Политика конфиденциальности

Положение о защите, хранении, обработке и передаче персональных данных клиентов

УТВЕРЖДАЮ:
Индивидуальный предприниматель
Жижерина Юлия Юрьевна
ИНН: 110200145073


"01" января 2019 г.
 
 

1 ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение о защите, хранении, обработке и передаче персональных данных работников, клиентов и контрагентов (далее – «Положение») принято в целях обеспечения прав и свобод граждан при обработке персональных данных, сохранения конфиденциальности данных и их защиты.

1.2. Положение устанавливает, в частности, порядок обработки Оператором (Индивидуальным предпринимателем Жижериной Ю.Ю. ОГРНИП: 316774600325507, ИНН: 110200145073) - (далле - ИП) персональных данных клиентов (далее – Субъект обработки персональных данных), включая порядок их хранения и использования, определяет объем и содержание обрабатываемых персональных данных, цели и предполагаемые источники и способы получения персональных данных.

1.3. Основой для разработки настоящего Положения послужили Конституция Российской Федерации, Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (в соответствии с Федеральным законом от 19.12.2005 № 160-ФЗ), Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и иные нормативные правовые акты Российской Федерации, а также международные акты, ратифицированные Россией.

2 ПОНЯТИЕ, ОБЪЕМ И СОДЕРЖАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. В настоящем Положении используются следующие термины и определения:
Оператор – индивидуальный предприниматель Жижерина Юлия Юрьевна (далее – ИП), вступившая в договорные отношения с работником, клиентом или контрагентом или оказывающее услуги физическому лицу, юридическому лицу или индивидуальному предпринимателю.
Клиент – физическое лицо, юридическое лицо в лице уполномоченного представителя, индивидуальный предприниматель либо его уполномоченный представитель, вступившее в отношения с ИП.
Контрагент – физическое лицо, юридическое лицо в лице уполномоченного представителя, индивидуальный предприниматель либо его уполномоченный представитель вступившее в договорные отношения с ИП по вопросам хозяйственной деятельности.
Персональные данные Клиента – информация, необходимая Оператору в связи с договорными отношениями и касающаяся конкретного Клиента, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, паспортные данные, образование, профессия, специальность, занимаемая должность, ИНН, СНИЛС, адрес электронной почты, телефон, иные сведения указанные заявителем.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение,использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Субъект персональных данных – Клиент, . Защита персональных данных Клиента, – деятельность ИП по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации.
Конфиденциальность персональных данных – обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

2.2. Объем персональных данных каждой категории определяется необходимостью достижения конкретных целей их обработки.

2.3. Персональные данные работников ИП относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законодательством Российской Федерации.

3 ПРИНЦИПЫ ОБРАБОТКИ

3.1. Обработка персональных данных Субъекта основывается на следующих принципах:

  • Обработка персональных данных должна осуществляться на законной и справедливой основе.
  • Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
  • Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
  • Обработке подлежат только персональные данные, которые отвечают целям их обработки.
  • Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
  • При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
  • Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иное не предусмотрено федеральным законом или договором. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4 ЦЕЛИ ОБРАБОТКИ

4.1 Персональные данные обрабатываются Оператором в следующих целях:
1) осуществление и выполнение возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, в частности:

  • выполнение требований законодательства в сфере труда и налогообложения;
  • ведение текущего бухгалтерского и налогового учёта, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической отчётности;
  • выполнение требований законодательства по определению порядка обработки и защиты персональных данных граждан, являющихся клиентами или контрагентами ИП.

2) осуществления прав и законных интересов ИП в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами ИП, или третьих лиц либо достижения общественно значимых целей;
3) в иных законных целях.

5. СОСТАВ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработке Оператором подлежат персональные данные следующих субъектов персональных данных:
— клиенты Оператора;
— контрагенты Оператора;
— физические лица, обратившиеся к Оператору в порядке, установленном Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации».

5.2. Состав персональных данных каждой из перечисленных в п. 5.1 настоящего Положения категории субъектов определяется согласно нормативным документам, перечисленным в разделе 1.3 настоящего Положения, а также нормативным документам ИП, изданным для обеспечения их исполнения.

