Политика конфиденциальности
Индивидуальный предприниматель Михайленко Татьяна Александровна
1. Основные термины и определения
В настоящей политике используются следующие основные понятия:
- Персональные данные - любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту персональных данных);
- Оператор – ИП Михайленко Татьяна Александровна, самостоятельно организующая и
осуществляющая обработку персональных данных, а также определяющая цели
обработки персональных данных, состав персональных данных, подлежащих обработке,
действия (операции), совершаемые с персональными данными;
- Обработка персональных данных - любое действие (операция) или совокупность
действий (операций), совершаемых с использованием средств автоматизации или без
использования таких средств с персональными данными, включая сбор, запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение,
использование, передачу (распространение, предоставление, доступ), обезличивание,
блокирование, удаление, уничтожение персональных данных;
- Автоматизированная обработка персональных данных - обработка персональных
данных с помощью средств вычислительной техники;
- Распространение персональных данных - действия, направленные на раскрытие
персональных данных неопределенному кругу лиц;
- Предоставление персональных данных - действия, направленные на раскрытие
персональных данных определенному лицу или определенному кругу лиц;
- Блокирование персональных данных - временное прекращение обработки
персональных данных (за исключением случаев, если обработка необходима для
уточнения персональных данных);
- Уничтожение персональных данных - действия, в результате которых становится
невозможным восстановить содержание персональных данных в информационной
системе персональных данных и (или) в результате которых уничтожаются
материальные носители персональных данных;
- Обезличивание персональных данных - действия, в результате которых становится
невозможным без использования дополнительной информации определить
принадлежность персональных данных конкретному субъекту персональных данных;
- Информационная система персональных данных - совокупность содержащихся в
базах данных персональных данных и обеспечивающих их обработку информационных
технологий и технических средств;
- Трансграничная передача персональных данных - передача персональных данных
на территорию иностранного государства органу власти иностранного государства,
иностранному физическому лицу или иностранному юридическому лицу.
2. Общие положенияОператор, основываясь на целях безусловного выполнения требований законодательства РФ и
поддержания своей деловой репутации, считает своими задачами исполнение принципов
справедливости, законности, конфиденциальности, безопасности при обработке персональных
данных.
Настоящая политика в отношении обработки персональных данных:
- разработана с учетом требований Конституции РФ, законодательства Российской
Федерации, нормативных правовых актов Российской Федерации в области
персональных данных;
- определяет основные принципы, цели и способы обработки персональных данных,
состав субъектов персональных данных и их права, действия Оператора при обработке
персональных данных, меры, принимаемые Оператором по защите персональных
данных, а также меры по контролю за соблюдением требований законодательства и
данной политики;
- является общедоступным документом, которым регулируется деятельность Оператора
при обработке персональных данных.
3. Информация об оператореИндивидуальный Предприниматель Михайленко Татьяна Александровна
ИНН: 771507612415
ОГРНИП: 1027700067328
КПП: 0
Р/с: 40802810002260000798
Банк: АО «АЛЬФА-БАНК»
К/с: 30101810200000000593
БИК: 044525593
Адрес: 127562, г. Москва, Алтуфьевское шоссе, 30 В, 320
E-mail: hello@eczo.online
4. Правовые основания обработки персональных данныхДанная политика в отношении обработки персональных данных составлена в соответствии с
требованиями следующих нормативно-правовых актов РФ:
- Конституции Российской Федерации;
- Трудового кодекса Российской Федерации;
- Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных»;
- Указа Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении
Перечня сведений конфиденциального характера»;
- постановления Правительства Российской Федерации от 13 сентября 2008 года №687
«Об утверждении Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации»;
- постановления Правительства Российской Федерации от 06 июля 2008 года №512 «Об
утверждении требований к материальным носителям биометрических персональных
данных и технологиям хранения таких данных вне информационных систем
персональных данных»;
- постановления Правительства Российской Федерации от 01 ноября 2012 года №1119
«Об утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных»;
- приказа ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении состава и
содержания организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных
данных»;
- приказа Роскомнадзора от 05 сентября 2013 №996 «Об утверждении требований и
методов по обезличиванию персональных данных»;
- иных нормативно-правовых актов Российской Федерации и нормативных документов
уполномоченных органов государственной власти.
