контакты
Корзина
Каталог
О компании
Доставка

ПОЛИТИКА

в отношении обработки персональных

данных и реализуемых требований к

защите персональных данных

ИП Толстова Е.С.


1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1 Настоящая Политика в отношении обработки персональных данных и реализуемых требований к защите персональных данных ИП Толстова Е.С. (далее – Политика) разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ №152) и иными нормативными правовыми актами РФ о персональных данных (далее - ПД) и определяет принципы, порядок и условия обработки ПД, меры по обеспечению защиты (безопасности) ПД в ИП Толстова Е.С. (далее – ИП) c целью защиты прав и свобод человека и гражданина при обработке его ПД, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2 Действие Политики распространяется на все ПД, подлежащие обработке в ИП с применением средств автоматизации и без применения таких средств (в соответствии с Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»), а также смешанным (комбинированным) способом.

1.3. Обеспечение защиты (безопасности) ПД является одной из приоритетных задач ИП. ПД являются конфиденциальной информацией, в отношении которых действуют требования внутренних документов ИП об обеспечении режима конфиденциальности.

1.4. Политика является общедоступной и подлежит размещению в офисе ИП по адресу его места нахождения и/или на официальном сайте ИП в информационно телекоммуникационной сети «Интернет» (далее – сеть Интернет).

1.5. Для целей Положения используются следующие основные термины и определения:
Автоматизированная обработка ПД - обработка ПД с помощью средств вычислительной техники.
Блокирование ПД - временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД).
Доступ к информации - возможность получения информации и ее использования.
Информация - сведения (сообщения, данные) независимо от формы их представления.
Информационная система ПД - совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность ПД - обязательное для соблюдения ИП или иным получившим доступ к ПД лицом требование не допускать их распространения без согласия субъекта ПД или наличия иного законного основания.
Обезличивание ПД - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному субъекту ПД.
Обработка ПД - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД. В целях настоящей Политики оператором признается ИП.
ПД (ПД) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
ПД, разрешенные субъектом ПД для распространения, - ПД, доступ неограниченного круга лиц к которым предоставлен субъектом ПД путем дачи согласия на обработку ПД, разрешенных субъектом ПД для распространения в порядке, предусмотренном ФЗ № 152.
Предоставление ПД - действия, направленные на раскрытие ПД определенному лицу или
определенному кругу лиц.
Распространение ПД - действия, направленные на раскрытие ПД неопределенному кругу лиц.
Трансграничная передача ПД - передача ПД на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение ПД - действия, в результате которых становится невозможным восстановить
содержание ПД в информационной системе ПД и (или) в результате которых уничтожаются
материальные носители ПД.

1.5. Термины и определения, специально не определенные в Политике, используются в значениях, установленных законодательством РФ, в том числе нормативными правовыми актами РФ о ПД.

1.6. Правовым основанием обработки ПД является совокупность правовых актов, во исполнение которых и в соответствии с которыми ИП осуществляет обработку ПД, а именно:
  • федеральные законы РФ и принятые на их основе нормативные правовые акты РФ, регулирующие отношения, связанные с деятельностью ИП;
  • договоры, заключаемые между ИП и субъектом ПД;
  • согласие на обработку ПД (в случаях, прямо не предусмотренных законодательством РФ, но соответствующих полномочиям ИП).

