1. Общие положения
1.1 Настоящая политика ИП Матвеевой И. Ю. (далее по тексту «Оператор») в отношении обработки персональных данных (далее — Политика) разработана во исполнение пп. 2. ч. 1 ст. 18.1. федерального закона Российской Федерации от 27.07.2006 «О персональных данных» № 152-ФЗ (далее по тексту «152-ФЗ») в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Обработка персональных данных Оператором осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных, Политикой и иными внутренними локальными актами Оператора по вопросам обработки персональных данных.
1.3. Основные понятия, используемые в политике Оператора:
- персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- персональные данные, разрешенные субъектом персональных данных для распространения — это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;
- субъект персональных данных — физическое лицо, являющееся обладателем персональных данных, по которым его можно определить.
- обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- смешанная обработка персональных данных — совокупность обработки персональных данных с помощью средств вычислительной техники и непосредственного участия человека;
- распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц; предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.4. Политика действует в отношении всех персональных данных, обрабатываемых Оператором с использованием средств автоматизации, а также без использования таких средств.
1.5. Во исполнение требований законодательства Российской Федерации в области персональных данных Оператором принимаются локальные акты по вопросам обработки персональных данных, определяющие цели обработки персональных данных, а также для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в области персональных данных, устранение последствий таких нарушений. Общество осуществляет обработку персональных данных, исходя из следующих принципов:
- обработка персональных данных должна осуществляться на законной и справедливой основе;
- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки;
- обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
- оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
- хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом либо договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
1.6. Во исполнение требований ч. 2 ст. 18.1 152-ФЗ, Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на официальном сайте Оператора matveeva.expert.ru.
2. Информация об операторе
2.1. Полное наименование Оператора: Индивидуальный предприниматель Матвеева Ирина Юрьевна. Сокращенное наименование: ИП Матвеева И. Ю. 2.2.Адрес электронной почты Оператора:
sale@matveeva.expert 2.3. Официальный сайт Опертора: matveeva.expert.ru.
3. Цели обработки персональных данных. Категории субъектов персональных данных. Объём и категории обрабатываемых персональных данных.
3.1. Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. 3.2. Оператор осуществляет обработку персональных данных в целях обеспечения соблюдения Конституции Российской Федерации, законодательных и нормативно правовых актов Российской Федерации, реализации уставной деятельности Оператора.
3.3. Обработка персональных данных осуществляется Оператором в заранее определенных целях. В зависимости от конкретных целей обработки персональных данных такая обработка может включать в себя, в частности, совершение всех или некоторых из следующих действий (операций) с персональными данными: сбор (получение), запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. 3.4. Обработка персональных данных осуществляется в целях:
3.4.1. продвижения услуг на рынке (коммуникация с потенциальными клиентами с помощью средств связи, указанных с согласия субъекта персональных данных). Категории субъектов персональных данных – посетители сайта, потенциальные клиенты, контрагенты и их представители; Категории (перечень) обрабатываемых персональных данных - фамилия, имя, отчество; дата рождения; пол; адрес электронной почты; номер телефона; должность (профессия); фото-видео изображение лица; сведения собираемые посредством метрических программ. Способ обработки персональных данных – смешанный (с использованием средств автоматизации и без использования средств автоматизации). Срок обработки (в т.ч. хранение) – до прекращения деятельности Оператора. Порядок уничтожения персональных данных – уничтожение осуществляется комиссией либо уполномоченным работником согласно приказу Оператора путем удаления, измельчения, механического разрушения и т.п. Уничтожение персональных данных, находящихся на архивном хранении, производится в соответствии с архивным законодательством.
3.4.2. оформления и выполнения договорных и преддоговорных отношений: категории субъектов персональных данных – контрагенты Оператора – физические лица (работники или законные представители юридических лиц), лица, имеющие статус индивидуального предпринимателя. Категории (перечень) обрабатываемых персональных данных - фамилия, имя, отчество; адрес, номер телефона, адрес электронной почты, место работы, должность, паспортные данные, ИНН, данные документа, удостоверяющего личность. Способ обработки персональных данных – смешанный (с использованием средств автоматизации и без использования средств автоматизации). Срок обработки (в т.ч. хранение) – прекращения деятельности Оператора; порядок уничтожения персональных данных – уничтожение осуществляется комиссией либо уполномоченным работником согласно приказу Оператора путем удаления, измельчения, механического разрушения и т.п. Уничтожение персональных данных, находящихся на архивном хранении, производится в соответствии с архивным законодательством.
