были пользователи до перехода на данный сайт. Google Analytics и Яндекс.Метрика собирает только IP-адреса, назначенные в день посещения данного сайта, но не имя или другие идентификационные сведения.

3.4.2. Google Analytics и Яндекс.Метрика размещают постоянный cookie-файл в веб-браузере субъекта персональных данных для его идентификации в качестве уникального пользователя при следующем посещении данного сайта. Этот cookie-файл не может использоваться никем, кроме Google, Inc. и Яндекс соответственно. Сведения, собранные с помощью cookie-файла, будут передаваться в Google и храниться на серверах корпорации в США или в Яндекс.

3.4.3. Оператор использует сведения, полученные через Google Analytics и Яндекс.Метрику, только для совершенствования услуг на данном сайте. Оператор не объединяет сведения, полученные через Google Analytics и Яндекс.Метрику, с персональными данными.

3.4.4. Возможности Google и Яндекс по использованию и передаче третьим лицам сведений, собранных средствами Google Analytics и Яндекс.Метрики о посещениях субъектом персональных данных данного сайта, ограничиваются Политикой конфиденциальности Google и Яндекс. Субъект персональных данных может запретить Google Analytics и Яндекс.Метрике узнавать его при повторных посещениях данного сайта, отключив cookie-файлы Google Analytics и Яндекс.Метрики.

4. Цели, принципы и условия обработки персональных данных

4.1. Персональные данные обрабатываются Оператором с целью:

• реализации прав и законных интересов Оператора в рамках осуществляемого вида деятельности;
• подготовки, заключения, исполнения и прекращения договоров, стороной которых либо выгодоприобретателем либо поручителем является субъект персональных данных;
• соблюдения требований законодательства и иных нормативных правовых актов Российской Федерации.

4.2. Обработка и использование персональных данных субъектов персональных данных осуществляется в иных целях, если это направлено на обеспечение соблюдения законодательства Российской Федерации и иных нормативных правовых актов. Перечень конкретных целей указывается в каждом конкретном случае в соответствующем согласии на обработку персональных данных.

4.3. Принципами обработки персональных данных являются:

• законность;
• ограничение обработки персональных данных достижением конкретных, заранее определённых и законных целей, соответствия целей обработки персональных данных целям сбора персональных данных;
• недопустимость объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• соответствие объёма и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
• точность обрабатываемых персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки;
• недопустимость обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• уничтожение персональных данных после достижения целей обработки или в случае утраты необходимости в их достижении;
• личная ответственность работников Оператора за сохранность и конфиденциальность персональных данных, а также носителей этой информации;
• принятие исчерпывающих организационных и технических мер для защиты персональных данных, исключающих несанкционированный доступ к ним посторонних лиц.

4.4. Оператор производит обработку персональных данных при наличии согласия субъекта персональных данных на обработку его персональных данных. Не требуется согласие субъекта персональных данных на передачу персональных данных:

• по мотивированному запросу органов прокуратуры (п. 1 ст. 22 Федерального закона от 17.01.1992 № 2202-1, абз. 7 п. 4 Разъяснений Роскомнадзора);
• по мотивированному требованию правоохранительных органов и органов безопасности (ст. 6 Федерального закона от 29.07.2004 № 98-ФЗ, п. 4 ч. 1 ст. 13 Федерального закона от 07.02.2011 № 3-ФЗ, п. «м» ч. 1 ст. 13 Федерального закона от 03.04.1995 № 40-ФЗ);
• по запросу суда согласно ч. 4–7 ст. 66 АПК РФ, ч. 1, 2 ст. 57 ГПК РФ.

Оператор может поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных, на основании заключённого договора. Третье лицо, осуществляющее обработку персональных данных по поручению Оператора и/или субъекта персональных данных, должно соблюдать правила и принципы обработки персональных данных, предусмотренные законодательством Российской Федерации.

5. Порядок, способы и сроки обработки персональных данных

5.1. Персональные данные предоставляются субъектом лично в электронном виде.

5.2. При сборе персональных данных должностные лица (работники) Оператора, осуществляющие сбор (получение) персональных данных непосредственно от лиц, указанных в пункте 3.1 настоящей Политики, разъясняют юридические последствия отказа от предоставления персональных данных.

5.3. К обработке персональных данных в ИСПДн могут иметь доступ работники Оператора, которым он необходим для исполнения должностных обязанностей. Допуск пользователей для работы на технических средствах ИСПДн осуществляется в соответствии со списками лиц, допущенных в ИСПДн, утверждёнными приказами должностного лица Оператора.

5.4. Оператор не обрабатывает персональные данные субъектов, касающиеся их расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений и частной жизни.

5.5. Обработка персональных данных субъектов осуществляется с использованием средств вычислительной техники (автоматизированная) и без использования таких средств (неавтоматизированная).

5.6. Обработка персональных данных без использования средств автоматизации осуществляется в виде документов на бумажных носителях информации. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности, путём фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

5.7. Безопасность персональных данных при их обработке в ИСПДн обеспечивается в соответствии с требованиями Федерального закона «О персональных данных», Постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 и других нормативных правовых актов Российской Федерации.

