Политика в отношении обработки персональных данных в ИП Александров Виталий Игоревич
ИП 1. ВВЕДЕНИЕ
1.1.Настоящая Политика в отношении обработки Персональных Данных (далее – "Политика") подготовлена в соответствии с п. 2 ч .1 ст. 18.1 Федерального закона РФ "О персональных данных" N 152-ФЗ от 27 июля 2006 года (далее – "152-ФЗ") и определяет позицию ИП Александров В.И. (далее – ИП) в области обработки и защиты персональных данных, соблюдения прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Настоящая Политика в ИП определяет порядок сбора, хранения, передачи и иных видов обработки персональных данных в ИП, а также сведения о реализуемых требованиях к защите персональных данных.
1.3. Понимая важность и ценность персональных данных, а также заботясь о соблюдении конституционных прав граждан Российской Федерации, а также граждан других государств ИП обеспечивает их надежную защиту и безопасность.
1.4. Под безопасностью персональных данных ИП понимает защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных и принимает необходимые правовые, организационные и технические меры для защиты персональных данных
1.5. Политика разработана в соответствии с действующим законодательством РФ, в том числе, в соответствии с требованиями:
- Федерального закона от 27.06.2006 N 152-ФЗ «О персональных данных»
- Федерального закона от 15.12.2001 г. № 167-ФЗ «Об обязательном пенсионном страховании»
- Федерального закона от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»
- Федерального закона от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учете»
- Налогового кодекса РФ от 31.07.1998г. №146-ФЗ (часть первая), от 05.08.2000 г. №117-ФЗ (часть вторая)
- Гражданского кодекса РФ от 30.11.1994 г. №51-ФЗ (часть первая), от 26.01.1996 г. №14-ФЗ (часть вторая), от 26.11.2001 г. №146-ФЗ (третья часть), от 18.12.2006 г. №230-ФЗ (четвертая часть).
- Закона РФ от 07.02.1992 N 2300-1 «О защите прав потребителей»
- Других федеральных конституционных законов, федеральных законов, подзаконных актов РФ и рекомендаций, определяющих случаи и особенности обработки персональных данных, а также нормами международного права и международных договоров.
2. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ДАННЫМИ И КЛАССИФИКАЦИЯ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), обрабатываемая ИП для достижения законных заранее определенных целей.
2.2. Все обрабатываемые ИП персональные данные являются конфиденциальной, строго охраняемой информацией в соответствии с законодательством.
2.3. Перечень действий, совершаемых ИП, с персональными данными: сбор, анализ, обобщение, хранение, изменение, дополнение, передача (без (или) с трансграничной передачей на территорию стран, обеспечивающих надежную защиту), уничтожение персональных данных, блокирование, удаление, шифрование.
2.4. ИП применяет следующие способы обработки персональных данных: Автоматизированная, Неавтоматизированная, Смешанная обработка персональных данных.
2.5. ИП в целях надлежащего исполнения своих обязанностей осуществляет обработку персональных данных как Оператор персональных данных следующих категорий Субъектов персональных данных:
- физические лица, являющиеся Соискателями
- физические лица, являющиеся Работниками
- физические лица, осуществляющие выполнение работ, оказание услуг и заключившие с Т договор гражданско-правового характера
- физические лица, представляющие интересы Контрагента юридического лица, вне зависимости от организационно правовой формы
- Индивидуальные Предприниматели
- иные физические лица, выразившие согласие на обработку их персональных данных (в том числе Пользователи сайта http://onlinepiano.me/, добровольно заполнившие форму обратной связи на сайте)
2.6. ИП, в том числе, осуществляет обработку персональных данных, переданных Обществу Контрагентом на основании договора с Контрагентом. Контрагент в данном случае является оператором переданных персональных данных, а Общество, в соответствии с пунктом 3 статьи 6 Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ, обрабатывает переданные персональные данные в пределах и целях, определенных в договоре с Контрагентом (в том числе, но не ограничиваясь, персональные данных могут быть переданы Контрагентом ИП по агентскому договору в рамках смешанного договора).
2.6.1. Обработка таких персональных данных осуществляется в соответствии с настоящей Политикой, Договором с Контрагентом (оператором персональных данных) и законодательством РФ.
2.6.2. ИП несет ответственность за обработку персональных данных, определенных в настоящем пункте Политики, перед Контрагентом (оператором), перед субъектами персональных данных ответственность несет Контрагент (оператор).