3.4.3. выполнение требований законодательства, возложенных на Оператора как на работодателя (ведение кадрового и бухгалтерского учета; обеспечение соблюдения трудового, налогового, пенсионного законодательства Российской Федерации; оформление трудовых отношений с работниками Оператора, формирование кадрового резерва, установления гарантий и компенсаций в соответствии с законодательством 4 Российской Федерации, исполнение требований трудового, миграционного, налогового, пенсионного законодательства; представление установленных законодательством сведений и отчетности в уполномоченные государственные органы в отношении физических лиц, в том числе в Социальный фонд России, Федеральную налоговую службу РФ, органы воинского учета, органы статистики, органы занятости и иные уполномоченные органы в соответствии с законодательством РФ). Категории субъектов персональных данных – работники, близкие родственники работников, бывшие работники. Категории (перечень) обрабатываемых персональных данных - фамилия, имя, отчество; дата и место рождения, место жительства и регистрации, гражданство, данные документа, удостоверяющего личность, контактный телефон, семейное положение, сведения о детях, сведения о заключении брака, сведения об образовании, профессия, квалификация, сведения об аттестации, повышении квалификации, профессиональной переподготовки, специальность, стаж работы, ИНН, СНИЛС, сведения о воинском учете, сведения о трудовой деятельности, сведения о заработной плате, сведения о банковском счете (карте), сведения о социальных льготах, сведения о наградах, поощрениях, почетных званиях, сведения о членстве в общественных организациях, изображение, сведения об отсутствии судимости. Способ обработки персональных данных – смешанный (с использованием средств автоматизации и без использования средств автоматизации); срок обработки (в т.ч. хранение) – до прекращения деятельности Оператора; порядок уничтожения персональных данных – уничтожение осуществляется комиссией либо уполномоченным работником согласно приказу Оператора путем удаления, измельчения, механического разрушения и т.п. Уничтожение персональных данных, находящихся на архивном хранении, производится в соответствии с архивным законодательством.
3.4.4. рассмотрения кандидатуры соискателя на замещение вакантной должности: категории субъектов персональных данных – соискатели. Категории (перечень) обрабатываемых персональных данных - фамилия, имя, отчество; дата рождения, контактный телефон, адрес электронной почты, сведения об образовании, профессия, квалификация, сведения об аттестации, повышении квалификации, профессиональной переподготовки, специальность, стаж работы, сведения о трудовой деятельности, сведения о состоянии здоровья и необходимости особых условий работы, сведения о наградах, поощрениях, почетных званиях, изображение, сведения об отсутствии/наличии заболеваний наркоманией, токсикоманией, хроническим алкоголизмом, сведения об отсутствии судимости. Способ обработки персональных данных – смешанный (с использованием средств автоматизации и без использования средств автоматизации). Срок обработки (включая хранение) – до прекращения деятельности Оператора. Порядок уничтожения персональных данных – уничтожение осуществляется комиссией либо уполномоченным работником согласно приказу Оператора путем удаления, измельчения, механического разрушения и т.п. Уничтожение персональных данных, находящихся на архивном хранении, производится в соответствии с архивным законодательством.
3.5. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случае, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных, а также в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации.
3.6.Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных и только в отношении изображения, полученного с помощью фото- видео устройства, на основании которых можно установить его личность и которые используются оператором для установления личности или обезличивания субъекта персональных данных.
4. Основные права и обязанности оператора
4.1. Оператор имеет право:
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено 152-ФЗ или другими федеральными законами;
- поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные 152-ФЗ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
- в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в 152-ФЗ.
4.2. Оператор обязан:
- организовывать и осуществлять обработку персональных данных в соответствии с требованиями 152-ФЗ;
- отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями 152-ФЗ;
- сообщать по запросу уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) необходимую информацию;
- в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных;
- выполнять иные обязанности, предусмотренные 152-ФЗ.
5. Основные права субъекта персональных данных
5.1. Субъект персональных данных имеет право:
- получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен 152-ФЗ;
- требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;
- пользоваться иными правами, предусмотренными действующим законодательством Российской Федерации при обработке его персональных данных.
