Политика в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика Индивидуального предпринимателя Сайфулина Ю.В. (Далее – Индивидуальный предприниматель и/или Оператор) в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Настоящая Политика определяет основные принципы, цели, условия и способы обработки Персональных данных, права и обязанности Индивидуального предпринимателя при обработке Персональных данных, права Субъектов Персональных данных, а также реализуемые меры по обеспечению безопасности Персональных данных при осуществлении установленных в Уставе видов деятельности.

1.2. Политика действует в отношении всех персональных данных, которые обрабатывает Индивидуальный предприниматель за исключением Персональных данных, которые регулируются Положением о защите персональных данных работников.

1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.

1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора http://центр-роста.рф/

1.5. Положения настоящей Политики служат основой для разработки локальных актов, регламентирующих вопросы обработки Персональных данных.

1.6. Нормативные ссылки

- Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»).

- Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации».

- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

- Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

1.7. Действие настоящей Политики распространяется на все процессы Индивидуального предпринимателя, в рамках которых осуществляется обработка Персональных данных, как с использованием средств вычислительной техники, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств, с учетом положений п. 1.2. настоящей Политики.


2. Термины и принятые сокращения

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту Персональных данных), в том числе фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, должность, профессия, доходы, изображение, номер телефона и/или адрес электронной почты Субъекта Персональных данных, данные, автоматически передаваемые Оператору с помощью установленного на устройстве Субъекта Персональных данных программного обеспечения (при условии, что на основании этих данных можно идентифицировать Субъекта), в том числе IP-адрес, индивидуальный сетевой номер устройства, полученные Оператором в результате договорных или иных гражданско-правовых отношений с третьими лицами, а также при осуществлении Оператором хозяйственной деятельности (в том числе, Персональные данные Работника и/или Контрагента).

Субъект Персональных данных (Субъект) —физическое лицо, обладающее Персональными данными прямо или косвенно его определяющими.

Веб-сайт - совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу http://центр-роста.рф/

Пользователь Веб-сайта – дееспособное физическое лицо, использующее или намеревающееся использовать веб-сайта http://центр-роста.рф/

Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с Персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Распространение Персональных данных — действия, направленные на раскрытие Персональных данных неопределенному кругу лиц.

Персональные данные, разрешенные субъектом персональных данных для распространения – это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежностьперсональных данных конкретному субъекту персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку, информационных технологий и технических средств.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Порядок и условия обработки, хранения и блокирования персональных данных

3.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.

3.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

3.3. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

3.4. Согласие на обработку Персональных данных может быть отозвано Субъектом Персональных данных. В случае, если Персональные данные были получены Индивидуальным предпринимателем от Субъекта Персональных данных через веб-сайты, Субъект Персональных данных может отозвать согласие на обработку своих Персональных данных, направив запрос на электронную почту saifulina@211.ru, при этом запрос должен включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) Субъекта Персональных данных, а также перечень Персональных данных, обработка которых подлежит прекращению.

3.5. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

3.6. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.

3.7. Обработка персональных данных осуществляется путем:

· получения персональных данных в устной и письменной форме непосредственно с согласия субъекта персональных данных на обработку или распространение его персональных данных;

· получения персональных данных из общедоступных источников;

· внесения персональных данных в журналы, реестры и информационные системы Оператора;

· использования иных способов обработки персональных данных.

3.8. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

3.9. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

3.10. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий.

3.11. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором или соглашением.

3.12. При сборе персональных данных, в том числе посредством информационно телекоммуникационной сети интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данныхграждан Российской Федерации с использованием баз данных, находящихся на территорииРоссийской Федерации, за исключением случаев, указанных в Законе о персональных данных.

3.13. Хранение Персональных данных.

3.13.1. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

3.13.2. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

3.13.3. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.

3.13.4. Не допускается хранение и размещение документов, содержащих Персональные данные, в открытых электронных каталогах (файлообменниках).

3.13.5. Хранение Персональных данных в форме, позволяющей определить субъекта Персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.14. Уничтожение Персональных данных.

3.14.1. Уничтожение документов (носителей), содержащих Персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

3.14.2. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.

3.14.3. Факт уничтожения Персональных данных подтверждается документально актом об уничтожении носителей.

3.15. Блокирование Персональных данных.

3.15.1. Блокирование Персональных данных конкретного Субъекта Персональных данных должно осуществляться во всех информационных системах Персональных данных, содержащих такие Персональные данные.

