1 Общие положения1.1. Настоящая политика обработки персональных данных (далее – Политика) разработана в
соответствии со ст. 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»), определяет принципы и основные положения в отношении обработки персональных данных, а также содержит сведения о реализуемых требованиях к защите персональных данных ИП Шемякиной Вероники Сергеевны (ОГРНИП 324774600317473) (далее – Оператор).
1.2. Политика разработана в целях реализации требований законодательства Российской
Федерации (далее – законодательство РФ) в области персональных данных и направлена на
обеспечение защиты прав и свобод физических лиц, персональные данные которых обрабатывает Оператор (далее – Субъект персональных данных).
1.3. Настоящая Политика применима ко всем случаям обработки персональных данных
1.4. В целях реализации Политики Оператором разрабатываются соответствующие
локальные нормативные акты, регламентирующие порядок обработки персональных данных.
1.5. Для целей настоящей Политики используются понятия, предусмотренные ФЗ «О персональных данных»
- персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (Субъекту персональных данных);
- оператор персональных данных (Оператор) – индивидуальный предприниматель, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с использованием средств автоматизации или без их использования.
- обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание;
- обработка персональных данных по поручению – обработка персональных данных на основании договоров, предусматривающих поручение обработки персональных данных в соответствии с ч. 3 ст. 6 ФЗ «О персональных данных».
- 1.6. Основные права Субъекта персональных данных:
- получать информацию, касающуюся обработки его персональных данных;
- уточнять, блокировать или уничтожать персональные данные в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отзывать согласие на обработку персональных данных;
- защищать свои права и законные интересы, принимать предусмотренные законодательством РФ меры;
- обжаловать действия или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных (далее – Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций об обработке персональных данных) или в суд.
- 1.7. Основные обязанности Оператора персональных данных:
- соблюдать законность целей и способов обработки персональных данных;
- ограничивать обработку персональных данных достижением определенных целей;
- обрабатывать только персональные данные, которые отвечают целям обработки;
- не допускать объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- хранить персональные данные в форме, позволяющей определить Субъекта персональных данных, не дольше, чем того требуют цели обработки;
- обеспечить точность персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки;
- прекратить обработку персональных данных, блокировать, уничтожить персональные данные/обеспечить прекращение обработки персональных данных, блокирование, уничтожение персональных данных (если обработка осуществляется другим лицом по поручению Оператора) в случаях, установленных законодательством РФ;
- обеспечивать конфиденциальность персональных данных;
- принимать необходимые меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
- по запросу Субъекта персональных данных сообщить о наличии персональных данных, предоставить возможность ознакомления с обрабатываемыми персональными данными, а также предоставлять информацию, касающуюся обработки персональных данных Субъекта;
- уведомлять Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций об обработке персональных данных (в том числе о намерении осуществлять обработку персональных данных), направлять информационные письма о внесении изменений в реестр Операторов при необходимости;
- уведомлять Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Субъектов персональных данных;
- предоставлять в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций необходимую информацию по запросам этого органа;
- взаимодействовать в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
- Оператор вправе осуществлять обработку персональных данных без уведомления
- Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций об обработке персональных данных в случае, если Оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации.
- 1.8. Основные принципы обработки персональных данных:
- соблюдение законности целей и способов обработки персональных данных;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных целей;
- обработке подлежат только персональные данные, которые отвечают целям обработки;
- содержание и объем обрабатываемых персональных данных, а также способы их обработки должны соответствовать целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- не допускается обработка персональных данных, несовместимая с целями обработки;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных, не дольше, чем того требуют цели обработки;
- обеспечение точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки;
- уничтожение персональных данных по истечении срока хранения;
- обеспечение конфиденциальности и защиты персональных данных.
2 Правовые основы обработки персональных данных2.1. Обработка персональных данных осуществляется Оператором на законной и
справедливой основе. Правовыми основаниями для обработки являются:
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный Закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской
- Федеральный закон от 29.11.2007 № 282-ФЗ «Об официальном статистическом учете и системе государственной статистики в Российской Федерации»;
- Федеральный закон от 01.04.1996 № 27-ФЗ (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Локальные нормативные акты Оператора;
- Договоры, заключаемые в процессе хозяйственной деятельности Оператора;
- Договоры, предусматривающие поручение обработки персональных данных Оператору;
- Согласия на обработку персональных данных.
