Политика по обработке персональных данных

1. Введение

Настоящий документ определяет политику ИП «ГКФХ Сердюкова Светлана Анатольевна» ИНН 501203232203 (далее – Компания) в отношении обработки персональных данных (далее – ПД).

Компания является оператором ПД в соответствии с законодательством Российской Федерации о ПД.

Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации о ПД:

  • Федеральный закон Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – 152-ФЗ, ФЗ «О персональных данных»), устанавливающий основные принципы и условия обработки ПД, права, обязанности и ответственность участников отношений, связанных с обработкой ПД;
  • Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Настоящая Политика действует в отношении всех ПД, которые Компания может получить о субъекте ПД в процессе использования любых веб-сайтов, программ, продуктов и(или) сервисов Компании.

Действие настоящей Политики распространяется на любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение ПД.

Использование любого из веб-сайтов, программ, продуктов и(или) сервисов Компании может регулироваться дополнительными условиями, которые могут вносить в настоящую Политику изменения и(или) дополнения, и(или) иметь специальные условия в отношении ПД, размещенные в соответствующих разделах документов для таких веб-сайтов, программ, продуктов и(или) сервисов Компании.

Настоящая Политика подлежит пересмотру и, при необходимости, актуализации в случае изменений в законодательстве Российской Федерации о ПД.

В настоящую Политику могут быть внесены изменения. Компания имеет право вносить изменения по своему усмотрению, в случаях, когда соответствующие изменения связаны с изменениями в применимом законодательстве РФ, а также когда соответствующие изменения связаны с изменениями в работе веб-сайтов, программ, продуктов и(или) сервисов Компании.

2. Основные понятия, используемые в настоящей Политике.

Автоматизированная обработка ПД – обработка ПД с помощью средств вычислительной техники.

Блокирование ПД – временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД).

Информационная система ПД – совокупность содержащихся в базах данных ПД, и обеспечивающих их обработку информационных технологий и технических средств.

Обезличивание ПД – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному пользователю или иному субъекту ПД.

Обработка ПД – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД.

Персональные данные (ПД) – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту ПД).

ПД, разрешенные субъектом ПД для распространения – ПД, доступ неограниченного круга лиц к которым предоставлен субъектом ПД путем дачи согласия на обработку ПД, разрешенных субъектом ПД для распространения в порядке, предусмотренном Законом о персональных данных (далее - персональные данные, разрешенные для распространения).

Пользователь – физическое лицо, использующее веб-сайты, программы, продукты и(или) сервисы Компании.

Предоставление ПД – действия, направленные на раскрытие ПД определенному кругу лицу.

Распространение ПД – любые действия, направленные на раскрытие ПД неопределенному кругу лиц (передача ПД) или на ознакомление с ПД неограниченного круга лиц, в том числе обнародование ПД в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Трансграничная передача ПД – передача ПД на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

Уничтожение ПД – любые действия, в результате которых ПД уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания ПД в информационной системе ПД и (или) уничтожаются материальные носители ПД.

3. Принципы обработки ПД:

  • обработка ПД осуществляется на законной и справедливой основе;
  • обработка ПД ограничивается достижением конкретных, заранее определенных и законных целей;
  • обработка ПД, несовместимая с целями сбора ПД, не допускается;
  • не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой;
  • содержание и объем обрабатываемых ПД соответствуют заявленным целям обработки. Обрабатываемые ПД не являются избыточными по отношению к заявленным целям обработки;
  • при обработке ПД обеспечивается точность ПД и их достаточность, в случаях необходимости и актуальность ПД по отношению к заявленным целям их обработки;
  • хранение ПД осуществляется в форме, позволяющей определить субъекта ПД не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД;
  • обрабатываемые ПД подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4. Объем и категории обрабатываемых ПД, категории субъектов ПД.

Компания может собирать следующие категории ПД о Пользователях во время использования веб-сайтов, программ, продуктов и(или) сервисов Компании:

  • ПД, предоставленные при регистрации (создании учетной записи), такие как фамилия, имя, отчество, номер телефона, адрес, дата рождения;
  • электронные данные (HTTP-заголовки, IP-адрес, файлы cookie, веб-маяки, пиксельные теги, данные об идентификаторе браузера, информация об аппаратном и программном обеспечении, данные сети wi-fi, международный идентификатор мобильного оборудования – IMEI);
  • дата и время осуществления доступа к веб-сайтам, программам, продуктам и(или) сервисам Компании;
  • информация об активности Пользователя во время использования веб-сайтов, программ, продуктов и(или) сервисов Компании (история поисковых запросов, данные о покупках в Сервисах, лайки, а также файлы и контент, хранящиеся в информационных системах ПД Компании);
  • иная информация о Пользователе, необходимая для обработки в соответствии с условиями, регулирующими использование конкретных веб-сайтов, программ, продуктов и(или) сервисов Компании.