3.15.2. Блокирование Персональных данных осуществляется:

· в случае выявления неправомерной обработки Персональных данных при обращении/направлении запроса Субъекта Персональных данных или его представителя либо уполномоченного органа по защите прав Субъектов Персональных данных с момента такого обращения или получения указанного запроса на период проверки;

· в случае отсутствия возможности уничтожения Персональных данных в установленные сроки до их уничтожения.

3.15.3. После устранения выявленной неправомерной обработки Персональных данных Индивидуальный предприниматель осуществляет снятие блокирования Персональных данных. Решение о блокировании и снятии блокирования Персональных данных принимается лицом, ответственным за организацию обработки Персональных данных.

4. Передача персональных данных

4.1. При передаче Персональных данных Субъекта Оператор обязан соблюдать следующие требования:

· не сообщать Персональные данные Субъекта третьей стороне без надлежащего согласия Субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в случаях, предусмотренных действующим законодательством;

· не сообщать Персональные данные Субъекта в коммерческих целях без его надлежащего согласия;

· передавать Персональные данные Субъекта представителям Субъекта в порядке, установленном действующим законодательством, и ограничивать эту информацию только теми Персональными данными Субъекта, которые необходимы для выполнения указанными представителями их функций;

· предупредить лиц, получающих Персональные данные Субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

4.2. Лица, получающие Персональные данные Субъекта, обязаны соблюдать требования конфиденциальности.

4.3. Передача Персональных данных Субъектов третьим лицам осуществляется Оператором только с их надлежащего согласия, за исключением случаев, если:

· передача необходима для защиты жизни и здоровья Субъекта, либо других лиц и получение его согласия невозможно;

· по запросу органов дознания, следствия и суда в связи с проведением расследования или судебным разбирательством;

· в иных случаях, прямо предусмотренных федеральными законами.

4.4. В случае оформления письменного согласия Субъекта на передачу его Персональных данных третьим лицам, согласие должно включать в себя:

· фамилию, имя, отчество, адрес Субъекта, серию, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

· наименование (фамилию, имя, отчество) и адрес физического или юридического лица, получающего с согласия Субъекта его Персональные данные;

· цель обработки Персональных данных Субъекта третьей стороной;

· перечень Персональных данных, на передачу которых дается согласие Субъекта;

· перечень действий третьей стороны с Персональными данными, на совершение которых дается согласие, общее описание используемых третьей стороной способов обработки Персональных данных;

· срок, в течение которого действует согласие, а также порядок его отзыва.

4.5. В случае если Индивидуальный предприниматель пользуется услугами третьих лиц на основании заключенных договоров (либо иных оснований), и в силу данных договоров они должны иметь доступ к Персональным данным, обрабатываемым Индивидуальным предпринимателем, то соответствующие Персональные данные предоставляются Индивидуальным предпринимателем только после подписания с данными лицами соглашения о неразглашении Персональных данных или включения в договоры пунктов о неразглашении Персональных данных, в том числе предусматривающих защиту Персональных данных.

5. Цели обработки персональных данных и состав персональных данных для каждой категории субъектов персональных данных

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

5.1. Индивидуальный предприниматель обрабатывает Персональных данные Контрагентов, если они являются Субъектами, их представителей и/или работников, указанные в п. 5.1.1. настоящей Политики в целях:

· формирования и исполнения договоров гражданско-правового характера;

· отслеживания взаиморасчетов с Контрагентами;

· учета данных для подписания актов выполненных работ с Контрагентами;

· взаимодействия с Контрагентами, представителями / работниками Контрагентов после истечения сроков действия гражданско-правовых договоров для осуществления информационных и рекламных рассылок (по номеру телефона, включая мессенджеры и электронную почту);

5.1.1. Индивидуальный предприниматель обрабатывает следующие Персональные данные Контрагентов, если они являются Субъектами, работников и/или представителей Контрагентов:

· фамилия, имя, отчество;

· дата рождения;

· пол;

· адрес электронной почты;

· номер телефона;

· компания (компания работодателя / представляемого лица);

· должность;

· иные Персональные данные, предоставляемые Контрагентом.