5. Цели обработки персональных данныхОператор обрабатывает персональные данные исключительно в целях:
- осуществления хозяйственной деятельности, как ненаправленной на извлечение
прибыли, так и направленной на извлечение прибыли (включая, но, не ограничиваясь,
уставную деятельность Оператора);
- исполнения договора, одной из сторон (либо выгодоприобретателем) которого является
субъект персональных данных (включая трудовые отношения с работниками Оператора,
отношения с контрагентами/поставщиками и с покупателями/клиентами Оператора).
Не допускается обработка персональных данных, которые не отвечают целям обработки.
6. Субъекты и категории персональных данныхВ информационных системах персональных данных Оператором обрабатываются персональные
данные следующих субъектов персональных данных:
- штатных и нештатных работников, состоящих в трудовых/договорных отношениях с
Оператором;
- физических лиц - клиентов Оператора;
- физических лиц - контрагентов по договорам, заключенным Оператором
Оператор осуществляет обработку следующих категорий персональных данных общей категории:
фамилия, имя, отчество, дата рождения, месяц рождения, год рождения, данные документов,
удостоверяющих личность, адрес (регистрации по месту жительства и фактического проживания),
контактные данные (номера телефонов, адреса электронной почты), реквизиты доверенности или
иного документа, подтверждающие полномочия, метаданные пользователя сайта (cookie, данные об
IP-адресе и местоположении).
7. Основные принципы обработки персональных данныхОбработка персональных данных Оператором ведется с учетом обеспечения защиты прав и свобод
как работников Оператора, так и иных лиц при обработке их персональных данных, в том числе
прав на неприкосновенность частной жизни, личную и семейную тайну на основе принципов:
- законности и справедливости обработки персональных данных;
- ограничения обработки персональных данных достижением конкретных, заранее
определенных и законных целей;
- соответствия целей и способов обработки персональных данных тем целям, которые
были заявлены при сборе данных;
- недопустимости объединения баз данных, созданных с разными целями для обработки
персональных данных;
- соответствия необходимости и достаточности объема, характера и способов обработки
персональных данных заявленным целям их обработки;
- обеспечения точности, достоверности и, при необходимости, актуальности по
отношению к целям обработки;
- хранения персональных данных в форме, позволяющей определить субъекта
персональных данных не дольше, чем того требуют цели обработки, требования
законодательства или договора, по которому выгодоприобретателем является субъект
персональных данных;
- уничтожения или обезличивания персональных данных по достижении целей или
утраты необходимости в достижении этих целей, если иное не предусмотрено
требованиями законодательства.
8. Действия с персональными даннымиОператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение, использование, передачу (распространение, предоставление,
доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператором обработка персональных данных осуществляется следующими способами:
- автоматизированная обработка персональных данных;
- неавтоматизированная обработка персональных данных;
- смешанная обработка персональных данных.
9. Меры по выполнению обязанностей Оператора в обеспечении безопасности персональныхданных при их обработке- Носители информации, содержащие персональные данные, хранятся в специальных
строго контролируемых помещениях, расположенных в пределах границ
контролируемых и охраняемых зон.
- Информационный доступ к техническим средствам, с помощью которых производится
обработка персональных данных, реализован через автоматизированные рабочие места,
защищенные от несанкционированного доступа. В зависимости от степени критичности
информации разграничение (ограничение) доступа производится программно-
аппаратными средствами идентификации и аутентификации пользователей.
- Разграничен (ограничен) доступ персонала и посторонних лиц в защищаемые
помещения и помещения, где размещены средства информатизации и коммуникации, а
также где хранятся носители с персональными данными.
- Информация доступна лишь для строго определенных работников. Производится
запись (логирование) входа/выхода работников в/из операционную(ой) систему(ы),
работы в автоматизированных рабочих местах, доступа к базам данных.
- Реализована защита информации от сбоев оборудования и вредоносного программного
обеспечения. Применяется система восстановления информации.
- При работе в сетях безопасность информации обеспечивается средствами межсетевого
экранирования, созданием демилитаризованных зон, виртуальных частных сетей,
защищенных каналов связи, применением защищенных протоколов передачи
информации и программно-аппаратных средств шифрования информации.
10. Ответственность и контроль за соблюдением требований настоящей политики изаконодательства в области персональных данныхОтветственным за соблюдением требований законодательства в области персональных данных и
настоящей политики является Оператор.
Приказом Оператора назначается лицо, ответственное за организацию обработки и обеспечение
безопасности персональных данных.