Компания собирает обезличенную статистику использования своих веб-сайтов, мобильных приложений с целью развития и улучшения веб-сайтов, мобильных приложений Компании.

Компания использует функции, предоставленные сервисом Яндекс.Метрика, в целях сбора и дальнейшей аналитики сведений об использовании сервиса, к ним, в частности отнесены: частота посещения сервиса пользователями, информация о посещенных страницах и сайтах, на которых были пользователи до перехода на сервис. Компания использует сведения, полученные при помощи Яндекс.Метрика, для улучшения функционирования работы сайта и совершенствования качества оказания услуг посредством сервиса. Возможности владельца Яндекс.Метрики по использованию и передаче третьим лицам сведений, собранных при помощи инструментов Яндекс.Метрики о посещениях пользователем сервиса, иных данных, ограничиваются политиками конфиденциальности, расположенными на сайте Яндекс.Метрика. Платформа Яндекс.Метрика и сервис используют электронные данные, а именно файлы cookie. Пользователь может запретить узнавать его при повторных посещениях сервиса, отключив cookie-файлы в своем браузере или иными доступными способами.

Компания не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни и иных категорий.

Компания не собирает данные, в случае, когда это может повлиять на права и свободы Пользователя в соответствии с применимым законодательством.

5. Компания обрабатывает ПД следующих категорий субъектов ПД:

  • работники Компании, бывшие работники Компании, кандидаты на вакантные должности Компании;
  • посетители сайта;
  • контрагенты Компании;
  • клиенты Компании (физические лица).

6. Условия обработки ПД.

Обработка ПД осуществляется с соблюдением принципов и правил, установленных ФЗ «О персональных данных». Обработка ПД осуществляется в следующих случаях:

  • обработка ПД осуществляется с согласия субъекта ПД на обработку его ПД;
  • обработка ПД необходима для достижения целей, возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем;
  • обработка ПД осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПД. Исключение составляет обработка ПД в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи;

7. Компания может осуществлять обработку данных о состоянии здоровья субъекта ПД в следующих случаях:

  • в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
  • в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
  • Биометрические ПД (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПД) в Компании не обрабатываются.

8. Компания не осуществляет трансграничную передачу ПД на территорию иностранных государств.

9. Компания не поручает обработку ПД третьим лицам.

10. Компания обязуется не раскрывать третьим лицам и не распространять ПД, если иное не предусмотрено федеральным законом.

11. В соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» Компания обязана:

  • предоставлять субъекту ПД по его запросу информацию, касающуюся обработки его ПД, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта ПД или его представителя;
  • по требованию субъекта ПД уточнять, блокировать, удалять обрабатываемые ПД, если ПД являются неполными, устаревшими, неточными или не являются необходимыми для заявленной цели обработки в срок, не превышающий семи рабочих дней со дня предоставления субъектом ПД или его представителем сведений, подтверждающих эти факты;
  • в случае отзыва субъектом ПД согласия на обработку своих ПД прекратить обработку ПД и уничтожить ПД в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Компанией и субъектом ПД. Об уничтожении ПД Компания обязана уведомить субъекта ПД;
  • в случае поступления требования субъекта ПД о прекращении обработки ПД, полученных в целях продвижения товаров, работ, услуг на рынке, немедленно прекратить обработку ПД.

12. При обработке ПД Компания применяет необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.

Обеспечение безопасности ПД достигается следующими мерами:

  • определение угроз безопасности ПД при их обработке в информационных системах ПД;
  • применение организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах ПД, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПД;
  • применение прошедших в установленном порядке процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации средств защиты информации для нейтрализации актуальных угроз безопасности;
  • оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы ПД;
  • учет машинных носителей ПД;
  • обнаружение фактов несанкционированного доступа к ПД и принятие мер;
  • восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установление правил доступа к ПД, обрабатываемым в информационной системе ПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в информационной системе ПД;
  • контроль соответствия обработки ПД Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, локальным актам Компании, в том числе контроль за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности информационных систем ПД.

