Политика в отношении обработки персональных данных

ПОЛИТИКА

Индивидуального предпринимателя Поповой Екатерины Сергеевны

в отношении обработки персональных данных

1. Сокращения и аббревиатуры

Ниже приведен перечень используемых в настоящем документе сокращений и аббревиатур:

ИСПДн	информационная система персональных данных,
ПДн	персональные данные,
ФЗ	Федеральный закон.

2. Общие положения

Попова Екатерина Сергеевна, зарегистрированная в качестве индивидуального предпринимателя (ИНН 770201503150), в терминах Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
Под ПДн в соответствии с ФЗ «О персональных данных», понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

Обработка ПДн осуществляется Оператором в соответствии с требованиями ФЗ «О персональных данных» и принятых в соответствии с ним иных нормативных правовых актов, регулирующих вопросы обработки и защиты ПДн. При обработке ПДн Оператор придерживается принципов, установленных законодательством Российской Федерации в области ПДн.

Цели обработки ПДн, категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения определены в Перечне целей и сроков обработки персональных данных, являющемся неотъемлемой частью настоящей Политики (Приложение № 1).

В целях предотвращения нарушений законодательства Российской Федерации в сфере ПДн Оператором обеспечивается надлежащее документальное сопровождение процессов обработки ПДн:
–      анализ правовых оснований обработки ПДн;
–      документальное закрепление целей обработки;
–      установление сроков обработки ПДн;
–      регламентация процессов обработки ПДн (в том числе процесса допуска к ПДн, процесса прекращения обработки ПДн).

3. Права субъектов персональных данных и способ их реализации

В соответствии с частью 7 статьи 14 ФЗ «О персональных данных» субъект ПДн имеет следующие права в отношении своих ПДн:

1) право на получение сведений, касающихся обработки ПДн Оператором:
–      подтверждение факта обработки ПДн Оператором;
–      правовые основания и цели обработки ПДн;
–      применяемые Оператором способы обработки ПДн;
–      наименование и место нахождения Оператора, сведения о лицах, которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
–      обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
–      сроки обработки ПДн, в том числе сроки их хранения;
–      порядок осуществления субъектом ПДн прав, предусмотренных ФЗ «О персональных данных»;
–      информацию об осуществленной или о предполагаемой трансграничной передаче данных;
–      наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
–      информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 ФЗ «О персональных данных»;

2) право на ознакомление с ПДн, принадлежащими субъекту ПДн, обрабатываемыми Оператором;

3) право требования от Оператора уточнения его ПДн, их блокирования или уничтожения, в случае, если ПДн являются неполными, устаревшими (неактуальными), неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

4) право на отзыв согласия на обработку ПДн (если такое согласие было дано Оператору);

5) право требования от Оператора прекращения обработки ПДн;

6) право требования от Оператора прекращения передачи (распространения, предоставления, доступа) ПДн, ранее разрешенных субъектом ПДн для распространения.
Субъект ПДн может реализовать свои права на получение сведений, касающихся обработки его ПДн Оператором, и на ознакомление с ПДн, принадлежащими субъекту, обрабатываемыми Оператором, путем направления письменного запроса Индивидуальному предпринимателю Поповой Е.С. по адресу: 107140, Москва, до востребования. Запрос также может быть направлен в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации, по адресу электронной почты: svoifu@mail.ru.

В случае, если сведения, указанные в части 7 статьи 14 ФЗ «О персональных данных», а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно к оператору или направить ему повторный запрос не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.
В соответствии с частью 3 статьи 14 ФЗ «О персональных данных» запрос субъекта ПДн (или его представителя) должен содержать:

–      номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
–      сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором;
–      подпись субъекта ПДн или его представителя.

4. Права и обязанности Оператора

Оператор имеет право:

–      требовать от субъекта ПДн достоверности предоставляемых ПДн, их достаточности для целей обработки, а также в иных случаях, предусмотренных законодательством России;
–       ограничить доступ субъекта ПДн к его ПДн в установленных законодательством случаях;
–       поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное правовое основание обработки ПДн не предусмотрено ФЗ «О персональных данных»;
–      привлекать к обработке ПДн третьих лиц, на основании заключенных с такими лицами договорами, при условии соответствия обработки положениям договора-оферты с субъектом персональных данных;
–      продолжить обработку ПДн субъекта ПДн в случае отзыва им согласия при наличии правового основания;
–      осуществлять иные права, предусмотренные законодательством России.

Обязанности Оператора:

–      принять правовые, организационные и технические меры для обеспечения безопасности ПДн в соответствии с требованиями действующего законодательства;
–      предоставить субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн;
–      уточнить, блокировать или уничтожить ПДн при наступлении оснований, предусмотренных законодательством;
–       разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн, если их предоставление является обязательным;
–       рассматривать обращения и жалобы со стороны субъектов ПДн и уполномоченных органов.