2. СОСТАВ И СРОКИ ОБРАБОТКИ ПД
В зависимости от субъекта ПД ИП обрабатывает ПД следующих категорий субъектов ПД:
  • действующих работников, бывших работников, кандидатов на замещение вакантных должностей, а также родственников работников ИП – информация, необходимая ИП для заключения и выполнения обязательств по трудовым договорам, ведения кадрового учета работников и выполнения требований законодательства РФ;
  • клиентов, контрагентов (потенциальных клиентов, контрагентов), а также уполномоченных представителей (руководителей, лиц, действующих на основании доверенности или в сиду закона) или сотрудников юридических лиц, являющихся клиентами, контрагентами (потенциальными клиентами, контрагентами) – информация, необходимая ИП для выполнения своих обязательств в рамках договорных отношений с клиентами (контрагентами) и выполнения требований законодательства РФ;
  • аффилированных лиц или руководителей, участников или сотрудников юридических лиц, являющихся аффилированными лицами по отношению к ИП - информация, необходимая ИП для отражения ее в отчетных документах о деятельности ИП в соответствии с требованиями законодательства РФ;
  • заемщиков, залогодателей, поручителей (потенциальных заемщиков, залогодателей, поручителей) – информация, необходимая ИП для заключения договоров и выполнения своих обязательств по таким договорам, защиты прав и законных интересов ИП (минимизация рисков ИП, связанных с нарушением обязательств по договорам займа, договорам залога, договорам поручительства) и выполнения требований законодательства РФ.
Полный перечень ПД, в том числе специальных категорий ПД и биометрических ПД, подлежащих обработке и защите, сроки и цели их обработки в ИП определяются законодательством РФ, внутренними документами ИП о ПД, согласием субъекта ПД и договорами, заключаемыми с субъектами ПД, в соответствии с законодательством РФ о ПД.

3. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПД
3.1 Обработка ПД в ИП осуществляется с соблюдением следующих принципов:
  • обработка ПД должна осуществляться на законной и справедливой основе;
  • обработка ПД должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПД, несовместимая с целями сбора ПД;
  • не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой.
  • бработке подлежат только ПД, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых ПД должны соответствовать заявленным целям обработки. Обрабатываемые ПД не должны быть избыточными по отношению к заявленным целям их обработки;
  • при обработке ПД должны быть обеспечены точность ПД, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПД. ИП принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
  • хранение ПД должно осуществляться в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, но не менее 5 (пяти) лет с даты прекращения отношений с субъектом ПД. Обрабатываемые ПД подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.2 Обработка ПД осуществляется с соблюдением принципов и правил, предусмотренных настоящей Политикой. Обработка ПД допускается в следующих случаях:
  • обработка ПД осуществляется с согласия субъекта ПД на обработку его ПД;
  • обработка ПД необходима для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на ИП функций, полномочий и обязанностей;
  • обработка ПД необходима для выполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем;
  • обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия субъекта ПД невозможно;
  • обработка ПД необходима для осуществления прав и законных интересов ИП или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом от 03.07.2016 № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения ИПнно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПД;
  • обработка ПД осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 ФЗ № 152, при условии обязательного обезличивания ПД;
  • осуществляется обработка ПД, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ.
3.3 ИП вправе поручить обработку ПД другому лицу с согласия субъекта ПД, если иное не предусмотрено законодательством РФ, на основании заключаемого с этим лицом договора, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение ИП). Лицо, осуществляющее обработку ПД по поручению ИП, обязано соблюдать принципы и правила обработки ПД, предусмотренные настоящей Политикой. В поручении ИП должны быть определены перечень действий (операций) с ПД, которые будут совершаться лицом, осуществляющим обработку ПД, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке, а также должны быть указаны требования к защите обрабатываемых ПД в соответствии со ст. 19 ФЗ № 152.
Лицо, осуществляющее обработку ПД по поручению ИП, не обязано получать согласие субъекта ПД на обработку его ПД.
В случае если ИП поручает обработку ПД другому лицу, ответственность перед субъектом ПД за действия указанного лица несет ИП. Лицо, осуществляющее обработку ПД по поручению ИП, несет ответственность перед ИП.

3.4. ИП и иные лица, получившие доступ к ПД, обязаны соблюдать режим конфиденциальности - не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено законодательством РФ.

3.5. В целях информационного обеспечения в ИП могут создаваться общедоступные источники ПД работников, в том числе справочники и адресные книги. В общедоступные источники ПД с согласия работника могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты.
Сведения о работнике ИП должны быть в любое время исключены из общедоступных источников ПД по требованию работника либо по решению суда или иных уполномоченных государственных органов.

