УТВЕРЖДЕНО 

 Индивидуальный предприниматель 

 Арсеньева Ирина Анатольевна 

 

 Приказ № 01 от «10» октября 2023 г.  

 

Положение о политике оператора в отношении обработки персональных данных 

 

  1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Положение о политике оператора в отношении обработки персональных данных (далее – «Положение») издано и применяется в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и Регламента (ЕС) № 2016/679 Европейского Парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий регламент о защите персональных данных». 

Настоящее Положение определяет политику Оператора в отношении обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений, устранение последствий таких нарушений, связанных с обработкой персональных данных. 

Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации и международным регулированием в области персональных данных. 

1.2. Термины и определения: 

«ПД» — персональные данные; 

«Оператор» — Индивидуальный предприниматель Арсеньева Ирина Анатольевна (ОГРНИП 323547600163331, ИНН 544610522967); 

«Исполнители» — лица, состоящие с Оператором в гражданско-правовых отношениях на основании договора или без такового и осуществляющие обработку персональных данных. 

«Регламент» - Регламент (ЕС) № 2016/679 Европейского Парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий регламент о защите персональных данных»; 

«ФЗ» — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»; 

1.3. В соответствии с настоящим Положением целями обработки ПД являются: 

— обеспечение защиты прав и свобод человека и гражданина при обработке его ПД, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну; 

— продвижение товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также иными способами с согласия лица, чьи данные обрабатываются; 

— проведение научных исследований на основе собранных ПД; 

— выполнение требований нормативных актов по противодействию легализации денежных средств, полученных преступным путём, и иных нормативных актов; 

1.4. Действие настоящего Положения не распространяется на отношения, возникающие при: 

1) организации хранения, комплектования, учета и использования содержащих ПД документов Архивного фонда Российской Федерации и других архивных фондов; 

2) обработке ПД, отнесенных в установленном порядке к сведениям, составляющим государственную тайну; 

3) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22.12.2008 N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации» 

4) в других случаях, предусмотренных законодательством Российской Федерации и международным регулированием в области персональных данных. 

1.5. Обработка организована Оператором на принципах: 

— законности, беспристрастности и прозрачности обработки ПД, добросовестности и справедливости в деятельности Оператора; 

— достоверности ПД, их достаточности для целей обработки, недопустимости обработки ПД, избыточных по отношению к целям, заявленным при сборе ПД; 

— обработки только ПД, которые отвечают целям их обработки; 

— недопустимости объединения баз данных, содержащих ПД, обработка которых осуществляется в целях, не совместимых между собой; 

— обеспечения точности ПД, а в необходимых случаях и актуальности по отношению к целям обработки ПД. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных; 

— хранения ПД в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД; 

— безопасности обработки и хранения ПД. 

1.6. Обработка ПД осуществляется с соблюдением принципов и правил, предусмотренных ФЗ, Регламентом и настоящим Положением. 

1.7. Обработка ПД осуществляется с использованием средств автоматизации. 

1.8. В информационных системах Оператора осуществляется обработка тех ПД, в отношении которых в установленном порядке получено Согласие на обработку персональных данных или которые получены в порядке, предусмотренном ФЗ или Регламентом. 

1.9. Настоящее Положение и изменения к нему утверждаются Оператором и вводятся приказом Оператора. 

1.10. Исполнители, непосредственно осуществляющие обработку ПД, должны быть ознакомлены до начала работы с настоящим Положением. 

1.11. При обработке ПД Оператор применяет правовые, организационные и технические меры по обеспечению безопасности ПД в соответствии со ст. 19 ФЗ с учетом Регламента. 

1.12. Оценка вреда, который может быть причинен субъектам ПД в случае нарушения Оператором требований ФЗ и Регламента, определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса Российской Федерации. 

1.13. Оператор не обрабатывает ПД лиц, не достигших полной дееспособности, в т.ч. детей до 13 лет. При установлении факта обработки ПД указанных лиц, такие ПД подлежат уничтожению по запросу законного представителя указанных лиц. 

1.14. Оператор на основании договора может поручить обработку ПД третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку ПД, обязанность обеспечения указанным лицом конфиденциальности ПД и безопасности ПД при их обработке. 

1.15. Оператор может осуществлять трансграничную передачу ПД в соответствии с положениями Регламента. 

1.16. Хранение ПД должно осуществляться в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Каждые десять лет Оператор просматривает ПД на предмет их необходимости для достижения целей обработки, по результатам такого просмотра Оператор принимает решение об их уничтожении или дальнейшей обработке. 

1.17. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты ПД субъектов, ПД которых обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации. 

1.18. Исполнителю, имеющему право осуществлять обработку ПД, предоставляются уникальный логин и пароль для доступа к соответствующей информационной системе Оператора в установленном порядке. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными регламентами Оператора. 