3 Субъекты персональных данных, состав обрабатываемых персональных данных3.1. Оператор осуществляет обработку персональных данных следующих категорий
Субъектов персональных данных:
3.1.1. Контрагенты, их представители:
- физические лица, состоящие в договорных и иных гражданско-правовых отношениях с
- физические лица, являющиеся руководителями, представителями и работниками контрагентов Оператора;
- физические лица, выразившие согласие на обработку персональных данных Оператору.
3.2. Состав обрабатываемых персональных данных по каждой категории Субъектов
персональных данных зависит от цели обработки персональных данных:
- Для категории «физические лица, состоящие в договорных и иных гражданско-правовых отношениях с Оператором» перечень обрабатываемых персональных данных: фамилия, имя, отчество; контактный телефон; адрес электронной почты (e-mail); дата рождения; место жительство, включающее регион проживания и город; логин Skype или ссылку на профиль в любой социальной сети.
- Для категории «физические лица, являющиеся руководителями, представителями и работниками контрагентов Оператора» перечень обрабатываемых персональных данных: фамилия, имя, отчество; контактный телефон; адрес электронной почты (e-mail);
- Для категории «физические лица, выразившие согласие на обработку персональных данных Оператору» перечень обрабатываемых персональных данных:
- фамилия, имя, отчество; контактный телефон; адрес электронной почты (e-mail); дата рождения; место жительство, включающее регион проживания и город; логин Skype или ссылку на профиль в любой социальной сети.
- 4 Цели обработки персональных данных
- 4.1. Обработка персональных данных осуществляется в целях:
- ведения бухгалтерского и налогового учета;
- заключения и исполнения договоров;
- оплаты услуг;
- направление обращений на Сайте https://ppannika.ru ;
- направления информационных и рекламных сообщений;
- выполнения функций и обязанностей, возложенных законодательством РФ (передача информации о Субъектах персональных данных уполномоченным государственным органам в случаях и в объеме, установленных законодательством РФ);
- реализации прав и законных интересов Оператора в рамках осуществления деятельности (представление интересов Оператора в организациях, в уполномоченных государственных органах, в том числе, судах).
- 4.2. Цели обработки персональных данных определены исходя из осуществляемой деятельности и конкретных бизнес-процессов Оператора.
- 4.3. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обработка персональных данных, несовместимая с целями сбора персональных данных не допускается.
- 5 Организация обработки персональных данных
- 5.1. Обработка персональных данных Оператором осуществляется с согласия Субъекта персональных данных, за исключением случаев, предусмотренных законодательством РФ, когда такое согласие не требуется.
- 5.2. Оператор обрабатывает персональные данные как с использованием средств
- автоматизации (с помощью средств вычислительной техники), так и без использования таких средств.
- 5.3. При обработке персональных данных обеспечиваются их точность, достаточность, а при необходимости – и актуальность по отношению к целям обработки. Оператор принимает необходимые меры по удалению или уточнению неполных, или неточных персональных данных.
- 5.4. Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении Субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется.
- 5.5. Оператор обеспечивает конфиденциальность обрабатываемых персональных данных. Персональные данные не раскрываются третьим лицам и не распространяются иным образом без согласия Субъекта персональных данных, если иное не предусмотрено законодательством РФ.
- 5.6. Оператор вправе поручить Обработку персональных данных третьим лицам, на
- основании заключаемого с этим лицом договора, обязательным условием которого является соблюдение принципов и правил обработки персональных данных, предусмотренных ФЗ «О персональных данных». Оператор несет ответственность перед Субъектом персональных данных за действия лиц, которым Оператор поручает обработку персональных данных.
- 5.7. Передача персональных данных третьим лицам осуществляется исключительно для достижения целей обработки, а также в случаях, предусмотренных законодательством РФ. Передача персональных данных уполномоченным государственным органам осуществляется по
- основаниям, предусмотренным законодательством РФ.
- 5.8. Оператор не осуществляет трансграничную передачу персональных данных.
