Политика обработки персональных данных

Индивидуальным предпринимателем Ковалевым Дмитрием Георгиевичем

1. Общие положения 1.1. Настоящая Политика описывает принципы и порядок обработки Персональных данных Индивидуальным предпринимателем Ковалевым Дмитрием Георгиевичем (ИНН 780 431 822 414, ОГРНИП 315 784 700 169 792, адрес: 195 267, Санкт-Петербург, ул. Ушинского д. 39, к.1, кв.181) (далее — «Индивидуальный предприниматель»), а также реализованные Индивидуальным предпринимателем меры защиты персональных данных. Настоящая Политика размещается во всех местах сбора Персональных данных Индивидуальным предпринимателем и рекомендована к ознакомлению всем субъектам Персональных данных, предоставляющим свои данные Индивидуальному предпринимателю.
1.2. В настоящей Политике используются следующие термины:
Биометрические Персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта Персональных данных.
Внештатный сотрудник — физическое лицо, временно выполняющее или выполнявшее служебные функции в интересах Индивидуального предпринимателя на основании гражданско-правового договора.
Закон о персональных данных — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
Информационная система Персональных данных — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Контактные лица — физические лица, являющиеся представителями или сотрудниками Контрагентов или Потенциальных контрагентов.
Контрагенты — физические и юридические лица, которые состоят с Индивидуальным предпринимателем в гражданско-правовых отношениях, не связанных с выполнением служебных обязанностей.
Конфиденциальность Персональных данных — обязательное для соблюдения Оператором требование не раскрывать третьим лицам и не допускать распространения Персональных данных без согласия субъектов Персональных данных или наличия иного законного основания.
Оператор — Индивидуальный предприниматель, самостоятельно или совместно с другими лицами организующее и/или осуществляющее обработку Персональных данных, а также определяющее цели обработки Персональных данных, состав Персональных данных, подлежащих обработке, действия/операции, совершаемые с Персональными данными.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту Персональных данных).
Посетители Сайтов — пользователи Сайтов, предоставившие Индивидуальному предпринимателю свои Персональные данные.
Потенциальные контрагенты — физические и юридические лица, рассматриваемые Индивидуальным предпринимателем в качестве возможных контрагентов по гражданско-правовых договорам.
Работник — физическое лицо, состоящее или состоявшее с Индивидуальным предпринимателем в трудовых отношениях.
Сайты — сайты в сети Интернет, владельцем которых является Индивидуальный предприниматель.
Услуги — услуги и товары, реализуемые Индивидуальным предпринимателем, а также его партнерами.
1.3. Термины, не определенные в настоящей Политике, имеют значение, которое придается им законодательством Российской Федерации и, в первую очередь, Законом о персональных данных.
2. Принципы обработки персональных данных 2.1. Обработка Персональных данных осуществляется Индивидуальным предпринимателем на основе принципов:
2.1.1. законности заранее определенных целей и способов обработки Персональных данных;
2.1.2. соответствия целей обработки Персональных данных целям, заранее определенным и заявленным при сборе Персональных данных;
2.1.3. соответствия объема и содержания обрабатываемых Персональных данных, способов их обработки целям обработки Персональных данных;
2.1.4. точности и актуальности Персональных данных, их достаточности для целей обработки, недопустимости обработки Персональных данных, избыточных по отношению к целям, заявленным при сборе Персональных данных;
2.1.5. недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих Персональные данные.
2.2. Индивидуальным предпринимателем обеспечивается режим Конфиденциальности Персональных данных. Обработка Персональных данных лицами, не допущенными к их обработке в установленном порядке, не допускается.
3. Основания обработки персональных данных 3.1. Правовыми основаниями обработки персональных данных Индивидуальным предпринимателем являются Трудовой Кодекс Р Ф, Кодекс об административных правонарушениях РФ, Гражданский Кодекс Р Ф, Уголовный Кодекс Р Ф, Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральный закон от 27.07.2006 № 152ФЗ «О персональных данных», Федеральный закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», Постановление Правительства Р Ф от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановление Правительства Р Ф от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», договоры, стороной которых либо выгодоприобретателем или поручителем по которым является субъект персональных данных, согласие субъекта персональных на обработку персональных данных, другие нормативные правовые акты, регулирующие деятельность Индивидуального предпринимателя, а также его учредительные документы.
