РечеЦветик

Telegram Vk Youtube
centr-logoped@ya.ru
+7 (985) 3-555-000
Записться на консультацию
Меню

«УТВЕРЖДАЮ»

Индивидуальный предприниматель

Гомозова Е.С.

«10» января 2025 г.

м.п.

ПОЛИТИКА КОНФЕДИЦИАЛЬНОСТИ

Индивидуального предпринимателя Гомозовой Елены Сергеевны

Ивантеевка, 2025 г.

Оглавление

1. Общие положения………………………………………………………………………………………………………. 3

2. Основные понятия в области персональных данных………………………………………………… 4

  1. Принципы и условия обработки персональных данных……………………………………………. 5
  2. Основные права и обязанности оператора персональных данных…………………………….. 6
  3. Основные права и обязанности субъекта персональных данных………………………………. 7
  4. Цели сбора и обработки персональных данных………………………………………………………… 7
  5. Категории субъектов персональных данных, состав персональных данных, источники их получения. 8
  6. Получение персональных данных……………………………………………………………………………. 12
  7. Порядок и условия обработки персональных данных…………………………………………….. 12
  8. Защита персональных данных.………………………………………………………………………………… 14
  9. Хранение персональных данных……………………………………………………………………………… 15
  10. Передача персональных данных……………………………………………………………………………… 16
  11. Распространение персональных данных…………………………………………………………………. 16
  12. Условия и порядок прекращения обработки персональных данных……………………… 16
  13. Порядок взаимодействия с субъектами персональных данных……………………………… 17
  14. Обеспечение безопасности персональных данных………………………………………………….. 18

1. Общие положения

Настоящий документ определяет политику Индивидуального предпринимателя Гомозовой Елены Сергеевны (далее Оператор) в отношении обработки и защиты персональных данных.

  • Политика конфиденциальности (далее – Политика) имеет целью обеспечение защиты прав и свобод субъекта персональных данных при обработке его персональных данных и разработана в целях выполнения норм федерального законодательства в области обработки субъектов персональных данных.
  • Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
  • Конституция Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Федеральный закон от 14.07.2022 г. № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 федерального закона «О банках и банковской деятельности»»;
  • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Постановлением Правительства Российской Федерации от 06.07.2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
  • Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  • Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
  • Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
  • иные нормативные правовые акты в области обработки и защиты персональных данных.
  • Устав Оператора;
  • договоры, заключаемые между Оператором и контрагентами, в том числе субъектами персональных данных;
  • согласие субъектов персональных данных на обработку их персональных данных.
  • Оператор считает своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
  • Настоящая Политика в отношении обработки и защиты персональных данных распространяется на персональных данных, полученные как до, так и после ее утверждения.

Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих у Оператора вопросы обработки персональных данных работников, обучающихся и других субъектов персональных данных.

  • Политика обязательна для ознакомления лицами, передающими Оператору персональные данные.
  • Политика распространяется на всех сотрудников Оператора (включая работников по трудовым договорам и сотрудников, привлекаемых на основании гражданско-правовых договоров), обучающихся, агентов и других субъектов персональных данных, состоящих в отношениях с Оператором.
  • Назначение Политики — защита прав субъектов персональных данных при обработке их персональных данных. Установление принципов работы компании с персональными данными.
  • Текущая редакция Политики размещается на официальном сайте Оператора и вступает в силу с момента ее размещения.
  • Оператор вправе вносить изменения в Политику.

2. Основные Понятия в области персональных данных

2.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

2.2. Оператор – наименование, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.5. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.6. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.7. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.8. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.9. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.10. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

 

  1. Принципы и условия обработки персональных данных
  • Обработка персональных данных осуществляется Оператором с учетом необходимости обеспечения защиты прав и свобод работников, обучающихся Оператора и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну.
  • Обработка персональных данных осуществляется Оператором в соответствии с принципами, определенными законодательством Российской Федерации:
  • осуществление обработки персональных данных на законной и справедливой основе;
  • ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;
  • недопущение обработки персональных данных, несовместимой с целями сбора персональных данных;
  • недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработка только персональных данных, которые отвечают целям их обработки;
  • соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки. Недопущение избыточности обрабатываемых персональных данных по отношению к заявленным целям их обработки;
  • соответствие содержания и объема (недопущение избыточности) обрабатываемых персональных данных заявленным целям обработки;
  • обеспечение точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных, мер по удалению или уточнению неполных или неточных персональных данных;
  • хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
  • уничтожение обрабатываемых персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

3.3. Обработка персональных данных Оператором может осуществляться в следующих случаях:

  • с письменного согласия субъекта персональных данных;
  • для достижения целей, предусмотренных законом, для осуществления возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
  • в связи с участием субъекта персональных данных в гражданском и арбитражном судопроизводстве;
  • для исполнения судебного акта в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных;
  • для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта;
  • персональные данные являются общедоступными (сделанные общедоступными субъектом персональных данных);
  • в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;
  • персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.

