- НАЗНАЧЕНИЕ
- Настоящая Политика обработки персональных данных (далее – Политика) индивидуального предпринимателя Набиева Исломжона Абдикомол угли (далее – Организация) определяет основные принципы, цели и условия обработки персональных данных, перечни субъектов и категорий персональных данных, функции Организации при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Организации требования к защите персональных данных.
- Обработка персональных данных, объем и содержание обрабатываемых персональных данных определяется в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», другими федеральными законами и подзаконными актами.
- Настоящая Политика вводится в действие с даты ее утверждения.
- ОБЩИЕ ПОЛОЖЕНИЯ
- Область применения
- Настоящая Политика, является общедоступной и подлежит размещению на информационных стендах офисов Организации и на сайте https://айвай.рф/.
- Требования данной Политики распространяются на всех работников Организации.
- Термины, определения и сокращения
- Для целей Политики используются следующие термины, определения и сокращения:
Клиент – пользователь услугами Организации, с которым заключен договор об оказании таких услуг.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Организация – индивидуальный предприниматель Набиев Исломжон Абдикомол угли (ИНН: 632416914780, ОГРНИП: 324632700202169).
Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В контексте настоящей Политики Организация является оператором.
Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
Посетитель – лицо, не являющееся работником Организации, но временно находящееся на его территории.
Работник – физическое лицо, вступившее в трудовые отношения с Организацией.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Субъект персональных данных (Субъект ПД) – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
- Нормативные ссылки:
Настоящая Политика разрабатывается с учетом положений Федерального закона Российской Федерации «О персональных данных» от 27.07.2006 № 152-ФЗ, а также иных законных и подзаконных нормативно-правовых актов, изданных компетентными государственным органами в установленном законом порядке и регулирующих отношения, связанные с обработкой персональных данных.
- КАТЕГОРИИ СУБЪЕКТОВ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- В соответствии с положениями Федерального закона № 152 ФЗ «О персональных данных» Организация самостоятельно определяет Категории субъектов ПД, цели обработки ПД, категории обрабатываемых ПД.
- Категории субъектов ПД, Цели обработки ПД, категории обрабатываемых ПД приведены в Приложении 1 к настоящей Политике.
- ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Обработка ПД осуществляется на законной и справедливой основе и в соответствии с п. 6 ФЗ-152.
- Обработка ПД осуществляется с согласия субъекта ПД, за исключением случаев, предусмотренных ФЗ-152.
- Субъект ПД принимает решение о предоставлении его ПД и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПД должно быть конкретным, информированным и сознательным. Согласие на обработку ПД может быть дано субъектом ПД или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПД от представителя субъекта ПД полномочия данного представителя на дачу согласия от имени субъекта ПД проверяются Организацией.
- В случаях, предусмотренных ФЗ-152, обработка ПД осуществляется только с согласия в письменной форме субъекта ПД. Равнозначным содержащему собственноручную подпись субъекта ПД согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта ПД на обработку его ПД разрабатывается на основе Типовой формы письменного согласия и включает в себя, как минимум, следующие сведения:
- фамилию, имя, отчество, адрес субъекта ПД, по которому планируется исполнение, заключенного договора.
- фамилию, имя, отчество, адрес представителя субъекта ПД, и адрес субъекта ПД, по которому планируется исполнение, заключенного договора, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПД);
- наименование или фамилию, имя, отчество и адрес Организации, получающей согласие субъекта ПД;
- цель обработки ПД;
- перечень ПД, на обработку которых дается согласие субъекта ПД;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;
- срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва, если иное не установлено федеральным законом;
- Обязанность предоставить доказательство получения согласия субъекта ПД на обработку его ПД или доказательство наличия оснований на обработку ПД без согласия субъекта ПД на обработку его ПД возлагается на Организацию.
- В случае недееспособности субъекта ПД согласие на обработку его ПД дает законный представитель субъекта ПД.