3.6. Обработка ИП специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных ч. 2 ст. 10 ФЗ № 152.
Обработка ПД о судимости может осуществляться ИП исключительно в порядке и в случаях, предусмотренных законодательством РФ.
Обработка специальных категорий ПД, осуществлявшаяся в случаях, предусмотренных абз. 1 и 2 настоящего пункта, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено законодательством РФ.

3.7. Согласие на обработку ПД, разрешенных субъектом ПД для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его ПД. Обработка ПД, разрешенных субъектом ПД для распространения, осуществляется ИП в порядке и на условиях, определенных ст. 10.1 ФЗ № 152.

3.8. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПД) и которые используются ИП для установления личности субъекта ПД, могут обрабатываться только при наличии согласия в письменной форме субъекта ПД, за исключением случаев, предусмотренных ч. 2 ст. 11 ФЗ № 152.
ИП не вправе отказывать в обслуживании в случае отказа субъекта ПД предоставить
биометрические ПД и (или) дать согласие на обработку ПД, если в соответствии с федеральным законом получение оператором согласия на обработку ПД не является обязательным.
Использование и хранение биометрических ПД вне информационных систем ПД могут
осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

3.9. Трансграничная передача ПД осуществляется ИП в соответствии с ФЗ № 152 и международными договорами РФ.

3.10. Условием прекращения обработки ПД могут являться:
  • достижение целей обработки ПД;
  • истечение срока действия согласия или отзыв согласия субъекта ПД на обработку его ПД;
  • выявление неправомерной обработки ПД.

4. СОГЛАСИЕ СУБЪЕКТА ПД НА ОБРАБОТКУ ЕГО ПД
4.1 Субъект ПД принимает решение о предоставлении его ПД и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПД должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку ПД может быть дано субъектом ПД или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством РФ. Согласие на обработку ПД должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект ПД. В случае получения согласия на обработку ПД от представителя субъекта ПД полномочия данного представителя на дачу согласия от имени субъекта ПД проверяются ИП.

4.2 Согласие на обработку ПД может быть отозвано субъектом ПД. В случае отзыва субъектом ПД согласия на обработку ПД ИП вправе продолжить обработку ПД без согласия субъекта ПД при наличии оснований, указанных в п. 2 – 11 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ № 152.

4.3 Обязанность предоставить доказательство получения согласия субъекта ПД на обработку его ПД или доказательство наличия оснований, указанных в п. 2 – 11 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ № 152, возлагается на ИП.

4.4 В случаях, предусмотренных законодательством РФ, обработка ПД осуществляется только с согласия в письменной форме субъекта ПД. Равнозначным содержащему собственноручную подпись субъекта ПД согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» (далее – ФЗ № 63) электронной подписью.

Согласие в письменной форме субъекта ПД на обработку его ПД должно включать в себя, в
частности:
  • фамилию, имя, отчество, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • фамилию, имя, отчество, адрес представителя субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПД);
  • наименование или фамилию, имя, отчество и адрес ИП, получающей согласие субъекта ПД;
  • цель обработки ПД;
  • перечень ПД, на обработку которых дается согласие субъекта ПД;
  • наименование или фамилию, имя, отчество и адрес третьего лица, осуществляющего обработку ПД по поручению ИП, если обработка будет поручена такому лицу;
  • перечень действий с ПД, на совершение которых дается согласие, общее описание используемых ИП способов обработки ПД;
  • срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва, если иное не установлено законодательством РФ;
  • подпись субъекта ПД.
4.5. В случае недееспособности субъекта ПД согласие на обработку его ПД дает законный представитель субъекта ПД.

4.6. В случае смерти субъекта ПД согласие на обработку его ПД дают наследники субъекта ПД, если такое согласие не было дано субъектом ПД при его жизни.