3.4. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни субъектов персональных данных. В отдельных случаях, в соответствии с трудовым законодательством Российской Федерации, законодательством Российской Федерации о государственной социальной помощи, пенсионным законодательством Российской Федерации, Оператор вправе получать и осуществлять обработку персональных данных о состоянии здоровья работников, уволенных работников, членов семьи и родственников работников и (или) уволенных работников, а также сведений об отсутствии судимости, при условии письменного согласия субъекта персональных данных.

3.5. Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных) Оператором не обрабатываются.

  1. Основные права и обязанности оператора персональных данных
  • Оператор при сборе персональных данных обязан предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных
  • Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
  • Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
  • При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Федеральном законе «О персональных данных».
  • Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
  • Предоставить информацию по запросу субъекта ПД в течение 10 рабочих дней;
  • Сообщать через ГосСОПКУ о компьютерных инцидентах, связанных с утечкой персональных данных;
  • Отвечать на запрос Роскомнадзора в течение 10 рабочих дней.
  • Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных». В поручении Оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».
  1. Основные права и обязанности субъекта персональных данных
    • Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
    • Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных.
    • Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы разрешается только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
    • Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
    • Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
    • Субъект персональных данных обязан предоставлять Оператору достоверные персональные данные.
  1. Цели сбора и обработки персональных данных
    • Оператор собирает, обрабатывает и хранит персональные данные работников, обучающихся, посетителей сайта Оператора (при заполнении формы обратной связи), а также персональные данные других субъектов персональных данных, полученные от контрагентов, необходимые для оказания услуги, исполнения соглашения или договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
    • Оператор обрабатывает персональные данные исключительно в следующих целях:
  • обеспечения соблюдения законов и иных нормативных правовых актов Российской Федерации;
  • осуществления процесса подбора на вакантные должности;
  • осуществления трудовых отношений;
  • осуществления гражданско-правовых отношений;
  • осуществления договорных отношений;
  • для участия в конкурсах, фестивалях, конференциях и других мероприятиях, проводимых Оператором;
  • для информационного обеспечения посетителей сайта;
  • для связи с пользователем сайта при заполнении им формы обратной связи на сайте.
    • При определении объема и содержания обрабатываемых ПДн субъектов персональных данных Оператор руководствуется целями сбора и обработки ПДн. Обработка персональных данных ограничивается достижением указанных целей. Оператор не допускает обработки персональных данных н, не совместимую с целями сбора персональных данных.

 

  1. Категории субъектов персональных данных, состав персональных данных, источники их получения.
    • Оператором обрабатываются персональные данные (не являющиеся специальными и биометрическими) следующих субъектов (таблица 1):

Таблица 1

Категории субъектов ПДн

Состав обрабатываемых персональных данных

Цели обработки ПДн

Способ обработки

Источники ПДн

Физические лица, состоящие / состоявшие      с Оператором в трудовых,

иных договорных и иных гражданско-правовых отношениях, и (или) их законные представители, в частности, работники, уволенные работники, члены семьи и родственники работников и (или) уволенных работников, а также кандидаты на замещение вакантных должностей

—     фамилия, имя, отчество, пол;

—     дата и место рождения;

—     сведения о гражданстве;

—     сведения об образовании, повышении квалификации, аттестации, профессиональной переподготовке;

—     профессия, квалификация, должность;

—     семейное положение, состав семьи;

—     паспортные данные;

—     адрес регистрации, проживания, телефон, e-mail;

—     сведения о воинском учете, о военной службе;

—     сведения о наградах, поощрениях, почетных званиях;

—     сведения о социальном положении;

—     сведения о трудовой деятельности;

—     сведения об инвалидности;

—     сведения об удержании алиментов;

—     ИНН, СНИЛС;

—     доходы, суммы отчислений;

—     информация об отпусках, командировках;

—     расчетный счет, реквизиты банка;

—     сведения о трудовой деятельности, стаж;

—     сведения о смене фамилии;

—     изображение (фотография);

—     трудовую книжку;

—     номер полиса обязательного медицинского страхования

—     иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

—     обеспечение соблюдения законов и иных нормативных правовых актов Российской Федерации;

—     осуществление процесса подбора на вакантные должности;

—     осуществление трудовых отношений;

—     осуществление гражданско-правовых отношений;

—     для информационного обеспечения посетителей сайта.