- 5.9. В случае отзыва Субъектом персональных данных согласия на их обработку она может быть продолжена при наличии оснований, предусмотренных в п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ «О персональных данных».
- 6 Сроки обработки и хранения персональных данных
- 6.1. Обработка персональных данных (в том числе их хранение) осуществляется в течение сроков, необходимых для достижения целей обработки, сроков, предусмотренных договором или согласием Субъекта персональных данных на обработку его персональных данных, а также законодательством РФ.
- 6.2. Базы данных, содержащие персональные данные, обрабатываемые Оператором,
- находятся на территории РФ.
- 7 Обеспечение безопасности персональных данных
- 7.1. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, в соответствии с законодательством РФ в области персональных данных.
- Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
- 7.2. Основными мерами защиты персональных данных, реализуемыми Оператором,
- являются:
- назначение ответственного за организацию обработки персональных данных;
- обеспечение неограниченного доступа к Политике;
- утверждение локальных нормативных актов, регламентирующие порядок обработки персональных данных;
- установление правил доступа к персональным данным, обрабатываемым в информационных системах, а также обеспечение регистрации и учета всех действий с ними (при наличии ИС);
- оценка вреда, который может быть причинен Субъектам персональных данных в случае нарушения ФЗ «О персональных данных»;
- определение угроз безопасности персональных данных при их обработке в информационной системе Оператора (при наличии ИС);
- применение организационных и технических мер и использование средств защиты информации, необходимых для обеспечения установленного уровня защищенности персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;
- осуществление систематического внутреннего контроля соответствия обработки персональных данных ФЗ «О персональных данных», принятым в соответствии с ним
- нормативным правовым актам, требованиям к защите персональных данных и локальным нормативным актам Оператора, включающий контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня их защищенности при обработке в информационной системе Оператора;
- информирование Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций об обработке персональных данных о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекших нарушение прав Субъектов персональных данных;
- обеспечение в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных;
- применение иных мер, предусмотренных законодательством РФ в области персональных данных.
- 7.3. Конкретные меры по обеспечению безопасности персональных данных устанавливаются в соответствии с локальными нормативными актами Оператора, регламентирующими порядок обработки персональных данных.
- 8 Рассмотрение запросов Субъектов персональных данных
- 8.1. Для реализации своих прав и законных интересов Субъекты персональных данных
- имеют право обратиться к Оператору с запросом/обращением. Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись Субъекта персональных данных или его представителя.
- 8.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, указанных в части 7 статьи 14 ФЗ «О персональных данных», а также право на ознакомление со своими персональными данными. Оператор сообщает Субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему Субъекту персональных данных, а также предоставляет Субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому Субъекту персональных данных, при обращении Субъекта персональных данных или его представителя либо в течение 10 (десяти) рабочих дней с даты получения запроса Субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес Субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления информации. В случае отказа в предоставлении информации Субъекту персональных данных или его представителю при их обращении/запросе Оператор дает в письменной форме мотивированный ответ в срок, не превышающий 10 (десяти) рабочих дней со дня обращения/запроса. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес Субъекта персональных данных мотивированного уведомления с указанием
- причин продления срока предоставления запрашиваемой информации.
- В случае предоставления Субъектом персональных данных или его представителем
- сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор вносит в них необходимые изменения в срок, не превышающий 7 (семи) рабочих дней со дня предоставления Субъектом персональных данных или его представителем таких сведений.
- В случае представления Субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор уничтожает такие персональные данные в срок, не превышающий 7 (семи) рабочих дней со дня представления Субъектом персональных данных или его представителем таких сведений. Оператор уведомляет Субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого Субъекта были переданы.
- 9 Заключительные положения
- 9.1. Контроль за соблюдением требований законодательства РФ, а также локальных
- нормативных актов Оператора, регламентирующих порядок обработки персональных данных, осуществляется лицом ответственным за организацию обработки персональных данных.
- 9.2. Лица, виновные в нарушении требований законодательства РФ и локальных
- нормативных актов Оператора в области персональных данных, несут ответственность, предусмотренную законодательством РФ.
- 9.3. Действующая Политика размещена на странице по адресу - https://ppannika.ru/privacy