5.3. В случаях, предусмотренных действующим законодательством, субъект персональных данных принимает решение о предоставлении его персональных данных Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе.

5.4. Оператор обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

5.5. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в ИП не осуществляется.

6. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

При обработке персональных данных должны соблюдаться следующие условия.

6.1. Конфиденциальность персональных данных
Оператором и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением следующих случаев:

  1. обезличивания персональных данных;
  2. в отношении общедоступных персональных данных.

6.2.Поручение обработки персональных данных третьему лицу

6.2.1 В случае если Оператор на основании договора поручает обработку персональных данных третьему лицу, существенным условием договора должно быть обеспечение указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

6.3. Хранение и уничтожение персональных данных
6.3.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
6.3.2. Ответственным за уничтожение персональных данных является уполномоченное лицо, назначаемое приказом ИП. Уполномоченное лицо является председателем комиссии ИП по уничтожению персональных данных. Назначение комиссии по уничтожению персональных данных производится приказом ИП. Уничтожение носителей персональных данных оформляется актом.
6.3.3. Места хранения и правила доступа к персональным данным на бумажных носителях устанавливаются приказом ИП .

6.4. Согласие субъекта персональных данных на обработку своих персональных данных
6.4.1 Субъект обработки персональных данных принимает решение о предоставлении своих персональных данных Оператору персональных данных и дает согласие на их обработку своей волей и в своих интересах, за исключением случаев, когда обязательно предоставление субъектом своих персональных данных в целях защиты здоровья, прав и законных интересов других лиц.
6.4.2 Оператор берет на себя обязанность предоставить доказательство получения согласия субъекта на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональных данных являются общедоступными.
6.4.3 Обработка персональных данных осуществляется с согласия субъекта персональных данных в письменной форме. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

  • фамилию, имя, отчество, адрес субъекта персональных данных или его представителя, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование Оператора;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие, а также порядок его отзыва;
  • собственноручную подпись субъекта персональных данных.

6.4.4 В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.
6.4.5. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
6.4.6. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

7. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1.Субъект персональных данных имеет право на получение сведений об Операторе, о месте его нахождения, о наличии у Оператору персональных данных, относящихся к соответствующему субъекту, а также на ознакомление с такими персональными данными.

7.2.Субъект вправе требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством меры по защите своих прав.

7.3. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

7.4. Доступ к своим персональным данным предоставляется Cубъекту или его законному представителю при обращении либо при получении запроса Субъект обработки персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. 7.5. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

  • субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
  • подтверждение факта обработки персональных данных Оператором, а также цель и правовые основания и порядок осуществления Оператором такой обработки;
  • способы обработки персональных данных, применяемые Оператором;
  • сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
  • перечень обрабатываемых персональных данных и источник их получения;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

7.5. Если Cубъект считает, что Оператором осуществляется обработка его персональных данных с нарушением требований действующего законодательства или иным образом нарушаются его права и свободы, заявитель вправе обжаловать действия или бездействие Оператору в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

7.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

8. ОБЯЗАННОСТИ ОПЕРАТОРА

8.1. При сборе персональных данных Оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную в п. 6 настоящего Положения.

8.2. Если обязанность предоставления персональных данных установлена федеральным законом, Оператор обязан разъяснить Субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.

8.3. Если персональные данные были получены не от Субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены Оператору на основании федерального закона или если персональные данные являются общедоступными, Оператор до начала обработки таких персональных данных обязан предоставить Субъекту персональных данных следующую информацию:

  • наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
  • цель обработки персональных данных и ее правовое основание;
  • предполагаемые пользователи персональных данных;
  • данные установленные Федеральным законом права субъекта персональных данных.

9. МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Общие положения

9.1.1. Организация работ по обеспечению безопасности персональных данных осуществляется руководством Оператора.
9.1.2 Ответственным лицом за защиту персональных данных является, лицо уполномоченное приказом ИП.
9.1.3 Лица, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании утвержденного списка.