4.7. ПД могут быть получены ИП от лица, не являющегося субъектом ПД, при условии предоставления ИП подтверждения наличия оснований, указанных в п. 2 – 11 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ № 152.

4.8. Требования к содержанию согласия на обработку ПД, разрешенных субъектом ПД для
распространения, устанавливаются уполномоченным органом по защите прав субъектов ПД.

5. ПРАВА СУБЪЕКТА ПД
5.1. Субъект ПД имеет следующие права:
  • право на доступ к своим ПД;
  • права при обработке его ПД в целях продвижения товаров, работ, услуг на рынке;
  • права при принятии решений на основании исключительно автоматизированной обработки его ПД;
  • право на обжалование действий или бездействия ИП.

5.2. Субъект ПД имеет право на получение сведений, указанных в абз. 7 настоящего пункта, за исключением случаев, предусмотренных ч. 8 ст. 14 ФЗ № 152. Субъект ПД вправе требовать от ИП уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством РФ меры по защите своих прав.
Сведения, указанные в абз. 7 настоящего пункта, должны быть предоставлены субъекту ПД ИП в доступной форме, и в них не должны содержаться ПД, относящиеся к другим субъектам ПД, за исключением случаев, если имеются законные основания для раскрытия таких ПД.
Сведения, указанные в абз. 7 настоящего пункта, предоставляются субъекту ПД или его
представителю ИП в течение 10 (десяти) рабочих дней с момента обращения либо получения ИП запроса субъекта ПД или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления ИП в адрес субъекта ПД мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПД или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПД в отношениях с ИП (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПД ИП, подпись субъекта ПД или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ. ИП предоставляет сведения, указанные в абз. 7 настоящего пункта, субъекту ПД или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
В случае если сведения, указанные в абз. 7 настоящего пункта, а также обрабатываемые ПД были предоставлены для ознакомления субъекту ПД по его запросу, субъект ПД вправе обратиться повторно к ИП или направить ему повторный запрос в целях получения сведений, указанных в абз. 7 настоящего пункта, и ознакомления с такими ПД не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД.
Субъект ПД вправе обратиться повторно к ИП или направить ему повторный запрос в целях получения сведений, указанных в абз. 7 настоящего пункта, а также в целях ознакомления с обрабатываемыми ПД до истечения срока, указанного в абз. 4 настоящего пункта, в случае если такие сведения и (или) обрабатываемые ПД не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в абз. 3 настоящего пункта, должен содержать обоснование направления повторного запроса.
ИП вправе отказать субъекту ПД в выполнении повторного запроса, не соответствующего
условиям, предусмотренным абз. 4 и 5 настоящего пункта. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на ИП.
Субъект ПД имеет право на получение информации, касающейся обработки его ПД, в том числе содержащей:
  • подтверждение факта обработки ПД ИП;
  • правовые основания и цели обработки ПД;
  • цели и применяемые ИП способы обработки ПД;
  • наименование и место нахождения ИП, сведения о лицах (за исключением работников ИП), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с ИП или в соответствии с законодательством РФ;
  • обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством РФ;
  • сроки обработки ПД, в том числе сроки их хранения;
  • порядок осуществления субъектом ПД прав, предусмотренных ФЗ № 152;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению ИП, если обработка поручена или будет поручена такому лицу;
  • информацию о способах исполнения ИП обязанностей, установленных ст. 18.1 ФЗ № 152;
  • иные сведения, предусмотренные ФЗ № 152 или другими федеральными законами.
Право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с федеральными законами, в том числе в случаях, предусмотренных ч. 8 ст. 14 ФЗ № 152.
5.3. Обработка ПД в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта ПД. Указанная обработка ПД признается осуществляемой без предварительного согласия субъекта ПД, если ИП не докажет, что такое согласие было получено.
ИП по требованию субъекта ПД немедленно прекращает обработку его ПД, указанную в абз. 1 настоящего пункта.

