ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ
ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ.
Ленинградская область. 07 ноября 2023 г.
Ленинградская область. 10 мая 2017 г. - предыдущая редакция.
1. Общие положения
1.1. Настоящее Положение по обработке персональных данных (далее - Положение) Организации Индивидуальный предприниматель Мальцева Анжела Викторовна, ИНН 470311004518, ОГРНИП 317470400036511, действующий на основании Свидетельства от 10.05.2017г (далее - Организация) разработано в соответствии с Трудовым кодексом Российской Федерации, Конституцией РФ, Гражданским кодексом РФ, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных» (с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», Федеральным законом от 14.07.2022 N 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных"), Приказом Роскомнадзора от 28.10.2022 N 180 "Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных», Постановлением Правительства РФ от 15.09.2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановлением Правительства РФ от 06.07.2008 N 512 (ред. от 27.12.2012) "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных". Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
1.2. Цель разработки Положения - определение порядка обработки персональных данных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. Порядок ввода в действие и изменения Положения.
1.3.1. Настоящее Положение вступает в силу с момента его создания Организацией. Новое Положение вступает в силу сразу после внесения в него изменений и публикации на https://angela-kvitka.livejournal.com/1349925.html
1.3.2. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, если иное не определено законом.
1.4. При разработке Положения использованы рекомендации ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ и образец , размещённый на ресурсе https://26.rkn.gov.ru/directions/pd/p10701/p15167/, РОСКОМНАДЗОР.
2. Основные положения.
2.1. Для целей настоящего Положения используются следующие основные понятия[1]:
- персональные данные - информация, относящаяся к определенному или определяемому на основании такой информации субъекту персональных данных, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес.
- обработка персональных данных - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;
- конфиденциальность персональных данных - требование не допускать распространения персональных данных без согласия субъекта персональных данных или иного законного основания;
- распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
- использование персональных данных - действия (операции) с персональными данными, совершаемые Организацией в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
- блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных .
- обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
- общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
- информация - сведения (сообщения, данные) независимо от формы их представления.
2.2 Правовыми основаниями обработки персональных данных являются:
- Договоры на оказание рекламно-информационных услуг (далее - Договоров), заключаемые между Организацией и субъектами персональных данных;
- согласие субъектов персональных данных на обработку их персональных данных.
2.3. Целями обработки персональных данных являются:
- подготовка, заключение, исполнение Договоров;
- предоставление услуг Организацией по выполнению Договоров с субъектами персональных данных.
2.4. Организация обрабатывает персональные данные у следующих категорий субъектов персональных данных:
2.4.1 Клиенты и контрагенты Организации (индивидуальные предприниматели, юридические лица).
Организация обрабатывает те персональные данные, которые предоставляются клиентами и контрагентами в целях заключения и исполнения Договоров. Организация в процессе заключения Договоров и деловой коммуникации может получить доступ к персональным данным в отношении тех должностных лиц, которые ответственны за подписание Договоров, обмен правовой документацией в целях бухгалтерской и налоговой отчётности, ведение деловой переписки. Сведения могут включать в себя следующие любые персональные данные из списка (все или выборочно):
фамилия, имя, отчество; адрес электронной почты; номер контактного телефона; паспортные данные; ИНН, ОГРН, ОГРНИП; Расчетный счет; данные о лицензии на осуществление деятельности, подлежащей лицензированию; юридический и фактический адрес; иные сведения, определяемые действующим законодательством РФ в отношении персональных данных.
Срок обработки персональных данных - до отзыва согласия субъекта персональных данных.
2.5. Организация не обрабатывает персональные данные у следующих категорий субъектов персональных данных:
2.5.1. Клиентов и контрагентов, не указанных в перечне категорий п. 2.4. Положения.
2.5.2. С момента регистрации Организации по настоящее время наёмные сотрудники отсутствуют. Соответственно, до момента найма сотрудников Организацией учёт персональных данных сотрудников не производится. При планировании найма сотрудников в настоящее Положение должны быть заблаговременно внесены изменения об обработке персональных данных сотрудников, согласно п.1.3. Положения, а также подано Уведомление в Роскомнадзор, согласно действующему законодательству (п.1. Положения).
3. Сбор, обработка и защита персональных данных
3.1. Порядок получения персональных данных.
3.1.1. Все персональные данные Организация получает в рамках правовых отношений с клиентами и контрагентами при заключении Договоров. Обработка персональных данных субъектов без их согласия возможна в следующих случаях:
- персональные данные являются общедоступными;
- по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.
3.1.2. Согласие на обработку персональных данных не требуется в следующих случаях, установленных действующим законодательством.
3.2. Порядок обработки, передачи и хранения персональных данных.