3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных субъектов осуществляется ИП в целях:
- оформления трудовых и иных договорных отношений
- ведения кадрового, бухгалтерского, налогового учета
- обеспечения условий и процессов, необходимых для выполнения работниками ИП трудовых обязанностей
- подбора кандидатов на вакантные должность для дальнейшего трудоустройства
- содействия в получении работниками ИП социальных льгот и компенсаций
- исполнения ИП обязательств, предусмотренных локальными нормативными актами и заключенными договорами с контрагентами
- осуществления ИП Административно-хозяйственной деятельности
- организации и проведения стажировок и образовательных, обучающих мероприятий
- согласование, заключения, сопровождения, изменения, расторжения договоров с контрагентами
- исполнения ИП обязательств, предусмотренных федеральным законодательством и иными нормативными правовыми актами
- проведение статистических и иных исследований
- таргетирование рекламных материалов
- улучшение качества сайта http://onlinepiano.me/
- обработки запросов и заявок от Пользователей на сайте
- организации и проведения ИП, (в том числе, с привлечением третьих лиц) программ лояльности, маркетинговых и/или рекламных акций, исследований, опросов и иных мероприятий
- распространения информационных сообщений
- иных целях, которые не противоречат действующему законодательству.
4. ПОРЯДОК СБОРА, ХРАНЕНИЯ, ПЕРЕДАЧИ И ИНЫХ ВИДОВ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Когда Вы предоставляете Ваши данные через форму обратной связи, электронную почту, письма или телефонные звонки Вы предоставляете информацию добровольно. ИП использует данную информацию для ответа на Ваш запрос, для того, чтобы дать обратную связь соискателям или потенциальным клиентам, для иных целей, предусмотренных настоящей Политикой.
4.2. Даже если вы не заполнили форму обратной связи на нашем сайте, у нас есть возможность отслеживать использование нашего сайта, в том числе длительность пребывания на сайте, запросы, использованные Вами при переходе на сайт, страницы, с которых были совершены переходы, географическое положение, типы мобильных устройств, используемых Вами. Данная информация не используется для отслеживания информации о физических лицах и не позволяет его идентифицировать, но используется в совокупном уровне для того, чтобы улучшить использование сайта, для планирования маркетинговых активностей
4.3 ИП не занимается продажей или передачей личной информации пользователей сайта
http://onlinepiano.me/. Общество только рассылает рекламную информацию тем пользователям, кто подписался на рассылки рекламного и информационного характера, заполнив соответствующую форму на сайте. Пользователи могут отказаться от получения рассылки нажав на соответствующую ссылку "отписаться от рассылки", или сообщив нам об этом по электронной почте hello@onlinepiano.me.
4.3. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей). ИП установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. ИП обеспечивает сохранность персональных данных и принимает меры, исключающие несанкционированный доступ к персональным данным.
4.2. Обработка персональных данных, осуществляемая с использованием средств автоматизации, проводится в соответствии с Политикой информационной безопасности ИП, в том числе (но не ограничиваясь) при условии выполнения следующих действий:
- ИП проводит технические мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
- ИП настраивает защитные инструменты на своевременное обнаружение фактов несанкционированного доступа к персональным данным;
- ИП изолирует технические средства автоматизированной обработки персональных данных в целях недопущения воздействия на них, в результате которого может быть нарушено их функционирование;
- ИП осуществляет постоянный контроль за обеспечением уровня защищенности персональных данных.
4.3. Персональные данные не раскрываются третьим лицам и не распространяются без согласия субъекта персональных данных (если иное не предусмотрено законодательством Российской Федерации)
4.3.1. Используя сайт
http://onlinepiano.me/, заполняя форму обратной связи на сайте Вы выражаете свое согласие на автоматизированную и неавтоматизированную обработку ваших персональных данных, Согласие и настоящая Политикой также предусмотрены для ознакомления перед отправкой любой формы обратной на Сайте связи рядом с соответствующей формой.
4.4. ИП может передавать персональные данные внутренне среди тех сотрудников, которым персональные данные необходимы для выполнения обязанностей предусмотренных трудовым или гражданско правовым договором.
4.5. ИП хранит персональные данные лиц столько, сколько потребуется для выполнения тех целей, для которых эти данные были собраны. Информация о лицах, которые зарегистрировались для участия в рассылке, хранится до тех пор, пока ИП не будет уведомлено, что данные лица больше не хотят получать рассылку.
4.6. Для достижения целей обработки персональных данных ИП вправе поручить обработку персональных данных третьим лицам с согласия субъекта персональных данных, на основании заключаемого с этими лицами договора. К таким лицам могут относиться (но не ограничиваясь):
- ИП, оказывающие услуги по перевозке, бронированию и оформлению билетов на поезд/самолет, гостиниц и др.