5.4. Запрещается принятие на основании исключительно автоматизированной обработки ПД решений, порождающих юридические последствия в отношении субъекта ПД или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных абз. 2 настоящего пункта.
Решение, порождающее юридические последствия в отношении субъекта ПД или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПД только при наличии согласия в письменной форме субъекта ПД или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта ПД.
ИП разъясняет субъекту ПД порядок принятия решения на основании исключительно
автоматизированной обработки его ПД и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом ПД своих прав и законных интересов.
ИП рассматривает возражение, указанное в абз. 3 настоящего пункта, в течение 30 (тридцати) дней со дня его получения и уведомить субъекта ПД о результатах рассмотрения такого возражения.

5.5. Если субъект ПД считает, что ИП осуществляет обработку его ПД с нарушением требований ФЗ № 152 или иным образом нарушает его права и свободы, субъект ПД вправе обжаловать действия или бездействие ИП в уполномоченный орган по защите прав субъектов ПД или в судебном порядке.
Субъект ПД имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6. ОБЯЗАННОСТИ ИП
6.1. При сборе ПД ИП предоставляет субъекту ПД по его просьбе информацию, предусмотренную абз. 7 п. Политики.

6.2. Если в соответствии с федеральным законом предоставление ПД и (или) получение ИП согласия на обработку ПД являются обязательными, ИП разъясняет субъекту ПД юридические последствия отказа предоставить его ПД и (или) дать согласие на их обработку.

6.3. Если ПД получены не от субъекта ПД, ИП, за исключением случаев, предусмотренных п. 6.4 Политики, до начала обработки таких ПД предоставляет субъекту ПД следующую информацию:
  • наименование и адрес ИП, фамилию, имя, отчество его представителя;
  • цель обработки ПД и ее правовое основание;
  • перечень ПД;
  • предполагаемые пользователи ПД;
  • установленные настоящей Политикой и ФЗ № 152 права субъекта ПД;
6.4. Источник получения ПД.
  • ИП вправе не предоставлять субъекту ПД сведения, предусмотренные п. 6.3 Политики, в случаях, если:
  • субъект ПД уведомлен об осуществлении обработки его ПД соответствующим оператором, признаваемым таковым в соответствии с настоящей Политикой;
  • ПД получены ИП на основании федерального закона или в связи с выполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД;
  • обработка ПД, разрешенных субъектом ПД для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 ФЗ № 152;
  • ИП осуществляет обработку ПД для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта ПД;
6.5. Предоставление субъекту ПД сведений, предусмотренных п. 6.3 Политики, нарушает права и законные интересы третьих лиц.
При сборе ПД, в том числе посредством сети Интернет, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ с использованием баз данных, находящихся за пределами территории РФ, не допускаются, за исключением случаев, указанных в п. 2 - 4, 8 ч. 1 ст. 6 ФЗ № 152.