3.2. Обработка Персональных данных Индивидуальным предпринимателем допускается при наличии одного из следующих условий:
3.2.1. Индивидуальным предпринимателем или иным лицом получено согласие субъекта Персональных данных на обработку его Персональных данных Индивидуальным предпринимателем;
3.2.2. обработка Персональных данных необходима для исполнения договора, стороной которого, выгодоприобретателем либо поручителем, по которому является субъект Персональных данных;
3.2.3. обработка Персональных данных необходима для заключения договора по инициативе субъекта Персональных данных.
3.2.4. обработка Персональных данных необходима для осуществления прав и законных интересов Индивидуального предпринимателя или третьих лиц;
3.2.5. обработка Персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания Персональных данных Индивидуальным предпринимателем;
3.2.6. наличие иных обстоятельств, предусмотренных законодательством Российской Федерации в качестве основания для обработки Персональных данных.
3.3. Индивидуальный предприниматель осуществляет обработку только тех Персональных данных, которые:
3.3.1. были предоставлены Индивидуальному предпринимателю субъектами Персональных данных;
3.3.2. были предоставлены Индивидуальному предпринимателю третьими лицами с согласия субъектов Персональных данных;
3.4. Персональные данные разных категорий субъектов Персональных данных обрабатываются Индивидуальным предпринимателем в различных целях. Если субъект Персональных данных относится к нескольким категориям, его Персональные данные могут обрабатываться в целях, характерных для каждой из таких категорий.
5. Цели и способы обработки Персональных данных Контрагентов, Потенциальных контрагентов, их Контактных лиц и Посетителей Сайтов 5.1. Персональные данные Контрагентов и их Контактных лиц обрабатываются Индивидуальным предпринимателем для достижения следующих целей:
5.1.1. исполнение договоров, заключенных с Контрагентами;
5.1.2. осуществление деловых контактов с Контактными лицами;
5.1.3. обеспечение текущей хозяйственной деятельности Индивидуального предпринимателя (включая юридическое сопровождение, бухгалтерский, налоговый и управленческий учет);
5.1.4. соблюдение требований российского законодательства.
5.2. Персональные данные Потенциальных контрагентов и их Контактных лиц обрабатываются Индивидуальным предпринимателем для достижения следующих целей:
5.2.1. ведение переговоров о возможности заключения договоров с Потенциальными
контрагентами;
5.2.2. осуществление деловых контактов с Контактными лицами.
5.2.3. рассмотрение обращений Контактных лиц;
5.2.4. направление Контактным лицам дополнительной информации о Товарах и Услугах;
5.2.5. оценка эффективности маркетинговых кампаний.
5.3. Персональные данные Посетителей Сайтов обрабатываются Индивидуальным предпринимателем для достижения следующих целей:
5.3.1. рассмотрение обращений Посетителей Сайтов;
5.3.2. анализ статистики посещаемости Сайтов.
5.4. На основании поручений третьих лиц Индивидуальный предприниматель может оказывать им Услуги, связанные с обработкой Персональных данных. В таких случаях обработка Персональных данных осуществляется исключительно в целях, предусмотренных соответствующими поручениями третьих лиц.
5.5. Поскольку указанные операции соответствуют заявленным выше целям, Персональные данные могут обрабатываться как с использованием средств автоматизации, так и без их применения посредством их сбора, запись, систематизации, накопления, хранения, уточнения (обновление, изменение), извлечение, использования, блокирования, передачи (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожения персональных данных и иные действия, предусмотренные Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».
5.6. Сайты используют файлы cookie для обеспечения корректной работы, повышения удобства пользования и в маркетинговых целях.