Оператор обязуется безвозмездно предоставить запрашиваемые сведения субъекту ПДн или его представителю в доступной форме в течение десяти рабочих дней с даты обращения или даты получения запроса субъекта ПДн или его представителя либо дать в письменной форме мотивированный ответ, содержащий ссылку на положения федерального закона (законов), являющиеся основанием для отказа в предоставлении информации.
В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн, обрабатываемые Оператором, являются неполными, неточными или неактуальными, Оператор обязуется внести в них необходимые изменения.

Оператор обязан уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
Оператор обязан сообщить в уполномоченный орган по защите прав субъектов ПДн по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса.

В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, Оператор обязуется с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПДн:

–      в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов ПДн, по вопросам, связанным с выявленным инцидентом;

–      в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

В случае обращения субъекта ПДн к Оператору с требованием о прекращении обработки ПДн Оператор обязуется в срок, не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПДн).

В случае обращения субъекта ПДн с требованием прекратить передачу (распространение, предоставление, доступ) своих ПДн, ранее разрешенных субъектом ПДн для распространения, к любому лицу, обрабатывающему его ПДн, данное лицо обязано прекратить передачу (распространение, предоставление, доступ) ПДн в течение трех рабочих дней с момента получения требования субъекта ПДн.

5. Порядок уничтожения информации, содержащей персональные данные, при достижении целей обработки или при наступлении иных законных оснований

Под уничтожением обработанных ПДн понимаются действия, в результате которых невозможно восстановить содержание ПДн в информационной системе, и (или) в результате которых уничтожаются материальные носители ПДн.

Обрабатываемые ПДн подлежат уничтожению в случаях:
–      представления субъектом ПДн или его законными представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки (в срок, не превышающий семи рабочих дней со дня представления указанных сведений);
–      выявления неправомерной обработки ПДн при невозможности обеспечить правомерность (в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн);
–      достижения целей обработки ПДн или утраты необходимости в достижении этих целей (в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, федеральными законами);
–      отзыва субъектом ПДн согласия на обработку его ПДн (в срок, не превышающий тридцати дней с даты поступления отзыва и в случае, если сохранение ПДн более не требуется для целей обработки ПДн);
–      достижения окончания сроков хранения ПДн.

Сроки обработки и хранения ПДн определяются в соответствии с целями их обработки, положениями законодательства Российской Федерации или договора (контракта), стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, либо согласием субъекта. По истечении установленных сроков ПДн подлежат уничтожению.
В случае невозможности уничтожения ПДн в течение указанных выше сроков, Оператор осуществляет блокирование таких ПДн или обеспечивает их блокирование и уничтожение в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
Уничтожение отобранных записей осуществляется путем удаления их из базы данных с помощью штатных средств информационной и операционной систем, а также средств администрирования систем управления базами данных или аналогичным по функционалу программным обеспечением.

Уничтожение записей ПДн может осуществляться:
–      в отношении единичных записей (например, в случае отзыва согласия субъекта на обработку его ПДн);
–      в отношении массива (группы) записей.
Такие действия также должны фиксироваться актом об уничтожении ПДн и выгрузкой из журнала.
Выводу носителя ПДн из эксплуатации в составе ИСПДн должно предшествовать удаление ПДн с носителя, исключающее возможность восстановления данных.
Удаление ПДн в таких случаях возможно следующими способами:
–      посредством записи в области хранения ПДн на носителе псевдослучайной последовательности с последующим форматированием носителя ПДн;
–      физического разрушения носителя в случае, если удаление ПДн посредством перезаписи и форматирования невозможно (например, для поврежденных накопителей или твердотельных накопителей в режиме работы «только чтение»).

Уничтожение материальных носителей информации, содержащих ПДн, осуществляется:
–      для бумажных носителей – путем сжигания или шредирования;
–      для машинных носителей – путем их физического разрушения (просверливание жесткого диска насквозь в нескольких местах, деформирование жесткого диска прессом, измельчение (резка, раздавливание) оптических носителей, флеш-накопителей, твердотельных накопителей).

Факт вывода носителя из эксплуатации или физического разрушения носителя ПДн фиксируется соответствующим актом.

В случае, если обработка ПДн осуществляется оператором без использования средств автоматизации, документом, подтверждающим уничтожение ПДн субъектов ПДн, является акт об уничтожении ПДн.

В случае если обработка ПДн осуществляется оператором с использованием средств автоматизации, документами, подтверждающими уничтожение ПДн субъектов ПДн, являются акт об уничтожении ПДн, соответствующий требованиям, содержащимся в пунктах 3 и 4 Требований к подтверждению уничтожения персональных данных, утвержденных Приказом Роскомнадзора от 28.10.2022 № 179, и выгрузка из журнала.

В случае если обработка ПДн осуществляется оператором одновременно с использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение ПДн субъектов ПДн, являются акт об уничтожении ПДн, соответствующий требованиям, установленным пунктами 3 и 4 Требований к подтверждению уничтожения персональных данных, утвержденных Приказом Роскомнадзора от 28.10.2022 № 179, и выгрузка из журнала, соответствующая требованиям, установленным пунктом 5 Требований к подтверждению уничтожения персональных данных, утвержденных Приказом Роскомнадзора от 28.10.2022 № 179.
Акт об уничтожении ПДн и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения ПДн.