1.19. Обеспечение безопасности ПД, обрабатываемых в информационных системах Оператора, достигается путем исключения несанкционированного, в том числе случайного, доступа к ПД, а также принятия следующих мер по обеспечению безопасности: 

— определение актуальных угроз безопасности ПД и информационных технологий, используемых в информационных системах; 

— применение организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах Оператора, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивает установленные уровни защищенности ПД; 

— применение процедур оценки соответствия средств защиты информации; 

— оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы; 

— учет машинных носителей ПД; 

— обеспечение работоспособного функционирования компьютерной техники с ПД в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации; 

— обнаружение и регистрация фактов несанкционированного доступа к ПД, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы ПД и принятие мер; 

— восстановление ПД, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним; 

— установление правил доступа к ПД, обрабатываемым в информационных системах Оператора, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в информационных системах Оператора; 

— контроль за принимаемыми мерами по обеспечению безопасности ПД и уровней защищенности информационных систем. 

1.20. Обмен ПД при их обработке в информационных системах Оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств. 

1.21. Доступ Исполнителей к ПД, находящимся в информационных системах Оператора, предусматривает обязательное прохождение процедуры идентификации и аутентификации. 

1.22. В случае выявления нарушений порядка обработки ПД в информационных системах Оператором незамедлительно принимаются меры по установлению причин нарушений и их устранению. 

 

  1. ПОРЯДОК ОБЕСПЕЧЕНИЯ ОПЕРАТОРОМ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ 

 

2.1. Субъекты ПД или их представители обладают правами, предусмотренными ФЗ и Регламентом, а также другими нормативно-правовыми актами, регламентирующими обработку ПД. 

2.2. Оператор обеспечивает права субъектов ПД в порядке, установленном главами 3 и 4 ФЗ и главой III Регламента. 

2.3. Полномочия представителя на представление интересов каждого субъекта ПД подтверждаются доверенностью, оформленной в порядке ст. ст. 185 и 185.1 Гражданского кодекса Российской Федерации, ч. 2 ст. 53 Гражданского процессуального кодекса Российской Федерации 

или удостоверенной нотариально согласно ст. 59 Основ законодательства Российской Федерации о нотариате. 

2.4. Сведения, указанные в ч. 7 ст. 22 ФЗ, предоставляются субъекту персональных данных Оператором в доступной форме без ПД, относящихся к другим субъектам ПД, за исключением случаев, если имеются законные основания для раскрытия таких ПД, в электронном виде. По требованию субъекта ПД они могут быть продублированы на бумаге. 

2.5. Сведения, указанные в ч. 7 ст. 22 ФЗ, предоставляются субъекту ПД или его представителю при личном обращении либо при получении запроса субъекта ПД или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПД или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПД в отношениях с Оператором (например, номер договора, дата заключения договора, условное словесное обозначение), либо сведения, иным образом подтверждающие факт обработки ПД Оператором, подпись субъекта ПД или его представителя. Запросы направляются на электронный адрес, указанный в Согласии на обработку персональных данных или размещенный на сайте Оператора. 

2.6. Право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с федеральными законами. 

2.7. Обработка ПД в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта ПД. 

2.8. Оператор осуществляет обработку сетевых идентификаторов таких как IP-адрес и идентификаторов типа куки-файлы (cookie). Субъект ПД самостоятельно удаляет или блокирует определенные куки-файлы через настройки своего браузера. 

2.9. Оператор обязан немедленно прекратить по требованию субъекта ПД обработку его ПД, указанную в ч. 1 ст. 15 ФЗ. 

2.10. Решение, порождающее юридические последствия в отношении субъекта ПД или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПД только при наличии согласия в письменной форме субъекта ПД или в случаях, предусмотренных федеральными законами Российской Федерации, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта ПД. 

2.11. Оператор обязан в течение десяти дней с даты поступления соответствующего запроса предоставить безвозмездно субъекту ПД или его представителю возможность ознакомления с ПД, относящимися к этому субъекту ПД. 

2.12. Оператор в течение 10 (десяти) дней с момента исправления или уничтожения ПД по требованию субъекта ПД или его представителя обязан уведомить его о внесенных изменениях и предпринятых мерах. 

2.13. Оператор незамедлительно сообщает субъекту ПД об утечке ПД, если она может привести к возникновению риска высокой степени для его прав и свобод, с описанием характера нарушения и рекомендаций по снижению возможных негативных последствий такой утечки ПД. 

 

  1. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ИЛИ НЕИСПОЛНЕНИЕ ПОЛОЖЕНИЯ

 

3.1. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной (ст. ст. 5.39, 13.11 — 13.14, ст. 19.7 Кодекса Российской Федерации об административных правонарушениях) или уголовной ответственности (ст. ст. 137, 140, 272 Уголовного кодекса Российской Федерации).