  6. Хранение и защита Персональных данных 6.1. Персональные данные хранятся в запираемых помещениях, свободный доступ в которые имеют только Работники и Внештатные сотрудники, имеющие право доступа к обрабатываемым в них Персональным данным. Иные лица имеют право доступа в указанные помещения только в присутствии уполномоченных Работников, которые должны осуществлять контроль соблюдения такими лицами ограничений доступа к Персональным данным.
6.2. В случае потенциального неконтролируемого доступа в помещения лиц, не имеющих права доступа ко всем хранящимся в таких помещениях Персональным данным, соответствующие носители Персональных данных хранятся в запираемых шкафах, ящиках столов, сейфах. При этом создаются надлежащие условия, обеспечивающие их сохранность и защиту от несанкционированного доступа.
6.3. При обработке Персональных данных в электронном виде реализуются организационные, правовые и технические меры защиты, исключающие возможность несанкционированного доступа к Персональным данным лиц, не допущенных к их обработке. Исчерпывающий перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер включают:
6.3.1. определение угроз безопасности Персональных данных, актуальных для Информационной системы Персональных данных;
6.3.2. обеспечение режима безопасности помещений, в которых размещены Информационные системы Персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в них;
6.3.3. определение перечня лиц, доступ которых к Персональным данным необходим для выполнения ими служебных обязанностей;
6.3.4. обеспечение сохранности носителей Персональных данных;
6.3.5. управление доступом к Персональным данным;
6.3.6. контроль защищенности Персональных данных;
6.3.7. применение технических средств обнаружения компьютерных атак, их предотвращения и восстановления последствий их воздействия.
7. Передача Персональных данных 7.1. Передача персональных данных осуществляется только с согласия субъекта персональных данных для достижения согласованных с субъектом персональных данных целей, если иное не предусмотрено законодательством Российской Федерации.
7.2. При передаче Персональных данных третьим лицам Индивидуальный предприниматель уведомляет указанных лиц об обязательности сохранения Конфиденциальности Персональных данных и использования их лишь в тех целях, для которых они переданы.
7.3. При передаче Персональных данных лицам, обрабатывающим эти данные по поручению (в интересах) Индивидуального предпринимателя, в соглашениях с такими лицами предусматриваются:
7.3.1. перечень действий (операций) с Персональными данными, которые будут совершаться лицом, осуществляющим обработку Персональных данных;
7.3.2. допустимые цели обработки Персональных данных таким лицом;
7.3.3. обязанность такого лица соблюдать Конфиденциальность Персональных данных и обеспечивать безопасность Персональных данных при их обработке;
7.3.4. требования к защите обрабатываемых Персональных данных.
7.4. Предоставление Персональных данных государственным органам производится в соответствии с требованиями действующего законодательства Российской Федерации.
7.5. Трансграничная передача, под которой понимается передача Персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу, осуществляется в соответствии с действующим законодательством Российской Федерации.
8. Сроки обработки персональных данных 8.1. Обработка Персональных данных (в том числе, их хранение) подлежит прекращению по достижении целей обработки соответствующих данных, а также в случае утраты оснований для обработки Персональных данных, если иные сроки не установлены соглашением Сторон.
9. Права субъектов Персональных данных 9.1. Субъекты Персональных данных вправе:
9.1.1. получать доступ к информации, касающейся обработки их Персональных данных;
9.1.2. требовать от Индивидуального предпринимателя уточнения Персональных данных, их блокирования или уничтожения в случае, если Персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
9.1.3. обжаловать в суд любые неправомерные действия или бездействия Индивидуального предпринимателя при обработке и защите Персональных данных, а также принимать иные предусмотренные законом меры по защите своих прав.