5.2. Индивидуальный предприниматель обрабатывает Персональные данные Пользователей Веб-сайта, указанные в п. 5.2.1. настоящей Политики в целях:

· идентификации стороны при регистрации на Веб-сайте;

· предоставления Пользователям услуг с использованием Веб-сайта;

· совершенствования Веб-Сайта;

· разработки новых сервисов и услуг Веб-сайта;

· реагирования на запросы Пользователей в службу поддержки Веб-сайта,

· информирования Пользователей о возможностях Сервисов Индивидуального предпринимателя,

· направления запросов, касающихся использования Веб-сайта;

· выполнения маркетинговых задач;

· выполнения статистических и иных исследований;

· реализации отношений по предоставлению Индивидуальным предпринимателем данных из cookies третьим лицам для осуществления ими деятельности по демонстрации Пользователям таргетированных рекламных и информационных материалов в сети Интернет или для оказания третьими лицами иных услуг Пользователям в установленном законом порядке;

· рекламных и информационных рассылок, включая электронные сообщения, push-сообщения;

5.2.1. Индивидуальный предприниматель обрабатывает следующие Персональные данные Пользователей:

· фамилия, имя, отчество;

· данные документа, удостоверяющего личность;

· адрес регистрации;

· платежные данные;

· адрес электронной почты;

· номер телефона;

· фамилия, имя, отчество;

· дата рождения;

· пол;

· изображение пользователя (аватар);

· иные Персональные данные, предоставляемые Пользователем.

5.3. Индивидуальный предприниматель обрабатывает следующие иные данные Пользователей:

· геопозиция Пользователя (мобильное приложение);

· cookie, IP-адрес, user-agent браузера;

· рекламный идентификатор мобильного устройства Пользователя;

· индивидуальный сетевой номер устройства Пользователя.

5.4. В целях обеспечения функционирования программных продуктов, реализации отдельных функциональных возможностей и реагирования на запросы в службу поддержки Индивидуальный предприниматель может осуществлять передачу Персональных данных Пользователей Аффилированным лицам. Передача Персональных данных Пользователей осуществляется в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

6. Защита персональных данных

6.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных, состоящая из подсистем правовой, организационной и технической защиты.

4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование система защиты персональных данных.

6.3. Подсистема организационной защиты включает в себя организацию структуры управления система защиты персональных данных, разрешительной системы, защиты информации при работе с партнерами и сторонними лицами.

6.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту система защиты персональных данных.

6.4. Основными мерами защиты Персональных данных, используемыми Оператором, являются:

6.5.1. Назначение лица, ответственного за обработку Персональных данных, которое осуществляет организацию обработки Персональных данных, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите Персональных данных.

6.5.2. Разработка политики в отношении обработки персональных данных.

6.5.3. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.

6.5.4. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

6.5.5. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

6.5.6. Соблюдение условий, обеспечивающих сохранность Персональных данных и исключающих несанкционированный к ним доступ.

6.5.7. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.

6.5.8. Восстановление Персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

6.5.9. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.

6.5.10. Осуществление внутреннего контроля и аудита.

7. Основные права субъекта Персональных данных и обязанности Оператора

7.1. Основные права субъекта Персональных данных.

Субъект имеет право на доступ к его персональным данным и следующим сведениям:

· подтверждение факта обработки Персональных данных Оператором;

· правовые основания и цели обработки Персональных данных;

· цели и применяемые Оператором способы обработки Персональных данных;

· наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к Персональным данным или которым могут быть раскрыты Персональные данные на основании договора с Оператором или на основании федерального закона;

· сроки обработки персональных данных, в том числе сроки их хранения;

· порядок осуществления субъектом Персональных данных прав, предусмотренных настоящим Федеральным законом;

· наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку Персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

· обращение к Оператору и направление ему запросов;

· обжалование действий или бездействия Оператора.

7.2. Обязанности Оператора.

Оператор обязан:

· при сборе Персональных данных предоставить информацию об обработке Персональных данных;

· в случаях если Персональных данных были получены не от субъекта Персональных данных, уведомить субъекта;

· при отказе в предоставлении Персональных данных субъекту разъясняются последствия такого отказа;

· опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки Персональных данных, к сведениям о реализуемых требованиях к защите Персональных данных;

· принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий в отношении Персональных данных;

· давать ответы на запросы и обращения субъектов Персональных данных, их представителей и уполномоченного органа по защите прав субъектов Персональных данных.


8. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

8.1. Каждый Работник, осуществляющий обработку Персональных данных, несет персональную ответственность за соблюдение требований настоящей Политики и обеспечение мер по защите Персональных данных.

8.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту Персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном законодательством Российской Федерации, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном действующим законодательством.