6.6. ИП принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ФЗ № 152 и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, относятся:
  • назначение лица, ответственного за организацию в ИП обработки ПД;
  • разработка и утверждение настоящей Политики и иных внутренних документов ИП по вопросам обработки ПД, определяющих для каждой цели обработки ПД категории и перечень обрабатываемых ПД, категории субъектов, ПД которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований, а также устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений. Такие документы не могут содержать положения, ограничивающие права субъектов ПД, а также возлагающие на операторов не предусмотренные законодательством РФ полномочия и обязанности;
  • применение правовых, организационных и технических мер по обеспечению безопасности ПД в соответствии с разделом 7 настоящей Политики;
  • осуществление внутреннего контроля и/или аудита соответствия обработки ПД настоящему ФЗ №152 и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, установленным Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее - Постановление Правительства РФ № 1119), настоящей Политики, внутренним документам ИП;
  • оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД, который может быть причинен субъектам ПД в случае нарушения настоящей Политики и ФЗ № 152, соотношение указанного вреда и принимаемых ИП мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящей Политикой и ФЗ № 152;
  • ознакомление работников ИП, непосредственно осуществляющих обработку ПД, с положениями законодательства РФ о ПД, в том числе требованиями к защите ПД, положениями настоящей Политики, внутренними документами ИП по вопросам обработки ПД, и/или обучение указанных
6.7. Лицо, ответственное за организацию обработки ПД, получает указания непосредственно от ИП, являющегося оператором, и подотчетно ему. ИП предоставляет лицу, ответственному за организацию обработки ПД, сведения, указанные в ч. 3 ст. 22 ФЗ № 152.
Лицо, ответственное за организацию обработки ПД, в частности:
  • осуществляет внутренний контроль за соблюдением ИП и его работниками законодательства РФ о ПД, в том числе требований, установленных Постановлением Правительства РФ № 1119, к защите ПД;
  • доводит до сведения работников ИП положения законодательства РФ о ПД, внутренних документов по вопросам обработки ПД, требований к защите ПД;
  • организовывает прием и обработку обращений и запросов субъектов ПД или их представителей и/или осуществляет контроль за приемом и обработкой таких обращений и запросов.
6.8. ИП опубликовывает или иным образом обеспечивает неограниченный доступ к настоящей Политике.
В случае осуществления сбора ПД с использованием информационно-телекоммуникационных сетей ИП опубликовывает в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего ИП Интернет-сайта (при наличии), с использованием которых осуществляется сбор ПД, настоящую Политику, а также обеспечивает возможность доступа к указанному документу с использованием средств соответствующей информационно-
телекоммуникационной сети.

6.9. ИП представляет соответствующие внутренние документы, указанные в п. 6.6 Политики, и/или иным образом подтверждает принятие мер, указанных в п. 6.6 Политики, по запросу уполномоченного органа по защите прав субъектов ПД.

6.10. ИП сообщает в порядке, предусмотренном п. 5.2 Политики, субъекту ПД или его представителю информацию о наличии ПД, относящихся к соответствующему субъекту ПД, а также предоставляет возможность ознакомления с этими ПД при обращении субъекта ПД или его представителя либо в течение 10 (десяти) рабочих дней с даты получения запроса субъекта ПД или его представителя.
Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления ИП в адрес субъекта ПД мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
В случае отказа в предоставлении информации о наличии ПД о соответствующем субъекте ПД или ПД субъекту ПД или его представителю при их обращении либо при получении запроса субъекта ПД или его представителя ИП дает в письменной форме мотивированный ответ, содержащий ссылку на положение ч. 8 ст. 14 ФЗ № 152 или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 10 (десяти) рабочих дней со дня обращения субъекта ПД или его представителя либо с даты получения запроса субъекта ПД или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления ИП в адрес субъекта ПД мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. ИП предоставляет безвозмездно субъекту ПД или его представителю возможность ознакомления с ПД, относящимися к этому субъекту ПД. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом ПД или его представителем сведений, подтверждающих, что ПД являются неполными, неточными или неактуальными, ИП вносит в них необходимые изменения. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом ПД или его представителем сведений, подтверждающих, что такие ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки, ИП уничтожает такие ПД. ИП уведомляет субъекта ПД или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым ПД этого субъекта были переданы. ИП сообщает в уполномоченный орган по защите прав субъектов ПД по запросу этого органа необходимую информацию в течение 10 (десяти) рабочих дней с даты получения такого запроса.