3.2.1. Организация осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации (п. 8 в ред. Федерального закона от 14.07.2022 N 266-ФЗ). Организация руководствуется Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденной Постановлением Правительства Российской Федерации от 15.09.2008 г. N 687.
3.2.2. Организация прекращает обработку персональных данных в следующих случаях:
достигнута цель их обработки;
истек срок обработки персональных данных;
отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия;
прекращение деятельности Организации.
3.3.3. При обработке персональных данных Организация применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных». Организация предоставляет услуги посредством размещения рекламной информации на ресурсах в сети «Интернет» : https://angela-kvitka.livejournal.com/ , https://vk.com/kidsbooks_new_and_best , https://vk.com/public114163054 , https://vk.com/nekislyeskidki , https://vk.com/kuponfaberlic , https://vk.com/angela_kvitka, https://www.youtube.com/channel/UCt6tjYvcODmHSJmfctyL1hQ , https://www.babyblog.ru/user/lenta/angela_kvitka , https://www.mam4.ru/profile/post/437954/ , https://dzen.ru/id/5b50c4eb67efea00a91df46b , https://kinetikanalytik.ru/, включая, но не ограничиваясь данным перечнем, при создании блогов, дневников, аккаунтов в социальных сетях, прочих информационных ресурсов (далее - Аккаунтов). На данных сайтах используется расширение HTTPS к протоколу HTTP в целях повышения безопасности и защиты информации.
3.3.4. Настоящее Положение применяется только к Аккаунтам Организации. Организация не контролирует и не несет ответственность за программно-техническое оснащение и административное регулирование работы владельцами тех сайтов, на которых зарегистрированы Аккаунты Организации, включая врезку рекламных блоков без согласия Организации, иных программных методов, посредством которых пользователи, просматривающие информацию на Аккаунтах Организации, могут быть перенаправлены на иные ресурсы, где требуется ввод их персональных данных либо производится отслеживание их действий в сети «Интернет». Ответственность по обработке персональных данных лежит в данных случаях на владельцах таких сайтов.
3.3.5 Обработка персональных данных физических лиц при использовании сервисов рассылки социальной сети ВКонтакте, путём Приложения, установленного в группах на страницах "Экономный книголюб" https://vk.com/public114163054?w=app5748831_-114163054 "Кидсбукс" https://vk.com/kidsbooks_new_and_best?w=app5748831_-69465550 , либо иных Аккаунтах Организации, НЕ ПРОИЗВОДИТСЯ.
Нажимая кнопку "Подписаться" напротив выбранных рассылок пользователь интернет-ресурса тем самым подтверждает, что он старше 18 лет и выражает желание получать рассылку. Чтобы отписаться от выбранных рассылок, нужно нажать кнопку "Отписаться" на этой же странице Приложения-рассылки, где была произведена подписка.
Рассылки созданы с целью рекламного информирования подписавшихся на них пользователей о предложениях клиентов и контрагентов Организации в рамках Договоров на оказание рекламно-информационных услуг. Посредством функционала рассылок Организация не получает доступа к персональным данным.
3.3.6. Организация не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, кроме случаев, предусмотренных действующим законодательством РФ.
3.3.7. Условия настоящего Положения доступны пользователям в открытом доступе.
3.3.8. Обмен Актами и документами с клиентами и контрагентами Организации производится посредством обмена электронными сообщениями с использованием усиленной квалифицированной электронной подписи , либо посредством обмена заказными письмами с уведомлением о вручении Почтой РФ.
4. Передача и хранение персональных данных
4.1. При передаче персональных данных Организация должна соблюдать следующие требования:
4.1.1. Не сообщать персональные данные третьей стороне без письменного субъекта персональных данных, за исключением случаев, установленных федеральным законом.
4.1.2. Не сообщать персональные данные в коммерческих целях письменного согласия субъекта персональных данных. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
4.1.3. Предупредить лиц, получивших персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные, обязаны соблюдать режим конфиденциальности. Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
4.1.4. Осуществлять передачу персональных данных в пределах Организации в соответствии с настоящим Положением.
4.1.5. Разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
4.2. Хранение и использование персональных данных:
4.2.1. Персональные данные обрабатываются и хранятся на рабочем месте создателя Организации в течение срока действия Договора с клиентом, контрагентом, согласно п.3.2.2 Положения.
4.2.2. Персональные данные могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях (в виде распечатки по запросу субъекта персональных данных), так и в электронном виде - файле на персональном компьютере создателя Организации. Доступ к персональному компьютеру осуществляется только при введении пароля и исключает доступ третьих лиц. Несанкционированный доступ в помещение к рабочему месту создателя Организации запрещён.