—     Персональные данные членов семей работников обрабатываются в объеме, переданном работником и необходимом для предоставления гарантий и компенсаций работнику, предусмотренных трудовым законодательством:

смешанная

Субъекты персональных данных

Контрагенты и их представители, заявители с обращениями

—     фамилия, имя, отчество;

—     дата, место рождения;

—     адрес регистрации (прописки);

—     паспортные данные;

—     контактные данные (телефон, e-mail);

—     ИНН, дата постановки на налоговый учет;

—     номер СНИЛС;

—     реквизиты расчетного счета в банке.

—     обеспечение соблюдения законов и иных нормативных правовых актов Российской Федерации;

—     осуществление договорных отношений.

Смешанная

Субъекты персональных данных

Индивидуальные предприниматели

—     адрес регистрации ИП;

—     почтовый адрес; ОГРНИП;

—     ОКПО.

—     обеспечение соблюдения законов и иных нормативных правовых актов Российской Федерации;

—     осуществление договорных отношений.

  

Физические лица, состоящие / состоявшие с Оператором в договорных отношениях

—     фамилия, имя, отчество;

—     дата, место рождения;

—     адрес регистрации (прописки);

—     паспортные данные;

—     контактные данные (телефон, e-mail);

—     сведения об образовании (в т.ч. повышении квалификации, аттестации, профессиональной переподготовке);

—     СНИЛС;

—     сведения о месте работы, должность, стаж работы, наличие категории;

—     сведения о гражданстве;

—     ИНН, дата постановки на налоговый учет;

—     реквизиты расчетного счета в банке;

—     сведения о смене фамилии.

—     обеспечение соблюдения законов и иных нормативных правовых актов Российской Федерации;

—     осуществление договорных отношений.

 

Субъекты персональных данных; юридические лица, индивидуальные предприниматели, заключившие с Оператором договоры об оказании договорных услуг и направившие своих сотрудников на стажировку

Физические лица, являющиеся участниками конкурсов, фестивалей, конференций и других мероприятий, проводимых Оператором

—     фамилия, имя, отчество, пол;

—     профессия,

—     адрес регистрации, адрес фактического места жительства, гражданство, квалификация, должность;

—     контактные данные (телефон, e-mail),

—     серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе.

—     для участия в конкурсах, фестивалях, конференциях и других мероприятиях, проводимых Оператором.

 

Субъекты персональных данных

Физические лица, являющиеся пользователями сайта Оператора при заполнении формы обратной связи

—     фамилия, имя, отчество;

—     контактные данные (телефон, e-mail).

—     для связи с пользователем сайта при заполнении им формы обратной связи на сайте.

 

Субъекты персональных данных

  • Перечень и цели обработки специальных категорий персональных данных, обрабатываемых Оператором, представлен в таблице 2.

Таблица 2

Категории субъектов ПДн

Перечень специальных категорий ПДн

Цели обработки специальных категорий ПДн

Способ обработки

Источники ПДн

Физические лица, состоящие / состоявшие      с Оператором в трудовых, иных договорных и иных гражданско-правовых отношениях

—     сведения о состоянии здоровья (медицинское заключение);

—     сведения об отсутствии судимости.

Обеспечение соблюдения законов и других нормативных правовых актов Российской Федерации

Смешанная

Субъекты персональных данных

В случае необходимости могут обрабатываться и иные персональные данные.