- В случае смерти субъекта ПД согласие на обработку его ПД дают наследники субъекта ПД, если такое согласие не было дано субъектом ПД при его жизни.
- ПД могут быть получены оператором от лица, не являющегося субъектом ПД, при условии предоставления оператору подтверждения наличия оснований, предусмотренных ФЗ-152.
- Согласие на обработку ПД может быть отозвано субъектом ПД. В случае отзыва субъектом ПД согласия на обработку ПД Организация вправе продолжить обработку ПД без согласия субъекта ПД при наличии оснований, предусмотренных ФЗ-152.
- Обработка ПД ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПД, несовместимая с целями сбора ПД.
- В Организации разрабатывается и утверждается перечень персональных данных, обрабатываемых в Организации в соответствии с ФЗ-152.
- Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
- Обработке подлежат только персональные данные, которые отвечают целям их обработки.
- Содержание и объем обрабатываемых ПД должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
- При обработке ПД должны быть обеспечены точность ПД, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПД. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
- Обработка ПД осуществляется как автоматизированная, так и без использования средств автоматизации.
- Согласно п. 1 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства Российской Федерации от 15.09.2008 № 687, обработка ПД, содержащихся в ИСПД либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с ПД, как использование, уточнение, распространение, уничтожение ПД в отношении каждого из субъектов ПД, осуществляются при непосредственном участии человека.
- Обработка ПД не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что ПД содержатся в информационной системе ПД либо были извлечены из нее.
- Правила обработки ПД, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, должны применяться с учетом требований настоящей Политики.
- При обработке ПД без использования средств автоматизации в Организации должны выполняться требования Постановления Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
- При обработке специальных категорий ПД, а также биометрических ПД в Организации необходимо руководствоваться статьями 10 и 11 ФЗ-152.
- В случае отзыва субъектом ПД согласия на обработку его ПД, в Организации должна быть прекращена их обработка или обеспечено прекращение такой обработки (если обработка ПД осуществляется другим лицом, действующим по поручению Организации), и в случае, если сохранение ПД более не требуется для целей обработки ПД, необходимо уничтожить ПД или обеспечить их уничтожение (если обработка ПД осуществляется другим лицом, действующим по поручению Организации). Уничтожение ПД должно осуществляться в срок, не превышающий тридцати дней с даты поступления отзыва согласия на обработку ПД, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПД, иным соглашением между Организациям и субъектом ПД либо если Организация не вправе осуществлять обработку ПД без согласия субъекта ПД на основаниях, предусмотренных законодательством Российской Федерации.
- В случае отзыва согласия на обработку ПД такая обработка может быть продолжена без согласия субъекта ПД, при наличии оснований, указанных в пп. 2-11 ч. 1 ст. 6 и ч. 2 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
- Хранение ПД осуществляется в форме, позволяющей определить Субъекта ПД не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПД.
- Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
- ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Организация гарантирует субъекту ПД, соблюдение законных прав, установленных Статьями 14 — 17 ФЗ-152.
- КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Организация и иные лица, получившие доступ к ПД, обязаны не раскрывать третьим лицам и не распространять ПД без согласия Субъекта ПД, за исключением случаев, предусмотренных действующим законодательством.
- СРОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Обработка ПД, в Организации, осуществляется не дольше, чем этого требуют цели обработки персональных данных, если срок обработки персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
- Сроки обработки ПД определяются в соответствии со сроком действия договора с субъектом ПД, приказом Федерального архивного агентства от 20.12.2019 № 236 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроками исковой давности, а также иными сроками, установленными законодательством РФ и организационно-распорядительными документами Организации.
- ПД подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, в случае отзыва субъектом персональных данных согласия на обработку его персональных данных если иное не предусмотрено федеральным законом.
- ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
- Любое лицо, находящееся на сайте Организации: https://айвай.рф/ в сети интернет соглашается с настоящей политикой, в том числе с тем, что Организация может использовать файлы cookie и иные данные для их последующей обработки, в том числе системами Яндекс.Метрика, а также может передавать указанные данные третьим лицам для проведения исследований, выполнения работ, рекламной деятельности и оказания услуг.
При посещении сайта Организации происходит автоматический сбор, в том числе, модели устройства, операционной системы, разрешения экрана, версия браузера, а также IP - адреса, информации о браузере и используемом в браузере языке, даты и времени доступа к сайту, адресов просматриваемых страниц сайта, истории поиска, иной информации о посещении сайта Организации.
Под файлами cookie подразумевается: небольшие фрагменты текста, передаваемые в браузер с сайта, который открывает его посетитель. С их помощью сайт запоминает информацию о посещениях посетителя, которые хранятся до 180 календарных дней.
- Организация в ходе своей деятельности может предоставлять персональные данные субъектов третьим лицам в соответствии с требованиями законодательства РФ либо с согласия субъекта ПД. При этом обязательным условием предоставления ПД третьему лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности ПД при их обработке.
- В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
- Лицо, осуществляющее обработку ПД по поручению оператора, не обязано получать согласие субъекта ПД на обработку его ПД.
- Договоры, заключаемые Организацией, включают в себя условия, касающиеся соблюдения конфиденциальности и обеспечения безопасности ПД, а также иные условия, предусмотренные законодательством РФ и связанные с обработкой ПД.
- ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Организация при обработке ПД предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности ПД от случайного или несанкционированного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от других неправомерных действий в отношении ПД, предусмотренные ФЗ-152 и подзаконными актами в области защиты персональных данных.
- ПД, полученные Организацией в рамках законных целей, не распространяются, а также не предоставляются третьим лицам без согласия Субъекта ПД, если иное не предусмотрено федеральным законом.
- Обработка ПД, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории ПД можно было определить места хранения ПД (материальных носителей) и установить перечень лиц, осуществляющих обработку ПД либо имеющих к ним доступ.
- При обработке ПД, осуществляемой без использования средств автоматизации, обеспечивается раздельное хранение ПД (материальных носителей), обработка которых осуществляется в различных целях.
- При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность ПД и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Организацией.
- СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Организация соблюдает обязанности оператора ПД, установленные статьями № 19-20 ФЗ-152. В Организации реализуются следующие требования законодательства в области защиты ПД:
- требования о соблюдении конфиденциальности ПД;
- требования об обеспечении реализации Субъектом ПД своих прав;
- требования об обеспечении точности ПД, а в необходимых случаях и актуальности по отношению к целям обработки ПД (с принятием (обеспечением принятия) мер по удалению/уничтожению или уточнению неполных или неточных данных);
- требования к защите ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
- требования об обязанности оператора при сборе ПД, установленных Статьей 18 ФЗ-152;
- иные требования законодательства.
- В соответствии с ФЗ-152 Организация самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством в области ПД. В частности, защита ПД достигается путем (если необходимо):
- назначения ответственного за обработку и защиту ПД;
- определения угроз безопасности ПД при их обработке в информационных системах ПД;
- обнаружением фактов несанкционированного доступа к ПД и принятием мер;
- восстановлением ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- учетом машинных носителей ПД;
- оценкой эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы ПД;
- разработки подсистемы защиты информации для ИСПД, учитывающей требования подзаконных актов РФ в области защиты ПД и результаты моделирования угроз и нарушителей ИСПД;
- применения средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, для нейтрализации актуальных угроз безопасности;
- издания Организацией документов, определяющих политику Организации в отношении обработки ПД, локальных актов по вопросам обработки ПД, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- издание локальных нормативных актов по вопросам обработки ПД;
- ознакомления работников, допущенных к обработке ПД Субъектов ПД, с требованиями, установленными действующим законодательством РФ в области ПД, настоящей Политикой, а также локальными нормативными актами Организации и/или обучения указанных работников;
- организации надлежащего порядка работы с персональными данными, осуществляемой с использованием средств автоматизации (в том числе, использование сертифицированного программного обеспечения, разграничение доступа к компьютерам, локальной сети, информационным системам, обрабатывающим персональные данные, установление порядка уничтожения ПД в информационных системах);
- организации надлежащего порядка работы с персональными данными, осуществляемой без использования средств автоматизации (в том числе, организация надлежащего хранения документов, содержащих персональные данные, установление порядка уничтожения либо обезличивания ПД, обрабатываемых без средств автоматизации);
- организации доступа работников к информации, содержащей персональные данные Субъектов ПД, в соответствии с их должностными (функциональными) обязанностями;
- осуществления внутреннего контроля и (или) аудита соответствия обработки ПД федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, политике оператора в отношении обработки ПД, локальным актам оператора.
