Политика обработки персональных данных

ИП Кузнецовой Александры Олеговны

1. Общие положения

1.1. Политика конфиденциальности разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иными федеральными и региональными нормативными актами в сфере защиты персональных данных.
1.2. Оператор - ИП Кузнецова Александра Олеговна, ИНН: 231129369351, ОГРНИП: 321237500002402.
1.3. Персональные данные - любая информация, позволяющая идентифицировать конкретного человека.
1.4. Положение распространяется на всех лиц, являющихся потребителями услуг, оказываемых Оператором.
1.5. Потребитель имеет право:
1.5.1. на доступ к своим персональным данным;
1.5.2 на уточнение своих персональных данных;
1.5.3 на блокирование своих персональных данных;
1.5.4 на уничтожение своих персональных данных;
1.5.5 на обжалование действий или бездействий оператора.

1. Перечень обрабатываемых персональных данных

2.1. Оператор обрабатывает следующие персональные данные третьих лиц, являющихся потребителями услуг:


2.2. Основания обработки персональных данных:

1. Способы обработки персональных данных

3.1. К способам обработки персональных данных относятся:
3.1.1. сбор,
3.1.2. запись,
3.1.3. накопление,
3.1.4. хранение,
3.1.5. уточнение (обновление, изменение),
3.1.6. обезличивание,
3.1.7. удаление,
3.1.8. уничтожение персональных данных.
3.2. Обработка персональных данных третьих лиц, указанных в заявлениях (согласиях, доверенностях и т. п.) ведется исключительно в целях реализации прав третьих лиц на получение услуги и с согласия третьих лиц на обработку.
3.3. Оператор ведет учет посетителей в бумажном или электронном виде, ответственные лица фиксируют персональные данные посетителей: фамилию, имя, номер телефона, адрес электронной почты. Перечень лиц, ответственных за ведение учета, утверждается приказом. Копирование и передача информации ее третьим лицам не допускается, за исключением случаев, предусмотренных законодательством РФ.
3.4. Журналы и иные документы, содержащие персональные данные, подлежат хранению и уничтожению в сроки и в порядке, предусмотренные номенклатурой дел и архивным законодательством РФ.
3.4.1. Уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется путем измельчения на мелкие части, исключающие возможность последующего восстановления информации. Измельчение осуществляется с использованием шредера (уничтожителя документов);
3.4.2. Уничтожение персональных данных, хранящихся на ПЭВМ и (или) на перезаписываемых съемных машинных носителях информации, используемых для хранения информации вне ПЭВМ (флешнакопителях, внешних жестких дисках, CD-дисках и иных устройствах), производится с использованием штатных средств информационных и операционных систем путем физического уничтожения самого носителя, или путем удаления информации из системы, форматирования диска или записи на него новой информации.

1. Меры обеспечения безопасности персональных данных

4.1. К основным мерам обеспечения безопасности персональных данных в Оператора относятся:
4.1.1.Назначение ответственного за организацию обработки персональных данных.
4.1.2.Издание политики обработки персональных данных и локальных актов по вопросам обработки персональных данных.
4.1.3. Ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями к защите персональных данных, политикой обработки персональных данных и локальными актами ИП по вопросам обработки персональных данных.
4.1.4. Регистрация и учет всех действий, совершаемых с персональными данными в информационных системах, контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем.
4.1.5. Учет машинных носителей персональных данных.
4.1.6. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных, оценка соотношения указанного вреда и принимаемых мер.
4.1.7. Внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям Законодательства.

1. Отзыв согласия на обработку персональных данных

5.1. Потребитель имеет право отозвать согласие на обработку своих персональных данных, в таком случае его персональные данные будут уничтожены.
5.2. Для отзыва согласия на обработку персональных данных необходимо вручить Оператору лично или направить по адресу электронной почты sasha.kuznetcova.1@gmail.com или почтовой корреспонденцией заявление, содержащее сведения:
5.2.1. фамилия, имя, отчество;
5.2.2. дата рождения;
5.2.3. номер телефона;
5.2.4. данные представителя (если обращается представитель);
5.2.5. дата и подпись.
5.3. По результатам рассмотрения заявления Оператор предоставит потребителю ответ.

ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

у индивидуального предпринимателя

Кузнецовой Александры Олеговны

1. Общие положения

1.1. Положение об обработке персональных данных (далее — Положение) определяет условия и порядок обработки персональных данных, которую осуществляет Индивидуальный предприниматель Кузнецова Александра Олеговна (далее — Оператор).
1.2. Положение разработано во исполнение Политики в отношении обработки персональных данных (далее — Политика) и в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»), а также следующими нормативными правовыми актами:
— часть вторая Гражданского Кодекса Российской Федерации от 26 января 1996 г. № 14-ФЗ (далее — часть вторая ГК РФ);
— постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
— постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

2. Организация обработки персональных данных

2.1. В целях обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, Оператором назначается ответственный за организацию обработки персональных данных (далее — Ответственный).
2.2. Ответственный обязан:
— обеспечивать утверждение, приведение в действие, а также обновление в случае необходимости Политики, Положения и иных локальных актов по вопросам обработки персональных данных;
— обеспечить неограниченный доступ к Политике, копия которой размещается по адресу нахождения Оператора;
— проводить оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы Оператора; — ежегодно проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных»;
— ежегодно осуществлять внутренний контроль за соблюдением Оператором законодательства о персональных данных, Политики, Положения и иных локальных актов по вопросам обработки персональных данных, в том числе требований к защите персональных данных (далее — Нормативные акты);
— организовывать и контролировать приём и обработку обращений и запросов субъектов персональных данных, обеспечивать осуществление их прав;
— обеспечивать взаимодействие с уполномоченным органом по защите прав субъектов персональных данных (далее — Роскомнадзор).

3. Обеспечение безопасности персональных данных

3.1. В целях защиты персональных данных от неправомерных действий (в частности, неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения) Оператором применяется комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных, составляющий систему защиты персональных данных.
3.2. Применение комплекса мер по обеспечению безопасности персональных данных обеспечивает установленный уровень защищенности персональных данных при их обработке в информационной системе Оператора.
3.3. В целях обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, Оператором назначается ответственный за обеспечение безопасности персональных данных в информационной системе.
3.4. Ответственный за обеспечение безопасности персональных данных в информационной системе обязан:
— ежегодно выполнять определение угроз безопасности персональных данных при их обработке в информационной системе Оператора;
— обеспечивать реализацию организационных и технических мер по обеспечению безопасности персональных данных и применение средств защиты информации, необходимых для достижения установленного уровня защищенности персональных данных при обработке в информационной системе Оператора;
— устанавливать правила доступа к персональным данным, обрабатываемым в информационной системе Оператора, а также обеспечивать регистрацию и учёт всех действий с ними;
— организовывать обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— ежегодно осуществлять внутренний контроль за обеспечением установленного уровня защищённости персональных данных при обработке в информационной системе Оператора.

4. Осуществление прав субъектов персональных данных

4.1. При обращении субъекта персональных данных или при получении его запроса (далее — Обращение) Ответственный обеспечивает предоставление субъекту персональных данных информации о наличии относящихся к нему персональных данных, а также возможности ознакомления с этими персональными данными в течение 30 дней с даты Обращения.
4.2. При наличии законных оснований для отказа в предоставлении субъекту персональных данных информации о наличии относящихся к нему персональных данных, а также возможности ознакомления с этими персональными данными Ответственный обеспечивает направление субъекту персональных данных мотивированного ответа в письменной форме, содержащего ссылку на положение ч. 8 ст. 14 ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в течение 30 дней с даты Обращения.
4.3. При предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, обрабатываемые Оператором, являются неполными, неточными или неактуальными, Ответственный обеспечивает внесение необходимых изменений в персональные данные в течение 7 рабочих дней с даты Обращения.
4.4. При предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, обрабатываемые Оператором, являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Ответственный обеспечивает уничтожение таких персональных данные в течение 7 рабочих дней с даты Обращения.
4.5. Ответственный обеспечивает уведомление субъекта персональных данных о внесенных в его персональные данные изменениях и предпринятых мерах, а также принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы. 4.6. В случае отзыва субъектом персональных данных согласия на их обработку она может быть продолжена при наличии оснований, указанных в п. 2—11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ «О персональных данных».

5. Взаимодействие с Роскомнадзором

5.1. По запросу Роскомнадзора Ответственный организует предоставление локальных актов в отношении обработки персональных данных и документов, подтверждающих принятие мер по выполнению требований ФЗ «О персональных данных», в течение 30 дней с даты получения запроса.
5.2. По требованию Роскомнадзора Ответственный организует уточнение, блокирование или уничтожение недостоверных или полученных незаконным путем персональных данных в течение 30 дней с даты получения требования.
5.3. В случаях, предусмотренных ст. 22 ФЗ «О персональных данных», Ответственный направляет в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных.
5.4. В случае необходимости Ответственный направляет в Роскомнадзор обращения по вопросам обработки персональных данных, осуществляемой Оператором.