9.2. Субъект Персональных данных имеет право на получение информации, касающейся обработки его Персональных данных, содержащей:
9.2.1. подтверждение факта обработки Персональных данных Индивидуальным предпринимателем;
9.2.2. правовые основания и цели обработки Персональных данных;
9.2.3. применяемые Индивидуальным предпринимателем способы обработки Персональных данных;
9.2.4. наименование и место нахождения Индивидуального предпринимателя, сведения о лицах, которые имеют доступ к Персональным данным или которым могут быть раскрыты Персональные данные на основании договора с Индивидуальным предпринимателем или на основании Закона о персональных данных;
9.2.5. обрабатываемые Персональные данные, относящиеся к соответствующему субъекту Персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Законом о персональных данных;
9.2.6. сроки обработки Персональных данных, в том числе сроки их хранения;
9.2.7. порядок осуществления субъектом Персональных данных прав, предусмотренных Законом о персональных данных;
9.2.8. информацию о Трансграничной передаче Персональных данных;
9.2.9. сведения о месте нахождения базы данных информации, содержащей Персональные данные;
9.2.10. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку Персональных данных по поручению Индивидуального предпринимателя, если обработка поручена или будет поручена такому лицу;
9.2.11. иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами, регламентирующими деятельность в области обработки Персональных данных.
9.3. Сведения, указанные в пункте 9.2 настоящей Политики, предоставляются субъекту Персональных данных или его представителю при обращении либо при получении запроса субъекта Персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта Персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта Персональных данных в отношениях с Индивидуальным предпринимателем, либо сведения, иным образом подтверждающие факт обработки Персональных данных Индивидуальным предпринимателем. Кроме того, запрос должен быть подписан субъектом Персональных данных или его представителем.
9.4. Если лицо, обратившееся к Индивидуальному предпринимателю с запросом, не уполномочено на получение информации, относящейся к Персональным данным, соответствующему лицу отказывается в выдаче такой информации. Лицу, обратившемуся с соответствующим запросом, выдается уведомление об отказе в выдаче информации.
9.5. Ответы на письменные запросы о предоставлении сведений, указанных в пункте 9.2 настоящей Политики, направляются в течение 30 (тридцати) рабочих дней с момента их поступления Индивидуальному предпринимателю.
9.6. В случае получения обращения, содержащего информацию об обработке Индивидуальным предпринимателем неточных Персональных данных или неправомерной обработке Персональных данных, ответственное за рассмотрение запроса лицо незамедлительно организует блокирование таких Персональных данных на период проверки при условии, что оно не нарушает права и законные интересы субъекта Персональных данных или третьих лиц.
9.7. В случае подтверждения факта неточности обрабатываемых Персональных данных ответственное за обработку Персональных данных у Индивидуального предпринимателя лицо на основании сведений, представленных субъектом Персональных данных, его представителем или уполномоченным органом по защите прав субъектов Персональных данных, обеспечивает уточнение Персональных данных в течение 7 (семи) рабочих дней со дня представления таких сведений. Если уточнение данных невозможно осуществить в указанный срок, уточнение осуществляется в кратчайшие возможные сроки. Разблокирование данных производится по получении согласия субъекта Персональных данных или его представителя на продолжение их обработки в неизменном виде или по итогам их уточнения.
9.8. В случае выявления по итогам проверки неправомерной обработки Персональных данных Индивидуальным предпринимателем, производится устранение нарушения в срок, не превышающий 3 (трёх) рабочих дня с момента подтверждения факта неправомерной обработки. Если обеспечить правомерность обработки Персональных данных невозможно, в срок, не превышающий 10 (десяти) рабочих дней со дня выявления неправомерной обработки Персональных данных, производится уничтожение данных. Об устранении допущенных нарушений или об уничтожении Персональных данных немедленно уведомляется субъект Персональных данных или его представитель, а если обращение либо запрос были направлены уполномоченным органом по защите прав субъектов Персональных данных — также указанный орган.
9.9. В случае отзыва субъектом Персональных данных согласия на обработку его данных Работники и/или Внештатные сотрудники Индивидуального предпринимателя обязаны прекратить обработку Персональных данных и уничтожить их в течение 30 (тридцати) календарных дней. Требования настоящего пункта не подлежат применению, если иное предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект Персональных данных, или действующим законодательством Российской Федерации.
10. Заключительные положения 10.1. В случае изменения Политики новая редакция Политики подлежит опубликованию в местах сбора Персональных данных в кратчайшие возможные сроки после такого изменения.