6. Сведения по обеспечению безопасности персональных данных

Оператором обеспечивается безопасность обрабатываемых ПДн, которая достигается применением различных по своему характеру мер как организационного, так и технического характера.

При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператором обеспечивается запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Обеспечена сохранность носителей ПДн, исключен несанкционированный доступ к персональным данным. Обеспечено раздельное хранение материальных носителей ПДн, обработка которых осуществляется в различных целях. Неконтролируемое пребывание или проникновение посторонних лиц в помещение, где хранятся ПДн, исключено. Ведется учет машинных носителей, на которых осуществляется обработка ПДн.

Приложение № 1 к Политике
ИП Поповой Е.С. в отношении обработки персональных данных

Перечень целей и сроков в отношении обработки персональных данных

1;Подготовка, заключение, исполнение гражданско-правового договора;Контрагенты-физические лица. Перечень ПДн: фамилия, имя, отчество, данные документа, удостоверяющего личность, адрес регистрации, дата рождения, месяц рождения, год рождения, ИНН, номер расчетного счета и реквизиты банковской карты, номер телефона, адрес электронной почты. Представители контрагентов – юридических лиц. Перечень ПДн: фамилия, имя, отчество, место работы, должность, данные документа, подтверждающего полномочия представителя, контактные данные; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.;Перечень действий с ПДн: сбор,накопление, хранение, уточнение (обновление, изменение), извлечение, передача, использование, уничтожение, удаление. Смешанная, с передачей по сети Интернет, без передачи по внутренней сети.;5 лет после истечения срока действия договора. После прекращения обязательств по договору.; 2;Заключение и исполнение обязательств в соответствии с договором оферты, в том числе обеспечение процесса оплаты через платежные системы;Заказчики. Перечень ПДн: фамилия, имя, отчество. Данные документа, удостоверяющего личность. Контактный телефон. Адрес электронной почты. Причина возврата средств и банковские реквизиты для их перечисления. Данные, указанные в заявлении физического лица о банкротстве (если оплаченным тарифом предусмотрена проверка такого заявления).;обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.;Перечень действий с ПДн: сбор, запись, хранение, использование, доступ, блокирование, удаление, уничтожение. Смешанная, с передачей по сети Интернет, без передачи по внутренней сети.;Обработка персональных данных осуществляется до исполнения обязательств по договору оферты и в течение срока исковой давности (3 года). 3;Осуществление рекламных коммуникаций, в том числе направление материалов рекламного и (или) информационного характера посредством СМС-сообщений, электронной почты и (или) путем направления текстовых сообщений через сеть Интернет, а также сообщенных в ходе телефонного разговора; Пользователи сайта https://svoifu.ru Перечень ПДн: фамилия, имя, отчество. Номер телефона. Адрес электронной почты.;обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;Перечень действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, блокирование, удаление, уничтожение. Смешанная, с передачей по сети Интернет, без передачи по внутренней сети.;В отношении согласия, данного на сайте - 3 года с даты получения согласия. 4;Определение предпочтений посетителей сайта, предоставление целевой информации по продуктам и услугам оператора с использованием сервисов веб-аналитики, технологии cookies (Яндекс.Метрика, Пиксель ретаргетинга ВКонтакте, внутренняя статистика платформы Tilda);Посетители сайта. Перечень ПДн: сведения, собираемые посредством метрических программ. Запросы посетителя сайта. Системная информация. Данные браузера. Файлы cookie. IP-адрес. Установленные на устройстве операционные системы. Установленные на устройстве типы браузеров. Установленные на устройстве расширения и настройки цвета экрана. Установленные и используемые на устройстве языки. Версии Flash и поддержка JavaScript, типы используемых мобильных устройств, если применимо. Географическое положение. Количество посещений сайта и просмотров страниц. Длительность пребывания на сайте. Запросы. использованные при переходе на сайт. Страницы, с которых были совершены переходы;обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;Перечень действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, передача, удаление, уничтожение. Смешанная, с передачей по сети Интернет, без передачи по внутренней сети;Срок обработки персональных данных определяется периодом пользования сайтом или периодом функционирования сайта, анализ поведения посетителей сайта строится на основании сведений, полученных за 3 года. 5;Предоставление обратной связи посетителям сайта, включая, направление уведомлений, касающихся предоставляемых услуг, подготовка и направление ответов на запросы, направление информации об услугах ИП Поповой Е.С.;Посетители сайта. Перечень ПДн: сведения о том, как обращаться к лицу, заполнившему форму обратной связи, номер телефона, адрес электронной почты.;обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;Перечень действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение. Смешанная, с передачей по сети Интернет, без передачи по внутренней сети;Обработка персональных данных осуществляется до достижения цели – предоставления обратной связи.