  1. Получение персональных данных
    • Сбор персональных данных осуществляется Оператором непосредственно у самого субъекта персональных данных, а также у юридических лиц, индивидуальных предпринимателей, заключивших с Оператором договоры об оказании услуг и направивших своих сотрудников на стажировку. Если предоставление персональных данных является обязательным в соответствии с законодательством Российской Федерации, субъекту персональных данных разъясняются юридические последствия отказа в предоставлении таких данных.
    • Получение персональных данных у иных лиц возможно только при наличии законных оснований. При получении персональных данных у иных лиц, за исключением случаев, когда персональные данные получены в рамках поручения на обработку персональных данных или когда согласие получено передающей стороной, необходимо уведомить об этом субъекта персональных данных.
    • При сборе персональных данных, в том числе посредством информационно- телекоммуникационной сети «Интернет», обеспечивается запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
  1. Порядок и условия обработки персональных данных
    • Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации (после принятия необходимых мер по защите персональных данных).
    • Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации (направление сведений в пенсионный фонд, военкомат, налоговую инспекцию, взаимодействие с органами дознания и другое.).
    • При обработке персональных данных Оператором осуществляются следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение.
    • Персональные данные обрабатываются как на материальных (бумажных) носителях, так и в электронном виде (в информационных системах персональных данных, на машинных носителях).
    • Письменное согласие субъекта персональных данных должно включать:

− фамилию, имя, отчество;

− адрес регистрации субъекта персональных данных;

− номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

− наименование и адрес Оператора;

− цель обработки персональных данных;

− перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

− перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;

− срок, в течение которого действует согласие;

− способ его отзыва;

− подпись субъекта персональных данных.

  • К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
  • Обработка персональных данных может быть поручена Оператором третьему лицу с согласия субъекта персональных данных либо по основаниям, предусмотренным законодательством Российской Федерации. Лицо, осуществляющее обработку персональных данных по поручению, не обязано получать согласие субъекта на обработку его персональных данных.
  • В случае подтверждения факта неточности персональных данных такие персональные данные подлежат актуализации.
  • В случае выявления факта неправомерности обработки персональных данных, такие персональные данные подлежат уничтожению в трехдневный срок.
  • Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется.
  • Обработка персональных данных осуществляется Оператором:
  • с использованием средств автоматизации;
  • без использования средств автоматизации.
    • Оператор организует обработку персональных данных в следующем порядке:

1) назначает ответственного за организацию обработки персональных данных, устанавливает перечень лиц, имеющих доступ к персональным данным;

2) издает настоящую Политику, локальные акты по вопросам обработки персональных данных;

3) применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных;

4) осуществляет внутренний контроль соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным актам Оператора;

5) осуществляет оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», определяет соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных данным Федеральным законом;

6) знакомит работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящей Политики, локальных нормативных актов по вопросам обработки персональных данных, и (или) организует обучение указанных работников.

  1. Защита персональных данных.
    • Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры, в том числе:
  • определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применяет организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  • применяет прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации;
  • ограничивает число работников (с регламентацией их должностей), которым открыт доступ к персональным данным;
  • назначает ответственное лицо, обеспечивающего исполнение организацией законодательства в рассматриваемой сфере;
  • утверждает перечень документов, содержащих персональные данные;
  • издает внутренние документы по защите персональных данных, осуществляет контроль за их соблюдением;
  • ознакомляет работников с действующими нормативами в области защиты персональных данных и локальными актами; проводит систематических проверки соответствующих знаний работников, обрабатывающих персональные данные, и соблюдения ими требований нормативных документов по защите конфиденциальных сведений. Все сотрудники, которые имеют доступ к персональным данным других людей, должны быть ознакомлены с особенностями законодательства в области защиты персональных данных;
  • рационально размещает рабочие места для исключения несанкционированного использования защищаемой информации;
  • утверждает список лиц, имеющих право доступа в помещения, в которых хранятся персональные данные;
  • утверждает порядок уничтожения информации;
  • выявляет и устраняет нарушения требований по защите персональных данных;
  • проводит профилактические работы с сотрудниками по предупреждению разглашения ими персональных данных;
  • внедряет технические средства охраны, программных средств защиты информации на электронных носителях и др.
  • оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • учитывает машинные носители персональных данных;
  • обнаруживает факты несанкционированного доступа к персональным данным и принимает меры;
  • восстанавливает персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;
  • устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных.
    • При обработке персональных данных Оператор выполняет, в частности, сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
    • В целях обеспечения сохранности и конфиденциальности персональных данных все операции с персональными данными должны выполняться только работниками Оператора, осуществляющими данную работу в соответствии с трудовыми обязанностями.
    • Оператор получает персональные данные непосредственно от субъектов персональных данных или их представителей, наделенных соответствующими полномочиями. Согласия субъекта на получение его персональных данных от третьих лиц не требуется в случаях, когда согласие субъекта на передачу его персональных данных третьим лицам получено от него в письменном виде при заключении договора с Оператором, а также в случаях, установленных федеральным законом.
    • Запрещается хранение документов с персональными данными и их копий на рабочих местах и (или) в открытом доступе, оставлять металлические шкафы открытыми в случае выхода работника из рабочего помещения.
    • В электронном виде документы, содержащие персональные данные, разрешается хранить в специализированных базах данных или в специально отведенных для этого директориях с ограничением и разграничением доступа. Копирование таких данных запрещено.
    • При увольнении работника, имеющего доступ к персональным данным, прекращении доступа к персональным данным, документы и иные носители, содержащие персональные данные, сдаются работником своему непосредственному руководителю.
  1. Хранение персональных данных
    • Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