9.2. Мероприятия по обеспечению безопасности персональных данных при автоматизированной обработке

9.2.1. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе, шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.

9.2.2. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

9.2.3. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

9.3. Мероприятия по обеспечению безопасности персональных данных при их обработке без использования средств автоматизации

9.3.1 При обработке Оператором персональных данных на бумажных носителях, в частности, при использовании типовых форм документов, характер информации, в которых предполагает или допускает включение в них персональных данных, должны соблюдаться требования, установленные «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации").

9.3.2 Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

9.3.3 Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

9.3.4 При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

9.3.5 Допускается передача материальных носителей персональных данных на хранение сторонней организации на основании договора, при этом, существенным условием договора является обязанность обеспечения указанной организацией конфиденциальности персональных данных и безопасности персональных данных при их обработке (хранении).

9.3.6 Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.

9.3.7 При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия:

9.3.7.1 Типовая форма должна содержать:

  • сведения о цели обработки персональных данных;
  • наименование и адрес Оператора;
  • фамилию, имя, отчество и адрес субъекта персональных данных;
  • источник получения персональных данных;
  • сроки обработки персональных данных;
  • перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
  • общее описание используемых Оператором способов обработки персональных данных.

9.3.7.2 Типовая форма должна предусматривать поле, в котором Субъект персональных данных может поставить отметку о своем согласии на обработку его персональных данных.

9.3.7.3 Типовая форма должна быть составлена таким образом, чтобы каждый из Субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных.

9.3.7.4 Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

10. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ НАСТОЯЩЕГО ПОЛОЖЕНИЯ

В случае нарушения норм, регулирующих обработку и защиту персональных данных, Оператором и иными лицами, они несут дисциплинарную, административную, гражданско-правовую, уголовную или иную ответственность в соответствии действующим законодательством Российской Федерации.

11. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Субъекты персональных данных имеют право:

  • получать информацию об их персональных данных и их обработке;
  • получать свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные Субъекта обработки персональных данных, за исключением случаев, предусмотренных федеральным законом;
  • определять своих представителей для защиты своих персональных данных;
  • получать доступ к медицинской документации, отражающей состояние их здоровья;
  • требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований закона;
  • заявлять Оператору в письменной форме о своем несогласии с отказом ИП исключить или исправить персональные данные с соответствующим обоснованием такого несогласия;
  • дополнять персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
  • требовать об извещении Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные Субъекта обработки персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях;
  • участвовать в выработке мер защиты персональных данных Субъекта;
  • обжаловать в суд любые неправомерные действия или бездействие ИП при обработке и защите его персональных данных.

11.2. Право Субъекта обработки персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

11.3. Все обращения Субъекта или их представителей в связи с обработкой их персональных данных регистрируются в соответствующем журнале.

11.4. По всем вопросам обработки персональных данных Субъекты обработки персональных данных вправе обратиться к Оператору.

11.5. Субъекты обработки персональных данных обязаны:

  • соблюдать требования настоящего Положения и законодательства РФ в области персональных данных;
  • предоставлять Оператору документы и информацию, содержащие персональные данные, в объеме, предусмотренном законом или необходимом для осуществления взаимных прав и обязанностей Субъекта обработки персональных данных и ИП;
  • предоставлять Оператору актуальные, достоверные и точные сведения о себе (сведения считаются неточными, если они неверны или вводят в заблуждение относительно каких-то фактов действительности);
  • по запросу ИП в случаях, предусмотренных настоящим Положением, представлять разъяснения и уточнения в отношении своих персональных данных в письменной форме с приложением подтверждающих документов (если применимо);

11.6. Неисполнение или ненадлежащее исполнение Субъектом указанных обязанностей, в том числе путем не предоставления запрошенных документов, персональных данных или разъяснений может затруднить или сделать невозможным осуществление взаимных прав и обязанностей Субъекта обработки персональных данных и ИП. В этом случае Оператор не будет отвечать за неблагоприятные последствия, наступившие вследствие недобросовестных действий со стороны Субъекта обработки персональных данных.