Политика в отношении обработки персональных данных
Ложкиной Дарьи Николаевны
(ОГРНИП: 320665800045328)
1. Назначение и область действия документа 1.1. Политика в отношении обработки персональных данных (далее по тексту также — «Политика») определяет позицию и намерения в области обработки и защиты персональных данных, с целью соблюдения и защиты прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
1.2. Политика неукоснительно исполняется руководителями и работниками.
1.3. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые с применением средств автоматизации и без применения таких средств.
1.4. К настоящей Политике имеет доступ любой субъект персональных данных, в том числе с использованием сети «Интернет».
1.5. Настоящая политика может актуализироваться в одностороннем порядке в любой момент. Рекомендуется регулярно проверять содержание настоящей Политики на предмет ее возможных изменений.
Если иное не предусмотрено Политикой, все вносимые в нее изменения вступают в силу с даты, указанной в Политике.
1.6. Во всем ином, что не предусмотрено настоящей Политикой, необходимо руководствоваться положениями действующего законодательства Российской Федерации.
2. Термины 2.1.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). К такой информации, в частности, можно отнести: ФИО, год, месяц, дата и место рождения, адрес, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, доходах, а также другую информацию, позволяющую по совокупности определить (идентифицировать) субъекта персональных данных.
2.2.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.3.
Субъект персональных данных — физическое лицо, чьи персональные данные обрабатываются.
2.4.
Оператор — лицо, самостоятельно или совместно с иными лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Для целей настоящей Политики Индивидуальный предприниматель, обрабатывая персональные данные, является оператором, если иное прямо не указано в Политике.
2.5.
Обработчик — любое лицо, которое на основании договора с оператором осуществляет обработку персональных данных по поручению такого оператора, действуя от имени и (или) в интересах последнего при обработке персональных данных. Оператор несет ответственность перед субъектом персональных данных за действия или бездействия обработчика. Обработчик несет ответственность перед оператором.
2.6.
Трансграничная передача персональных данных — это передача персональных данных оператором через государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.
2.7. Прочие термины используются в настоящей Политике в соответствии со значениями, определяемыми действующим законодательством Российской Федерации, если иное прямо не указано в Политике.
3. Порядок и условия обработки персональных данных 3.1. Под безопасностью персональных данных понимается защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. В отношении полученных персональных данных принимаются необходимые правовые, организационные и технические меры для ее защиты.
3.2. Обработка и обеспечение безопасности персональных данных осуществляется в соответствии с требованиями Конституции Российской Федерации, Федерального закона № 152-ФЗ «О персональных данных», подзаконных актов, других определяющих случаи и особенности обработки персональных данных законов Российской Федерации, а также руководящих и методических документов Правительства Российской Федерации, Минцифры России, Роскомнадзора, ФСТЭК России и ФСБ России.
3.3. При обработке персональных данных Оператор руководствуется следующими принципами:
· законности и справедливости;
· ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
· недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
· недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
· соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
· недопущения избыточности обрабатываемых персональных данных по отношению к заявленным целям обработки;
· обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных, а также принятия мер по удалению или уточнению неполных или неточных данных;
· прозрачности обработки персональных данных: субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
· осуществления хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
3.4. Оператор обрабатывает персональные данные на следующих условиях:
· Цель: предоставление доступа Субъекта персональных данных к оказанию платных Услуг
· Сбор Персональных данных осуществляется путем предоставления персональных данных в анкете полученной от ИП Ложкиной Д.Н. через Сайт или иным способом. Сбор согласий Субъектов персональных данных на хранение и обработку Персональных данных осуществляется на указанном сайте или напрямую у ИП Ложкиной Д.Н.;
· Хранение собранных Персональных данных осуществляется на условиях соблюдения всех требований законодательства РФ к хранению и обработке персональных данных.
· Срок обработки персональных данных только в течение срока, на который было дано согласие на обработку персональных данных.
· По истечении срока обработки персональных данных производится их уничтожение.
3.6. Допускается поручение обработки персональных данных третьим лицам — обработчикам — на основании заключаемых с этими лицами договоров.
Обработчики обязуются соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных» (включая ст. 18.1 и ч. 5 ст. 18), иными законами и подзаконными актами. Для каждого обработчика в договоре будут определены:
· перечень обрабатываемых персональных данных;
· цели их обработки;
· перечень действий (операций), которые будут совершаться с персональными данными обработчиком;
· обязанности обработчика по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке, а также перечень принимаемых обработчиком мер по обеспечению защиты обрабатываемых им персональных данных, включая требование об уведомлении об инцидентах с персональными данными;
· обязанность по запросу в течение срока действия поручения на обработку персональных данных предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения требований, установленных Федеральным законом № 152-ФЗ.