  10.1.1. Персональные данные, зафиксированные на бумажных носителях, хранятся в шкафах в запираемых помещениях с ограниченным правом доступа.

10.1.2. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.

10.1.3. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации либо договором, стороной которого является субъект персональных данных.

10.1.4. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующих условий:

  • достижение целей обработки персональных данных или максимальных сроков хранения – в течение 30 дней;
  • утрата необходимости в достижении целей обработки персональных данных – в течение 30 дней;
  • предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки – в течение 7 дней;
  • невозможность обеспечения правомерности обработки персональных данных – в течение 10 дней;
  • отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных – в течение 30 дней;
  • ликвидация (реорганизация) Оператора.
    • Хранение персональных данных осуществляется с учетом обеспечения режима их конфиденциальности.
    • Персональные данные передаются на архивное хранение в соответствии с законодательством Российской Федерации об архивном деле, уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации либо договором, стороной которого является субъект персональных данных.
  1. Передача персональных данных
    • Передача персональных данных третьему лицу осуществляется только с согласия субъекта персональных данных или в случаях, прямо предусмотренных законодательством Российской Федерации.
    • Передача персональных данных органу государственной власти, органу местного самоуправления, органу безопасности и правопорядка, государственному учреждению и фонду, а также иному уполномоченному органу допускается по основаниям, предусмотренным законодательством Российской Федерации.
    • Раскрытие персональных данных третьему лицу без согласия соответствующего субъекта не допускается, за исключением случаев, когда это необходимо для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных.
    • Раскрытие персональных данных третьему лицу в коммерческих целях без согласия соответствующего субъекта запрещено. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации осуществляется только при условии предварительного согласия на это субъекта.
    • Трансграничная передача персональных данных на территории иностранных государств не осуществляется.
  1. Распространение персональных данных
  • Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется Оператором с учетом выполнения требований, предусмотренных законодательством о персональных данных.
  • Субъект дает согласие на обработку персональных данных, разрешенных для распространения, отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
  • В случае если субъект сам раскрывает свои персональные данные неопределенному кругу лиц при помощи функционала Интернет-сайта или сервиса Оператора без предоставления соответствующего согласия, дальнейшее распространение другими операторами персональных данных возможно только на основании согласия соответствующего субъекта на обработку персональных данных, разрешенных для распространения.
  • В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.

 