6.11. Указанный срок может быть продлен, но не более чем на 5 (пять0 рабочих дней в случае направления ИП в адрес уполномоченного органа по защите прав субъектов ПД мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
В случае выявления неправомерной обработки ПД при обращении субъекта ПД или его представителя либо по запросу субъекта ПД или его представителя либо уполномоченного органа по защите прав субъектов ПД ИП осуществляет блокирование неправомерно обрабатываемых ПД, относящихся к этому субъекту ПД, или обеспечить их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению ИП) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПД при обращении субъекта ПД или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПД ИП осуществляет блокирование ПД, относящихся к этому субъекту ПД, или обеспечивает их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению ИП) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПД не нарушает права и законные интересы субъекта ПД или третьих лиц.
В случае подтверждения факта неточности ПД ИП на основании сведений, представленных
субъектом ПД или его представителем либо уполномоченным органом по защите прав субъектов ПД, или иных необходимых документов уточняет ПД либо обеспечивает их уточнение (если обработка ПД осуществляется другим лицом, действующим по поручению ИП) в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование ПД.
В случае выявления неправомерной обработки ПД, осуществляемой ИП или лицом, действующим по поручению ИП, ИП в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, прекращает неправомерную обработку ПД или обеспечивает прекращение неправомерной обработки ПД лицом, действующим по поручению ИП. В случае если обеспечить правомерность обработки ПД невозможно, ИП в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПД, уничтожает такие ПД или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении ПД ИП уведомляет субъекта ПД или его представителя, а в случае, если обращение субъекта ПД или его представителя либо запрос уполномоченного органа по защите прав субъектов ПД были направлены уполномоченным органом по защите прав субъектов ПД, также указанный орган.
В случае установления факта неправомерной или случайной передачи (предоставления,
распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, ИП с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов ПД или иным заинтересованным лицом уведомляет уполномоченный орган по защите прав субъектов ПД:
  • в течение 24 (двадцати четырех) часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПД, и предполагаемом вреде, нанесенном правам субъектов ПД, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном ИП на взаимодействие с уполномоченным органом по защите прав субъектов ПД, по вопросам, связанным с выявленным инцидентом;
  • в течение 72 (семидесяти двух) часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
В случае достижения цели обработки ПД ИП прекращает обработку ПД или обеспечивает ее прекращение (если обработка ПД осуществляется другим лицом, действующим по поручению ИП) и уничтожает ПД или обеспечивает их уничтожение (если обработка ПД осуществляется другим лицом, действующим по поручению ИП) в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки ПД, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между ИП и субъектом ПД либо если ИП не вправе осуществлять обработку ПД без согласия субъекта ПД на основаниях, предусмотренных настоящей Политикой, ФЗ № 152 или другими федеральными законами.
В случае отзыва субъектом ПД согласия на обработку его ПД ИП прекращает их обработку или обеспечивает прекращение такой обработки (если обработка ПД осуществляется другим лицом, действующим по поручению ИП) и в случае, если сохранение ПД более не требуется для целей обработки ПД, уничтожает ПД или обеспечивает их уничтожение (если обработка ПД осуществляется другим лицом, действующим по поручению ИП) в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между ИП и субъектом ПД либо если ИП не вправе осуществлять обработку ПД без согласия субъекта ПД на основаниях, предусмотренных настоящей Политикой, ФЗ № 152 или другими федеральными законами.
В случае обращения субъекта ПД к ИП с требованием о прекращении обработки ПД оператор обязан в срок, не превышающий 10 (десяти) рабочих дней с даты получения ИП соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПД), за исключением случаев, предусмотренных п. 2 – 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ № 152. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления ИП в адрес субъекта ПД мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
В случае отсутствия возможности уничтожения ПД в течение срока, указанного в абз. 3 – 6
настоящего пункта, ИП осуществляет блокирование таких ПД или обеспечивает их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению ИП) и обеспечивает уничтожение ПД в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.
Подтверждение уничтожения ПД в случаях, предусмотренных настоящим пунктом,
осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД.

7. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПД ПРИ ИХ ОБРАБОТКЕ
7.1. ИП при обработке ПД принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.