5.8. Персональные данные субъекта персональных данных могут быть предоставлены родственникам или членам его семьи только с письменного согласия самого субъекта персональных данных.

5.9. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 17.07.2006 № 152-ФЗ «О персональных данных».

5.10. Сроки обработки, хранения персональных данных лиц, указанных в пункте 3.1 Политики, определяются Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и согласием на обработку персональных данных в каждом конкретном случае.

6. Хранение персональных данных

6.1. Персональные данные на материальных носителях, находящихся в делопроизводстве соответствующего структурного подразделения Оператора, осуществляющего работу с субъектами персональных данных, могут находиться на рабочих столах или в специальных папках только в течение рабочего дня. По окончании рабочего дня данные документы должны убираться в запирающиеся на ключ сейфы (металлические шкафы), оборудованные внутренними замками. В случае если на съёмном машинном носителе персональных данных хранятся только персональные данные в зашифрованном виде, допускается хранение таких носителей вне сейфов.

6.2. Хранение персональных данных в автоматизированном виде происходит после их внесения в информационные системы обработки персональных данных. Производится регламентное резервное копирование персональных данных, применяются организационные и технические меры защиты информации.

7. Права и обязанности оператора и субъекта персональных данных

7.1. Оператор вправе

• получать от субъекта персональных данных письменное согласие на обработку его персональных данных по формам, в случаях, установленных настоящей Политикой и законодательством;
• устанавливать правила обработки персональных данных субъектов персональных данных и вносить изменения и дополнения в Политику, самостоятельно разрабатывать и применять формы документов, необходимых для исполнения Политики;
• осуществлять иные права, предусмотренные законодательством, нормативно-правовыми актами и локальными актами Оператора в области персональных данных.

7.2. Оператор обязан

• осуществлять обработку персональных данных субъектов исключительно в целях, указанных в настоящей Политике;
• получать персональные данные субъекта персональных данных у него самого, а также по его просьбе предоставлять сведения, касающиеся обработки его персональных данных;
• обеспечить хранение и защиту персональных данных субъекта персональных данных от неправомерного их использования или утраты за счёт своих средств в порядке, установленном законодательством Российской Федерации;
• обеспечивать предотвращение несанкционированного доступа к информации, своевременное обнаружение фактов несанкционированного доступа, предупреждение возможности неблагоприятных последствий, недопущение воздействия на технические средства обработки информации, возможность незамедлительного восстановления информации, постоянный контроль за обеспечением уровня защищённости информации;
• исполнять иные обязанности, предусмотренные законодательством Российской Федерации.

7.3. Субъект персональных данных имеет право

• на получение сведений, касающихся обработки его персональных данных;
• отозвать согласие на обработку персональных данных;
• требовать от Оператора уточнения своих персональных данных, их блокирования и уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки;
• на обжалование неправомерных действий или бездействий Оператора по обработке персональных данных в уполномоченном органе по защите прав субъектов персональных данных и (или) в судебном порядке;
• на защиту своих прав и законных интересов в области персональных данных;
• иные права, предусмотренные законодательством Российской Федерации.

7.4. Субъект персональных данных обязан

• при необходимости дать письменное согласие на обработку Оператором своих персональных данных свободно, своей волей и в своём интересе;
• своевременно сообщать Оператору об изменениях и дополнениях в его персональных данных и при необходимости представлять соответствующие документы;
• исполнять иные законные требования Оператора.

8. Доступ к информации, содержащей персональные данные

8.1. Доступ к информации, содержащей персональные данные, имеют работники Оператора, в должностные обязанности которых входит обработка персональных данных либо осуществление доступа к персональным данным, в объёме, необходимом для выполнения ими служебных обязанностей.

8.2. Предоставление полномочий работникам Оператора на обработку персональных данных осуществляется только к данным, необходимым для выполнения ими своих функциональных обязанностей.

8.3. При реализации прав субъекта персональных данных, его персональные данные должны предоставляться ему таким образом, чтобы не нарушалась конфиденциальность персональных данных других субъектов персональных данных.

8.4. Требования по соблюдению конфиденциальности персональных данных являются обязательными к исполнению работником Оператора, допущенным к работе с персональными данными. Работник, получивший доступ к персональным данным, обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.

8.5. Работник, допущенный к обработке персональных данных, принимает на себя обязательства в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей.

8.6. Работники, допущенные к обработке персональных данных, информируются о характере обработки, категориях обрабатываемых персональных данных, а также об особенностях и условиях осуществления такой обработки, установленных Политикой.

8.7. Доступ к обрабатываемым персональным данным разрешается третьим лицам только при наличии официального заявления запросившего лица с указанием перечня необходимой информации, целей, для которых она будет использована, с согласия субъекта персональных данных, персональные данные которого затребованы.

8.8. Также доступ к персональным данным субъектов, обрабатываемых Оператором, может быть предоставлен органам власти, если это предусмотрено законодательством Российской Федерации или международными договорами.