- Оценка вреда, который может быть причинен субъектам персональных данных в Организации в случае нарушения требований по обработке и обеспечению безопасности персональных данных является определение юридических или иным образом затрагивающих права и законные интересы последствий в отношении субъекта персональных данных, которые могут возникнуть в случае нарушения требований по обработке и обеспечению безопасности персональных данных.
- При обработке персональных данных в Организации определяются и документально оформляются все возможные юридические или иным образом затрагивающие права и законные интересы последствия в отношении субъекта персональных данных, которые могут возникнуть в случае нарушения требований по обработке и обеспечению безопасности персональных данных.
- УТОЧНЕНИЕ, БЛОКИРОВАНИЕ, УНИЧТОЖЕНИЕ И ОБЕЗЛИЧИВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Уточнение, блокирование и уничтожение ПД осуществляется в случаях, предусмотренных ст. 21 ФЗ-152.
- При несовместимости целей обработки ПД, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПД отдельно от других зафиксированных на том же носителе ПД и при необходимости уничтожения или блокирования части ПД уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПД, подлежащих уничтожению или блокированию.
- Уничтожение части ПД, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПД с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
- Обезличивание ПД может осуществляться в статистических и иных исследовательских целях за исключением целей продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи.
- ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Организация и/или Работники Организации, виновные в нарушении требований законодательства РФ о ПД, а также положений настоящей Политики, несут ответственность, предусмотренную законодательством РФ.
- Моральный вред, причиненный субъекту ПД вследствие нарушения его прав, нарушения правил обработки ПД, а также требований к защите ПД, подлежит возмещению в соответствии с законодательством Российской Федерации.
- РАССЫЛКА И АКТУАЛИЗАЦИЯ
- Периодический пересмотр и актуализация настоящей Политики проводится Организациям по мере необходимости, но не реже 1 раза в 24 месяца.
- Решение об инициации процесса внесения изменений в документ принимает руководитель Организации на основании предложений других подразделений, результатов применения документа в Организации, анализа зарегистрированных и устраненных несоответствий, а также рекомендаций внутренних или внешних аудитов.
- Актуальная версия утвержденной Политики размещена на сайте Организации: https://айвай.рф/
- Ответственность за инициирование размещения и поддержание в актуальном состоянии размещенной на Интранет-портале Политики, а также доведение информации о месте размещения актуальной версии до всех заинтересованных подразделений несет Директор.
- Контроль за соблюдением исполнения требований настоящей Политики возлагается на ответственного за организацию обработки ПД.
- Настоящая Политика является общедоступной. Общедоступность Политики обеспечивается путем ее опубликования на Интернет-сайте Организации по адресу: https://айвай.рф/
Субъекты ПД, чьи ПД обрабатываются Организациям, могут получить разъяснения по вопросам обработки своих ПД, а также реализовать свои права и законные интересы, направив соответствующий письменный запрос по почтовому адресу: 445011, Самарская область, город Тольятти, улица Жигулевская, дом № 18, или в электронной форме по адресу: ayva-tlt@mail.ru