4.3. При получении персональных данных Организация до начала их обработки предоставляет следующую информацию:
- наименование Организации и её контактные данные;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные Федеральным законом права субъекта персональных данных.
4.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных.
4.5. Персональные данные подлежат уничтожению по достижении целей обработки, сроков обработки персональных данных.
4.6. Условия и сроки уничтожения персональных данных Организацией:
- достижение цели обработки персональных данных либо утрата необходимости достигать эту цель - в течение 30 дней;
- достижение максимальных сроков хранения документов, содержащих персональные данные, - в течение 30 дней;
- предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение семи рабочих дней;
- отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.
4.7. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- Организация не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
Уничтожение персональных осуществляется в порядке, установленном законодательством РФ.
В случае если обработка персональных данных осуществляется оператором без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных
В случае если обработка персональных данных осуществляется оператором с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.
В случае если обработка персональных данных осуществляется оператором одновременно с использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных, и выгрузка из журнала.
Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.
4.8. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Организацией, осуществляется в рамках законодательства Российской Федерации.
5. Доступ к персональным данным, права субъектов персональных данных.
5.1. Право доступа к персональным данным имеют:
- создатель Организации;
- контролирующие органы на основаниях согласно действующему законодательству РФ.
5.2. Субъект персональных данных имеет право:
5.2.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные.
5.2.2. Требовать от Организации уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для Организации персональных данных.
5.2.3. Получать от Организации
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
5.2.4. Требовать извещения Организацией всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Организации при обработке и защите его персональных данных.
6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
6.1. Ответственность Организации определяется действующими нормативно-правовыми актами законодательства РФ на момент выявленного и доказанного нарушения.
6.2. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Организацией требований Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», определяется в соответствии с нормативно-правовыми актами РФ.
6.3. Соотношение указанного вреда и принимаемых Организацией мер, направленных на предупреждение, недопущение и/или устранение его последствий, определяется в соответствии с ФЗ РФ от 27.07.2006 N 152-ФЗ «О персональных данных».
7. Ответственный за обработку персональных данных.
7.1. Ответственным за обработку персональных данных является Организация или её законный представитель.
7.2. Ответственный за обработку персональных данных:
7.2.1. осуществляет внутренний контроль за соблюдением законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
7.2.2. контролирует прием и обработку обращений и запросов субъектов персональных данных или их представителей;
7.2.3. принимает меры для обнаружения фактов несанкционированного доступа к персональным данным;
7.2.4. производит постоянный контроль за обеспечением уровня защищенности персональных данных;
7.2.5. осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативными правовыми актами.
8. Порядок обеспечения Организацией прав субъекта персональных данных
8.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных».
8.2. Сведения предоставляются субъекту персональных данных в доступной форме без персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных, в электронном виде. По требованию субъекта персональных данных они могут быть продублированы на бумаге.
8.3. Сведения предоставляются субъекту персональных данных или его представителю при получении запроса субъекта персональных данных или его представителя. Запрос направляется на электронный адрес af1980@bk.ru и должен содержать: номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Организацией (номер Договора, дата заключения договора и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Организацией, подпись субъекта персональных данных или его представителя. При наличии технической возможности запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
8.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
8.5. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, в рабочее время, путём направления распечатки сведения заказным письмом либо передачи информации электронным сообщением, подписанным усиленной сертифицированной электронной подписью.
8.6. При выявлении факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Организация:
в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Организацией на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
9. Третьи лица, участвующие в обработке персональных данных
9.1. Третьи лица, участвующие в обработке персональных данных у Организации отсутствуют.
10. Трансграничная передача персональных данных
10.1 Трансграничная передача персональных данных Организацией не осуществляется.
Приложение 1
Пример согласия субъекта на передачу персональных данных третьим лицам
ЗАЯВЛЕНИЕ
ИП Мальцевой А.В.
Дата ___________
№ ______________
От __________________________ (фамилия, инициалы заявителя)
О согласии на обработку персональных данных
Не возражаю против (получения / сообщения - нужно подчеркнуть) Вами сведений обо мне, содержащих данные _____________________________________ (перечень персональных данных)
на основании _______________________ (указать, откуда могут быть получены или куда переданы персональные данные) с целью ___________________________________ (указать цель обработки персональных данных)
в устной (по телефону) , документальной/электронной/устной (в т. ч. по телефону) форме
(нужное подчеркнуть)
в течение __________________ ( указать срок действия согласия).
Настоящее заявление может быть отозвано мной в письменной форме.
__________________ (подпись заявителя, дата)
---
Информация размещена в соответствии с требованиями
ч. 2 ст. 18.1 ФЗ «О персональных данных»
и ст.8 ФЗ "О рекламе"
---
См. также Информация о рекламодателях