9. Реализация права субъекта на доступ к своим персональным данным

9.1. Доступ субъекта персональных данных к своим персональным данным предоставляется при обращении либо при получении запроса этого субъекта персональных данных или его законного представителя. Информация о наличии персональных данных о субъекте персональных данных, а также возможность ознакомления с ними предоставляется в течение тридцати дней с момента обращения или с момента получения письменного запроса субъекта персональных данных или его представителя в доступной форме.

9.2. Запрос субъекта персональных данных или его представителя должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного либо уполномоченного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (например, номер и дата заключённого договора) или иные сведения, подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его законного либо уполномоченного представителя. Запрос может быть направлен в электронной форме и подписан электронной подписью в соответствии с законодательством Российской Федерации.

9.3. Субъект персональных данных имеет право на получение при обращении или при получении Оператором запроса информации, касающейся обработки персональных данных субъекта персональных данных, в том числе содержащей подтверждение факта обработки, правовые основания и цели обработки, способы обработки, сведения о лицах, имеющих доступ, обрабатываемые персональные данные и источник их получения, сроки обработки и хранения, порядок осуществления прав, иные сведения, предусмотренные Федеральным законом № 152-ФЗ.

9.4. Сведения, указанные в п. 9.3 Политики, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

9.5. В случае отказа субъекту персональных данных или его законному представителю в предоставлении сведений, касающихся обработки персональных данных данного субъекта, субъект персональных данных вправе обратиться или направить запрос повторно, но не ранее чем через тридцать дней после первоначального обращения или запроса, если более короткий срок не установлен федеральным законом.

9.6. Оператор вправе отказать субъекту в выполнении повторного запроса, не соответствующего требованиям п. 9.5 Политики; отказ должен быть мотивированным.

9.7. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случаях, предусмотренных федеральными законами.

10. Устранение нарушений законодательства. Уточнение, блокирование и уничтожение персональных данных

10.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, с момента такого обращения или получения указанного запроса на период проверки.

10.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование с момента такого обращения или получения указанного запроса на период проверки.

10.3. В случае подтверждения факта неточности персональных данных Оператор уточняет персональные данные либо обеспечивает их уточнение в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

10.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, в срок, не превышающий трёх рабочих дней с даты этого выявления, Оператор прекращает неправомерную обработку персональных данных. В случае если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные или обеспечивает их уничтожение.

10.5. В случае достижения цели обработки персональных данных Оператор прекращает обработку персональных данных или обеспечивает её прекращение и уничтожает персональные данные или обеспечивает их уничтожение в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных.

10.6. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает их обработку или обеспечивает прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва.

10.7. Уничтожение персональных данных должно быть зафиксировано Оператором в акте об уничтожении персональных данных по каждому такому факту:

• информация на электронных носителях подлежит уничтожению путём механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации;
• информация на бумажных носителях подлежит уничтожению путём измельчения техническими средствами, исключающими возможность дальнейшего использования.

11. Ответственность за нарушение норм, регулирующих защиту персональных данных

11.1. Оператор несёт установленную законодательством Российской Федерации ответственность за нарушение законодательства Российской Федерации в области персональных данных, настоящей Политики и других локальных актов Оператора.

11.2. Работники Оператора, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов персональных данных, несут дисциплинарную, административную, уголовную, гражданско-правовую ответственность в соответствии с законодательством.

11.3. За нарушения законодательства Российской Федерации в области персональных данных и настоящей Политики к работникам могут применяться следующие меры дисциплинарной ответственности: замечание, выговор, увольнение.

11.4. Меры дисциплинарной ответственности применяются в соответствии с локальными актами Оператора и в зависимости от тяжести последствий нарушений для Оператора и субъектов персональных данных.

12. Обеспечение безопасности персональных данных

Оператор определяет состав и перечень правовых, организационных и технических мер для обеспечения выполнения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов.

Оператором выполняются следующие меры по обеспечению безопасности обработки персональных данных:

• назначено лицо, ответственное за организацию обработки персональных данных Оператором;
• разработана Политика об обработке персональных данных и основанные на ней локальные нормативные документы;
• определены угрозы безопасности персональных данных при их обработке и сформирована на их основе модель угроз;
• разработана на основе модели угроз система защиты персональных данных;
• обеспечена физическая безопасность помещений и средств обработки персональных данных;
• разграничен доступ пользователей к информационным ресурсам и средствам обработки персональных данных;
• организован учёт, хранение и обращение носителей информации;
• при обработке персональных данных, включая передачу третьим лицам, используются необходимые средства защиты информации.

13. Заключительные положения

13.1. Контроль соблюдения требований настоящей Политики, а также её актуализацию осуществляют лица, ответственные за организацию обработки персональных данных работников.

13.2. Ознакомившись с Политикой, субъект персональных данных подтверждает, что с содержанием Политики он ознакомлен, и что содержание Политики ему понятно.

Контакт: support@aipic.ru