Обработчик не обязан получать согласие субъекта персональных данных на обработку его персональных данных. Если для обработки персональных данных по поручению необходимо получение согласия субъекта персональных данных, такое согласие получает непосредственно Обработчик.
3.7. В случаях, установленных законодательством Российской Федерации, допускается вправе осуществление передачи персональных данных третьим лицам, в том числе без поручения таким лицам обработки персональных данных.
3.8. Если иное не предусмотрено законодательством Российской Федерации, персональные данные не подлежат обработке и подлежат уничтожению (в отношении любой из заявленных выше целей) в случаях:
· Смерти субъекта персональных данных;
· Ликвидации Оператора;
· отпадения правовых оснований обработки персональных данных и/или достижения целей обработки персональных данных.
3.9. Допускается сбор технической информации, когда пользователь посещает веб-сайты или использует мобильные приложения и услуги. Сюда входит такая информация, как IP-адрес, тип используемого мобильного устройства, операционная система устройства и тип браузера, уникальный идентификатор устройства, адрес ссылающихся веб-сайтов, путь, по которому пользователь проходит через веб-сайты и мобильные приложения, и так далее. Допускается также использовать такие технологии, как файлы cookie, веб-маяки и идентификаторы мобильных устройств, для сбора информации об использовании веб-сайтов и мобильных сервисов. Файлы cookie позволяют предоставлять пользователям соответствующую информацию по мере использования ими веб-сайтов и мобильных сервисов (например, открывать и загружать соответствующие страницы). Веб-маяки позволяют узнавать, была ли посещена определенная страница, было ли открыто электронное письмо или были ли эффективны рекламные баннеры на веб-сайтах и других сайтах.
Данная информация используется для обеспечения работоспособности своих веб-сайтов и мобильных приложений, для повышения качества оказываемых услуг, исправления ошибок и улучшения пользовательского опыта в целом. При этом не преследуется цель идентифицировать конкретного пользователя веб-сайтов, мобильных приложений и услуг.
3.10. При осуществлении обработки персональных данных:
· принимаются меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации, внутренних документов и локальных нормативных актов в области персональных данных;
· принимаются правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
· назначается лицо, ответственное за организацию обработки персональных данных;
· осуществляется ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации, внутренних документов и локальных нормативных актов в области персональных данных, в том числе с требованиями к защите персональных данных, и обучение указанных работников;
· проводятся регулярные обязательные тренинги для своих работников по вопросам персональных данных;
· осуществляется внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям законодательства Российской Федерации и принятым в соответствии с ним нормативным правовым актам, иным требованиям к защите персональных данных, настоящей Политике, внутренним документам и локальным нормативным актам в области персональных данных;
· публикуется или иным образом обеспечивается неограниченный доступ к настоящей Политике;
· прекращается обработка персональных данных и уничтожается в случаях, предусмотренных законодательством Российской Федерации;
· совершаются иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.
4. Права субъекта персональных данных Лицо, персональные данные которого обрабатываются, имеет:
· право на отзыв ранее данного им согласия на обработку персональных данных;
· право на получение информации, касающейся обработки персональных данных;
· право требовать уточнения своих персональных данных, их блокирования или уничтожения, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки, а также требовать прекращения обработки персональных данных, если цель такой обработки достигнута.
Если иной порядок взаимодействия Оператора и субъекта персональных данных не предусмотрен соответствующим документом между ними (например, договором или текстом согласия на обработку персональных данных), для реализации указанных прав субъекту персональных данных необходимо направить Оператору заявление:
· в письменной форме и подписанное собственноручной подписью — по адресу регистрации.
· в виде электронного документа и подписанное электронной подписью — на электронную почту
darya.lozhkina.assistant@gmail.com.
Такое заявление должно в обязательном порядке содержать описание требований субъекта персональных данных, а также следующие сведения:
· ФИО субъекта персональных данных;
· номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе
ЛИБО иные данные, позволяющие однозначно идентифицировать субъекта персональных данных;
· сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором,
ЛИБО сведения, иным способом подтверждающие факт обработки персональных данных Оператором;
· подпись субъекта персональных данных или его представителя.
Субъект персональных данных также вправе обжаловать действия (бездействия) и решения Оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) и в суд в порядке, установленном законодательством Российской Федерации.
5. Сведения о реализуемых требованиях к защите персональных данных Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Оператор регулярно пересматривает и актуализирует принимаемые меры для обеспечения наилучшей защищенности обрабатываемых персональных данных – такие меры описываются в настоящей Политике, внутренних документах и локальных нормативных актах.
К таким мерам, в частности, относится:
· определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
· применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
· применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
· обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
· восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
· установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
· контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
· учет машинных носителей персональных данных;
· размещение технических средств обработки персональных данных в пределах недоступных для посторонних лиц;
· проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных.
6. Вступление в силу Настоящая Политика ступает в силу с 06 ноября 2023 года.