ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ, ЗАЩИТЕ И ХРАНЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ИНДИВИДУАЛЬНЫМ ПРЕДПРИНИМАТЕЛЕМ
ТАРАСОВА АННА АЛЕКСАНДРОВНА
(ОГРНИП 325911200071395, ИНН 616602070337)
1. ОСНОВНЫЕ ПОНЯТИЯ
- Оператор персональных данных (далее оператор) - юридическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
В рамках настоящего положения оператором является – индивидуальный предприниматель
Тарасова Анна Александровна;
- Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация о физическом лице.
- Субъект персональных данных - физическое лицо, состоящее в отношениях с оператором на основании заключённого соглашения оказания услуг в отрасли права (далее - соглашение).
- Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
- Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационнотелекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
- Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
- Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
- Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
2. ОБЩИЕ ПОЛОЖЕНИЯ
2.1. Положение разработано в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 149 ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 г. № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных».
2.2. Настоящим Положением определяется порядок обращения с персональными данными оператором.
2.3. Настоящее Положение имеет своей целью закрепление механизмов обеспечения прав субъекта персональных данных на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах его жизни.
2.4. Настоящее Положение об обработке и защите персональных данных (далее - Положение) определяет порядок сбора, хранения, передачи и любого другого использования персональных данных субъектов персональных данных в соответствии с законодательством Российской Федерации и гарантии конфиденциальности сведений.
2.5. Персональными данными субъекта персональных данных, является информация, необходимая оператору для исполнения соглашения.
2.6. Защита персональных данных от неправомерного их использования, утраты обеспечивается оператором в порядке, установленном законодательством.
3. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
- Фамилия, имя, отчество, дату и место рождения
- Номер телефона
- Адрес электронной почты
- Семейного положения
- Наличия запретов или ограничений
- Идентификатор расчётного счёта (банковской карты)
4. ДОКУМЕНТЫ, В КОТОРЫХ СОДЕРЖАТСЯ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Банковские сведения, при проведении взаиморасчётов
- Договор оказания услуг, при принятии публичной оферты
- Письменные заметки составляемые оператором при оказании услуг
5. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов РФ, исполнения соглашения при обеспечении безопасности субъекта персональных данных.
5.2. Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
5.3. При принятии решений, затрагивающих интересы субъекта персональных данных, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
5.4. Без письменного предварительного согласия персональные данные могут обрабатываться в следующих случаях:
- персональные данные являются общедоступными;
- в иных случаях, предусмотренных Федеральными законами.
5.5. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
6. ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Субъект персональных данных самостоятельно принимает решение о предоставлении своих персональных данных и дает согласие на их обработку оператором путём совершения конклюдентных действий (подписания, проставления маркера и тд..) свидетельствующих об ознакомлении с настоящим положением при предоставлении персональных данных. Форма Письменного согласия субъекта на обработку персональных данных (при требовании субъекта исключительно данной формы) представлена в Приложении №1 к настоящему положению.
6.2. В случае недееспособности либо несовершеннолетия субъекта персональных данных все персональные данные субъекта следует получать от его законных представителей.
Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и дает письменное согласие на их обработку оператором.
6.3. Согласие на обработку персональных данных может быть письменно отозвано субъектом персональных данных.
6.4. Запрещается получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни.
7. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Хранение персональных данных субъектов осуществляется оператором на бумажных и электронных носителях с ограниченным доступом.
7.2. Документы или их копии, содержащие персональные данные, хранятся в металлическом шкафу обеспечивающим защиту от несанкционированного (неправомерного или случайного) доступа.
7.3. Срок хранения документов отсчитывают с момента завершения работы с ними или на основании истечения граничного срока установленного в согласии субъекта персональных данных.