  1. Условия и порядок прекращения обработки персональных данных
  • В случае достижения цели обработки персональных данных обработка таких персональных данных должна быть прекращена, а персональные данные должны быть уничтожены в тридцатидневный срок с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.
  • В случае отзыва субъектом согласия на обработку его персональных данных обработка таких персональных данных должна быть прекращена, и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, такие персональные данные подлежат уничтожению в течение тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.
  • В случае выявления неправомерной обработки персональных данных обработка таких персональных данных должна быть прекращена в течение трех рабочих дней. Если обеспечить правомерность обработки персональных данных невозможно, персональные данные подлежат уничтожению в течение дести рабочих дней с даты выявления неправомерной обработки.
  • В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 14.1-14.3, должно быть обеспечено блокирование таких персональных данных и их уничтожение в срок не более шести месяцев, если иной срок не установлен законодательством Российской Федерации.
  • Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии Учреждения, если иное не определено законом.
  1. Порядок взаимодействия с субъектами персональных данных
  • Любой субъект, персональные данные которого обрабатываются Оператором, имеет право доступа к своим персональным данным, в том числе к следующей информации:
  • подтверждение факта обработки персональных данных;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые способы обработки персональных данных;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании законодательства Российской Федерации;
  • перечень обрабатываемых персональных данных, относящиеся к соответствующему субъекту, и источник их получения;
  • сроки обработки персональных данных и сроки их хранения;
  • порядок осуществления субъектом прав, предусмотренных законодательством Российской Федерации;
  • наименование лица, осуществляющего обработку персональных данных по поручению Оператора, в случае если обработка поручена третьему лицу.
    • Оператор предоставляет сведения, указанные в п. 15.1, по запросу субъекта или его законного представителя в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
    • Запрос субъекта или его представителя должен содержать:
  • номер основного документа, удостоверяющего личность субъекта или его представителя;
  • сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие участие субъекта в отношениях с Оператором (номер договора, дата заключения договора или иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператора;
  • подпись субъекта персональных данных.
    • Субъект вправе повторно обратиться к Оператору с запросом сведений, указанных в п. 15.1, не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса.
    • Субъект вправе требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если обрабатываемые Оператором персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной Оператором цели обработки.
    • Субъект вправе отозвать свое согласие на обработку персональных данных, если такое было дано. Отзыв согласия направляется субъектом в адрес Оператора и должен содержать сведения, указанные в п. 15.3. В случае отзыва субъектом согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, предусмотренных законодательством Российской Федерации или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
    • В случае изменения сведений, составляющих персональные данные субъекта персональных данных он обязан в течение пяти рабочих дней сообщить об этом Оператору.

 

  1. Обеспечение безопасности персональных данных
  • Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных, технических и программных мер, необходимых и достаточных для обеспечения требований федерального законодательства в области защиты персональных данных.
  • Для целенаправленного создания Оператором неблагоприятных условий и труднопреодолимых препятствий для нарушителей, пытающихся осуществить несанкционированный доступ к персональным данным в целях овладения ими, их видоизменения, уничтожения, заражения вредоносной компьютерной программой, подмены и совершения иных несанкционированных действий Оператором применяются следующие организационно-технические меры:
  • назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
  • ограничение и регламентация состава работников, имеющих доступ к персональным данным;
  • определение угроз безопасности персональных данных при их обработке в информационных системах;
  • применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, которые обеспечивают выполнение требований к установленным уровням защищенности;
  • оценка эффективности принимаемых мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных;
  • учет машинных носителей персональных данных;
  • обнаружение фактов несанкционированного доступа к персональным данным и реагирование на данные инциденты;
  • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных;
  • регистрация и учет действий, совершаемых с персональными данными в информационных системах персональных данных;
  • контроль за принимаемыми мерами по обеспечению безопасности персональных данных в соответствии с установленным уровнем защищенности персональных данных.
    • Право доступа к персональным данным, обрабатываемым Оператором, имеют:  
  • Индивидуальный предприниматель Гомозова Елена Сергеевна;
  • Администратор центра и другие работники, для которых обработка персональных данных необходима в связи с исполнением их должностных обязанностей.
    • Допуск работников Оператора к персональным данным осуществляется руководством отдельным внутренним актом.
    • Все лица, в должностные обязанности которых входит получение, обработка и защита персональных данных субъекта персональных данных, в том числе привлекаемые Оператором к осуществлению договорной деятельности, при приеме на работу обязаны подписать обязательство о неразглашении персональных данных, полученных при исполнении должностных обязанностей.

 

  1. Ответственность за нарушение настоящего положения 
  • Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта персональных данных, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с федеральным законодательством.
  • За нарушение правил хранения и использования персональных данных, повлекшее за собой материальный ущерб Оператору, работник несет материальную ответственность в соответствии с действующим трудовым законодательством.
  • Контроль за выполнением положений настоящей Политики возлагается на Ответственного за организацию обработки персональных данных Оператора.

 

  1. Заключительные положения
  • Настоящая Политика вступает в силу с момента ее утверждения и действует бессрочно.
  • Изменения в Политику вносятся отдельными актами Оператора. Актуальная редакция Политики, а также уведомления об изменениях Политики размещаются на официальном сайте Оператора.
  • К настоящей политике обеспечивается неограниченный доступ всех заинтересованных лиц, в том числе субъектов персональных данных и органов власти, осуществляющих контрольно-надзорную функцию в области персональных данных.
Прокрутить вверх