Лицо, ответственное за организацию и обеспечение безопасности персональных данных, в рамках
выполнения положений настоящей политики и законных актов Российской Федерации в области
персональных данных уполномочено:
- определять угрозы безопасности персональных данных при их обработке в
информационных системах персональных данных;
- планировать применение организационных и технических мер по обеспечению
безопасности персональных данных при их обработке в информационных системах
персональных данных, необходимых для противодействия угрозам безопасности
персональных данных и выполнения требований к защите персональных данных;
- организовывать контроль и/или аудит соответствия принятых мер защиты при
обработке персональных данных Федеральному закону от 27.07.2006 №152-ФЗ «О
персональных данных», нормативным правовым актам, требованиям нормативных актов
к защите персональных данных, локальным актам;
- оценивать эффективность принимаемых мер по обеспечению безопасности
персональных данных до ввода в эксплуатацию информационной системы персональных
данных и организовывать мониторинг уровня защищенности персональных данных при
эксплуатации информационной системы персональных данных;
- проводить анализ по фактам нарушения положений настоящей политики;
- разрабатывать и принимать соответствующие меры на поддержание необходимого
уровня защищенности персональных данных;
- организовывать прием и обработку обращений и запросов регулирующих органов РФ,
субъектов персональных данных или их представителей.
Лица, виновные в нарушении норм действующего законодательства Российской Федерации в
области персональных данных могут быть привлечены к дисциплинарной, административной,
гражданской и уголовной ответственности в порядке, установленном действующим
законодательством Российской Федерации.
11. Права субъектов персональных данныхСубъект персональных данных имеет право на получение информации об обработке его
персональных данных Оператором, в том числе содержащую:
- подтверждение факта обработки персональных данных;
- правовое основание, цели и сроки обработки персональных данных;
- способы обработки персональных данных;
- иные сведения, предусмотренные законодательством Российской Федерации.
Право субъекта персональных данных на доступ к его персональным данным может быть
ограничено:
- если обработка персональных данных, включая те, что получены в результате
оперативно-розыскной деятельности, выполняется в целях укрепления обороны страны,
обеспечения безопасности государства и охраны правопорядка;
- если обработка персональных данных осуществляется в соответствии с
законодательством о противодействии легализации (отмыванию) доходов, полученных
преступным путем, и финансированию терроризма;
- если доступ субъекта персональных данных нарушает права и законные интересы
третьих лиц;
- при условии, что обработка персональных данных производится органами,
осуществляющими задержание субъекта персональных данных по подозрению в
совершении преступления, либо предъявившими субъекту персональных данных
обвинение по уголовному делу, либо применившими к субъекту персональных данных
меру пресечения до предъявления обвинения, за исключением предусмотренных
уголовно-процессуальным законодательством Российской Федерации случаев, когда
допускается ознакомление подозреваемого или обвиняемого с такими персональными
данными;
- если обработка персональных данных осуществляется в случаях, предусмотренных
законодательством Российской Федерации о транспортной безопасности, в целях
обеспечения устойчивого и безопасного функционирования транспортного комплекса,
защиты интересов личности, общества и государства в сфере транспортного комплекса
от актов незаконного вмешательства.
Субъект персональных данных имеет право на:
- уточнение своих персональных данных, их блокирование или уничтожение, если
персональные данные являются неполными, устаревшими, неточными, незаконно
полученными или не являются необходимыми для заявленной цели обработки:
- отзыв согласия на обработку персональных данных;
- осуществление иных прав, предусмотренных законодательством Российской
Федерации в области персональных данных.
Для реализации своих прав и законных интересов субъект персональных данных может обратиться
к Оператору, либо его уполномоченным сотрудникам.
Уполномоченный сотрудник Оператора рассматривает обращения и жалобы со стороны субъектов
персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры
для их немедленного устранения, наказания виновных лиц и урегулирования спорных и
конфликтных ситуации в досудебном порядке.
Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем
обращения в уполномоченных орган по защите прав субъектов персональных данных.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том
числе в судебном порядке.
12. Заключительные положенияНастоящая политика разработана и утверждена приказом Оператора.
Настоящая Политика является внутренним документом Оператора, общедоступной и подлежит
размещению на официальном сайте Оператора.
Настоящая Политика подлежит изменению, дополнению в случае появления новых
законодательных актов и специальных нормативных документов по обработке и защите
персональных данных
Контроль исполнения требований настоящей Политики осуществляется ответственными за
обеспечение безопасности персональных данных.
Ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за
невыполнение требований норм, регулирующих обработку и защиту персональных данных,
определяется в соответствии с законодательством Российской Федерации и внутренними
документами Оператора.