6. Правовые основания обработки персональных данных
6.1. Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 08.02.1998 № 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей";
- Федеральный закон от 06.12.2011 № 402-ФЗ "О бухгалтерском учете";
- Федеральный закон от 15.12.2001 № 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации";
- Федеральный закон от 29.11.2010 № 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации";
- принимаемые в соответствии с вышеуказанными нормативными правовыми актами локальные акты Оператора, а также согласие субъектов персональных данных на обработку их персональных данных в случаях, предусмотренных законодательством Российской Федерации о персональных данных.
7. Порядок и условия обработки персональных данных
7.1. Оператор осуществляет обработку персональных данных - действия (операции), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), включая обезличивание, блокирование, удаление, уничтожение персональных данных.
7.2. Обработка персональных данных Оператором осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.
7.3. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
7.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
7.5. Сроки хранения персональных данных на бумажном носителе определяются в соответствии с нормативными правовыми актами Российской Федерации. Сроки хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствуют срокам хранения персональных данных на бумажных носителях.
7.6. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
7.7. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
7.8. Работники Оператора, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.
7.9. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним локальными актами Оператора.
8. Актуализация, исправление, удаление, уничтожение персональных данных, ответы на запросы субъектов персональных данных
8.1. Подтверждение факта обработки персональных данных, правовые основания и цели обработки персональных данных, а также иные сведения, предусмотренные ч. 7 ст. 14 152-ФЗ, предоставляются субъекту персональных данных или его представителю в течение 10 рабочих дней с момента 7 обращения либо получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Оператор предоставляет сведения, указанные в ч. 7 ст. 14 152-ФЗ, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе. Если в обращении (запросе) субъекта персональных данных не отражены все необходимые сведения (в соответствии с требованиями 152-ФЗ) или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
8.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет (актуализирует, исправляет) персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
8.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
8.4.Условия и сроки уничтожения персональных данных Оператором:
- достижение цели обработки персональных данных либо утрата необходимости в достижении цели обработки персональных данных - в течение 30 дней;
- предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение семи рабочих дней;
- отзыв субъектом персональных данных согласия на обработку его персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных 152-ФЗ или другими федеральными законами, - в течение 30 дней.
9. Сведения о реализуемых требованиях к защите персональных данных
9.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические (программно- и аппаратно- реализуемые) меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. 9.2. В соответствии с 152-ФЗ, Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказом ФСТЭК от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» Оператором реализуются следующие меры для защиты обрабатываемых персональных данных:
- определение перечня персональных данных, обрабатываемых Оператором;
- назначение лица, ответственного за организацию обработки персональных данных;
- предоставление доступа к персональным данным только специально уполномоченным лицам;
- назначение лиц, ответственных за условия, обеспечивающие сохранность персональных данных и исключение несанкционированного к ним доступа, за обеспечение безопасности персональных данных в информационной системе;
- принятие локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- контроль выполнения работниками Оператора требований нормативных документов по защите персональных данных;
- проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения 152-ФЗ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным федеральным законом;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей политике в отношении обработки персональных данных, локальным актам Оператора;
- определение мест обработки (хранения) материальных носителей персональных данных;
- ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и(или) обучение указанных работников;
- применение программных продуктов, отвечающих требованиям защиты персональных данных;
- определение типа угроз безопасности персональных данных, актуальных для информационной системы;
- выявление угроз безопасности персональных данных и принятие соответствующих мер защиты;
- резервное копирование информационных ресурсов;
- своевременное выявление фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
- своевременное применение критических обновлений общесистемного и прикладного программного обеспечения;
- оптимальная настройка операционной системы и прикладного программного обеспечения вычислительных средств, применяемых для обработки данных;
- применение средств обнаружения и предотвращения компьютерных атак;
- применение в архитектуре вычислительных систем технологий и средств повышения надежности их функционирования и обеспечения безопасности информации;
- принятие иных мер, которые не противоречат законодательству Российской Федерации.
10. Заключительные положения
10.1. Политика обязательна для ознакомления и соблюдения всеми работниками Оператора.
10.2. Работник Оператора, имеющий доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, несет ответственность в соответствии с законодательством Российской Федерации.
10.3. Контроль за соблюдением Политики осуществляется ответственным за организацию обработки персональных данных у Оператора.