- Страховые ИП в рамках оформления полисов ДМС.
- ИП, осуществляющие задачи в рамках предоставления/доставки корреспонденции, товаров клиентам и иным лицам.
- Кредитные организации в рамках оформления зарплатного проекта или расчетов с физическими лицами, индивидуальными предпринимателями.
- Иные физические и/или юридические лица, независимо от их организационно правовой формы, которым ИП вправе передать персональные данные в количестве, порядке и для реализации целей, определенных в договоре ИП с таким лицом.
4.7. Сроки обработки и хранения персональных данных субъектов персональных данных определяются в соответствии с действующим законодательством Российской Федерации и иными нормативными правовыми актами.
4.8. Лица, осуществляющие обработку персональных данных по поручению ИП, обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные 152-ФЗ, соглашение о конфиденциальности, подписанное ИП и соответствующим лицом, а также условия настоящей Политики.
5. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. ИП осуществляя обработку персональных данных придерживается следующих принципов:
- законности и справедливой основы;
- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- обеспечения надлежащей защиты персональных данных;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
- соответствия объема, характера и способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- хранения персональных данных в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
- уничтожения или обезличивания персональных данных по достижении целей их обработки, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных;
- обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.
6. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. ИП при обработке персональных данных принимает необходимые правовые, организационные и технические меры, проводит мероприятия, определенные в Политике об информационной безопасности ИП, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.2. ИП принимает следующие меры и проводит следующие мероприятия (но не ограничиваясь):
- определяет угрозы безопасности персональных данных при их обработке, формирует на их основе модели угроз;
- осуществляет разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз;
- формирует план проведения проверок готовности новых средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
- осуществляет установку и ввод в эксплуатацию средств защиты информации;
- проводит обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
- осуществляет учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
- осуществляет учет лиц, допущенных к работе с персональными данными в информационной системе;
- ведет учет машинных носителей персональных данных
- осуществляет контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
- инициирует разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
- применяет организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных
- применяет прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации
- проводит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных
- контролирует факты несанкционированного доступа к персональным данным и принимаются меры по недопущению подобных инцидентов в дальнейшем
- устанавливает правила доступа к персональным данным, обрабатываемых в информационной системе персональных данных, а также обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных
- ведет контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных
- назначает ответственного за обработку персональных данных
6.3. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного ответственным лицом в ИП. Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. При обнаружении нарушений порядка предоставления персональных данных ответственное лицо незамедлительно приостанавливает предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.
7. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА
7.1. ИП как Оператор персональных данных вправе:
- отстаивать свои интересы в суде;
- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.), настоящей Политикой или договором;
- отказывать в предоставлении персональных данных в случаях предусмотренных законодательством, настоящей Политикой или договором;
- обрабатывать законно полученные персональные данные в соответствии с заранее определенным целями обработки этих персональных данных
- изменять, уточнять, уничтожать или блокировать персональные данные субъектов персональных данных в соответствии с требованиями, полученными от субъектов персональных данных
- предоставлять информацию, касающуюся обработки персональных данных субъектам персональных данных по соответствующему требованию субъекта персональных данных
- иные права и обязанности, предусмотренные настоящей Политикой и законодательством Российской Федерации
8. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Субъект персональных данных имеет право:
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- требовать перечень своих персональных данных, обрабатываемых Оператором и источник их получения;
- получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
- запрашивать информацию, касающуюся обработки его персональных данных
- иные права и обязанности, предусмотренные настоящей Политикой и законодательством Российской Федерации
9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
9.1. Настоящая Политика подлежит при необходимости изменению, дополнению в любом из следующих случаев:
- При изменении законодательства Российской Федерации в области обработки и защиты персональных данных
- В случаях получения предписаний на устранение несоответствий, затрагивающих область действия Политики
- По решению руководства Общества
- При изменении целей обработки персональных данных
- При изменении или введения новых организационной структуры, структуры информационных и/или телекоммуникационных систем
- При применении новых технологий обработки персональных данных
- При появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Общества
9.2. Настоящая Политика является внутренним документом ИП, и подлежит размещению на официальном сайте ИП. В случае изменений, доведение до неограниченного круга лица таких изменений осуществляется посредством размещения на официальном сайте ИП Политики с учетом таких изменений.
9.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных в ИП.
9.4. В случае неисполнения положений настоящей Политики ИП, а также его должностные лица и Работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки персональных данных физических лиц, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Российской Федерации.