13. Права субъекта ПД.

В соответствии с ФЗ «О персональных данных» субъект ПД имеет право:

  • получить сведения, касающиеся обработки ПД Компанией, а именно: подтверждение факта обработки ПД Компанией; правовые основания и цели обработки ПД Компанией; применяемые Компанией способы обработки ПД; сроки обработки ПД Компанией, в том числе сроки их хранения; иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами;
  • потребовать от Компании уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • отозвать согласие на обработку ПД и потребовать уничтожения своих ПД в предусмотренных законом случаях.

14. Правовые основания обработки персональных данных.

  • Конституция Российской Федерации;
  • Согласие на обработку персональных данных;
  • Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
  • Гражданский кодекс Российской Федерации от 30.10.1994 № 51-ФЗ;
  • Налоговый кодекс Российский Федерации от 31.07.1998 № 146-ФЗ;
  • Федеральный закон Российской Федерации от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  • Федеральный закон Российской Федерации от 06.11.2011 № 402-ФЗ «О бухгалтерском учете»;
  • Федеральный закон Российской Федерации от 28.12.2003 № 426-ФЗ «О специальной оценке труда»;
  • Постановление Правительства Российской Федерации от 27.11.2006 № 719 «Об утверждении Положения о воинском учете».

15. Порядок осуществления прав субъекта ПД.

  • Обращение субъекта ПД к оператору в целях реализации его прав, установленных ФЗ «О персональных данных», осуществляется в письменном виде по установленной форме при личном визите в Компанию субъекта ПД или его представителя. Под субъектами ПД понимается как сам субъект ПД, так и его законный представитель: родитель, опекун, попечитель и иные лица, полномочия которых установлены 152-ФЗ либо иным законом Российской Федерации;
  • Форма обращения выдается субъекту ПД или его представителю работником Компании и заполняется субъектом ПД или его представителем с проставлением собственноручной подписи в присутствии указанного работника;
  • Работник Компании, получив обращение по установленной форме, сверяет указанные в нем сведения об основном документе, удостоверяющем личность субъекта ПД, основания, по которым лицо выступает в качестве представителя субъекта ПД, и представленные при обращении оригиналы данного документа;
  • Ответ на обращение отправляется субъекту ПД в письменном виде по почте на адрес, указанный в обращении;
  • Срок формирования ответа и передачи в почтовое отделение для отправки не может превышать тридцати дней с даты получения оператором обращения;
  • Срок внесения необходимых изменений в ПД, являющиеся неполными, неточными или неактуальными, не может превышать семи рабочих дней со дня предоставления субъектом ПД или его представителем сведений, подтверждающих, что ПД являются неполными, неточными или неактуальными;
  • Срок уничтожения ПД, являющихся незаконно полученными или не являющихся необходимыми для заявленной цели обработки, не может превышать семи рабочих дней со дня предоставления субъектом ПД или его представителем сведений, подтверждающих, что ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • Пользователь может в любой момент отозвать свое согласие на обработку ПД на используемом им веб-сайте, в используемой программе, продукте и(или) сервисе Компании посредством вызова функции удаления своего профиля (аккаунта) при наличии такой возможности на веб-сайте, в программе, продукте и(или) сервисе Компании.

16. Конфиденциальность персональных данных.

  • Доступ к ПД ограничивается в соответствии с законодательством Российской Федерации;
  • Доступ к обрабатываемым ПД предоставляется только тем работникам Компании, которым он необходим в связи с исполнением ими своих должностных обязанностей;
  • Работники Компании, получившие доступ к ПД, принимают на себя обязательства по обеспечению конфиденциальности и безопасности обрабатываемых ПД;
  • Компания не раскрывает третьим лицам и не распространяет ПД.

17. Настоящая политика подлежит пересмотру и совершенствованию на регулярной основе в установленном в Компании порядке, а также с случаях изменения законодательства Российской Федерации или внутренних нормативных документов Компании, определяющих порядок обработки и защиты ПД.

18. Контроль исполнения требований настоящей Политики осуществляется лицами, ответственными за организацию обработки и обеспечение безопасности ПД в Компании.

19. Ответственность должностных лиц Компании, имеющих доступ к ПД, определяется в соответствии с законодательством Российской Федерации и внутренними нормативными документами Компании.