7.3.1. Срок хранения документов связанных с обработкой персональных данных:
Согласия на обработку персональных данных - 3 года после истечения срока действия согласия или его отзыва;
Локальные нормативные акты, регулирующие обработку ПД (документы, определяющие политику обработки персональных данных, правила и процедуры), Акты об уничтожении персональных данных – постоянно;
Журналы регистрации (при наличии) - 3 года.
8. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. При передаче персональных данных субъекта оператор обязан соблюдать следующие требования:
- не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных иными федеральными законами.
- предупредить лиц, получающих персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности;
- не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия субъекта персональных данных.
8.2. К числу потребителей персональных данных вне обработки их оператором, которым могут быть переданы персональные данные без письменного разрешения субъекта относятся государственные и негосударственные функциональные структуры:
- налоговые инспекции;
- правоохранительные и судебные органы;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- подразделения федеральных и муниципальных органов управления;
Надзорные и контрольные органы имеют доступ к информации только в сфере своей компетенции.
8.3. Организации, в которые субъект персональных данных может осуществлять перечисления денежных средств (страховые общества, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения) могут получить доступ к персональным данным субъекта персональных данных только в случае его письменного разрешения.
8.4. Передача персональных данных другим лицам, не указанным в настоящем Положении, а также доступ этих лиц к сведениям, составляющим персональные данные, возможна исключительно с письменного предварительного согласия субъекта персональных данных, работника.
9. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Персональные данные субъектов персональных данных хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
9.2. Способ уничтожения персональных данных выбирается оператором самостоятельно, руководствуясь объёмом и видом носителя персональных данных подлежащих уничтожению и может включать в себя: разрезание, сжигание, механическое уничтожение, стирание данных на устройстве гарантированного уничтожения информации, нарушение функциональных возможностей носителя информации, иные способы.
9.3. Документом, подтверждающим уничтожение персональных данных является «Акт об уничтожении персональных данных», по мимо этого, после уничтожения персональных данных, обработка которых происходила с помощью компьютерной техники, для подтверждения факта уничтожения дополнительно потребуется выгрузка из журнала регистрации событий в информационной системе.
10. ПРАВА И ОБЯЗАНОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Субъекты персональных данных имеют право получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной).
10.2. Осуществлять свободный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом.
10.3. Требовать исключения или исправления неверных, или неполных персональных данных.
10.4. При отказе оператора или уполномоченного им лица исключить или исправить персональные данные субъекта - заявить в письменной форме о своем несогласии, представив соответствующее обоснование оператору.
10.5. Требовать от оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них.
10.6. Обжаловать в суд любые неправомерные действия или бездействие оператора, или уполномоченного им лица при обработке и защите персональных данных субъекта.
10.7. Субъект персональных данных или его законный представитель обязуется предоставлять
персональные данные, соответствующие действительности.
10.8. Субъект персональных данных или его законный представитель обязан в течение 30 календарных дней уведомлять оператора в случае изменения персональных данных субъекта.
11. ПРАВА И ОБЯЗАНОСТИ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Обеспечить защиту персональных данных субъекта персональных данных от неправомерного их использования или утраты в порядке, установленном законодательством Российской Федерации;
11.2. По запросу ознакомить субъекта персональных данных его представителя или в случае недееспособности либо несовершеннолетия субъекта, его законных представителей с настоящим положением и его правами в области защиты персональных данных;
11.3. Осуществлять передачу персональных данных субъекта персональных данных только в соответствии с настоящим Положением и законодательством Российской Федерации;
11.4. Предоставлять персональные данные субъекта персональных данных только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых или договорных обязанностей в соответствии с настоящим положением и законодательством Российской Федерации;
11.5. Обеспечить субъекту персональных данных свободный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством;
11.6. По требованию субъекта персональных данных или его законного представителя предоставить ему полную информацию о его персональных данных и обработке этих данных.
12. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ.
12.1 Оператор, виновный в нарушении порядка обращения с персональными данными, несёт административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
12.2. Субъект персональных данных вправе обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия оператора при обработке и защите его персональных данных.