7.2 Обеспечение безопасности ПД достигается, в частности:
  • определением угроз безопасности ПД при их обработке в информационных системах ПД;
  • применением организационных и технических мер, установленных Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Приказ ФСТЭК России № 21), по обеспечению безопасности ПД при их обработке в информационных системах ПД, необходимых для выполнения требований, установленных Постановлением Правительства РФ № 1119, к защите ПД, выполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПД;
  • применением прошедших в установленном порядке процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации средств защиты информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
  • применением для уничтожения ПД прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
  • оценкой эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы ПД;
  • учетом машинных носителей ПД и обеспечением их сохранности;
  • обнаружением фактов несанкционированного доступа к ПД и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы ПД и по реагированию на компьютерные инциденты в них;
  • восстановлением ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к ПД, обрабатываемым в информационной системе ПД, а также обеспечением регистрации и учета всех действий, совершаемых с ПД в информационной системе ПД;
  • организацией режима обеспечения безопасности помещений, в которых размещена информационная система ПД, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
  • назначением одного из работников ИП, ответственным за обеспечение безопасности ПД в информационной системе ПД;
  • утверждением ИП документа, определяющего перечень лиц, доступ которых к ПД, обрабатываемым в информационной системе ПД, необходим для выполнения ими служебных (трудовых) обязанностей;
  • обеспечением доступа к содержанию электронного журнала сообщений только для работников ИП или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей;
  • использованием автоматической регистрации в электронном журнале безопасности изменения полномочий работника ИП по доступу к ПД, содержащимся в информационной системе ПД;
  • созданием структурного подразделения, ответственного за обеспечение безопасности ПД в информационной системе, либо возложение на одно из структурных подразделений ИП функций по обеспечению такой безопасности;
7.3. Правительство РФ с учетом возможного вреда субъекту ПД, объема и содержания обрабатываемых ПД, вида деятельности, при осуществлении которого обрабатываются ПД, актуальности угроз безопасности ПД устанавливает:
  • уровни защищенности ПД при их обработке в информационных системах ПД в зависимости от угроз безопасности этих данных (Постановление Правительства РФ № 1119);
  • требования к защите ПД при их обработке в информационных системах ПД, выполнение которых обеспечивает установленные уровни защищенности ПД (Постановление Правительства РФ № 1119);
  • требования к материальным носителям биометрических ПД и технологиям хранения таких данных вне информационных систем ПД (Постановление Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»).
7.4. Состав и содержание необходимых для выполнения установленных Правительством РФ в соответствии с п. 7.3 Политики требований к защите ПД для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах ПД устанавливаются Приказом ФСТЭК России № 21.

7.5. Для целей настоящей Политики под угрозами безопасности ПД понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПД, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПД, а также иные неправомерные действия при их обработке в информационной системе ПД. Под уровнем защищенности ПД понимается комплексный показатель, характеризующий требования, выполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПД при их обработке в информационных системах ПД.

7.6. ИП в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные

7.7. ресурсы РФ, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД. Финансирование мероприятий по обеспечению безопасности ПД осуществляется за счет собственных средств ИП.

8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
8.1. Иные права и обязанности ИП, как оператора ПД, определяются законодательством РФ и внутренними документами ИП о ПД.

8.2. Политика утверждаются приказом ИП и вступают в силу по истечении 5 (пяти) рабочих дней с даты их размещения на Интернет-сайте (при наличии), а также в пунктах выдачи займов ИП.

8.3. Требования Политики доводятся до сведения всех работников ИП и подлежат обязательному выполнению.

8.4. Лица, виновные в нарушении требований настоящей Политики, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.

8.5. Контроль за соблюдением требований настоящей Политики осуществляет должностное лицо, ответственное за организацию обработки ПД в ИП.

8.6. В случае изменения действующего законодательства РФ, в том числе нормативных правовых актов РФ о ПД, Политика до момента внесения соответствующих изменений и дополнений действует в части, не противоречащей вступившим в силу изменениям законодательства РФ, а работники ИП и иные лица, указанные в Политике руководствуются нормами действующего законодательства РФ.

Made on
Tilda