Политика в отношении обработки персональных данных

1. Общие положения

1.1. Назначение документа

Настоящая Политика в отношении обработки и обеспечения безопасности персональных данных (далее – Политика) разработана на основании ст. 18.1 Федерального закона №152-ФЗ «О персональных данных», с учетом требований Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации в области обработки и защиты персональных данных (далее – ПДн).

Настоящая Политика определяет принципы, цели, порядок и условия обработки ПДн работников ИП Глика Льва Анатольевича (далее – ИП) и иных субъектов, чьи ПДн обрабатываются ИП.

В настоящей Политике содержатся положения об ответственности ИП и его работников в случае выявления нарушений обработки ПДн законодательству Российской Федерации (далее – РФ).

Настоящая Политика является общедоступным документом и размещена на официальном сайте ИП для обеспечения неограниченного доступа к ней.

1.2. Область действия документа

Действие настоящей Политики распространяется на отношения по обработке и обеспечению безопасности информации ограниченного доступа, относящейся в соответствии с законодательством Российской Федерации к ПДн, а также устанавливает ответственность ИП и его должностных лиц, имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн.

Действие настоящей Политики не распространяется на отношения, возникающие при:

  1. — организации хранения, комплектования, учета и использования содержащих ПДн документов, имеющих статус архивных документов, в соответствии с законодательством об архивном деле в РФ;
  2. — обработке ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Положениями настоящей Политики руководствуются все работники ИП и иные субъекты ПДн, чьи ПДн обрабатываются ИП.

2. Основные термины и определения

В настоящем документе применяют следующие обозначения и сокращения:

ИП — ИП Глик Лев Анатольевич
ИСПДн — Информационная система персональных данных
НСД — Несанкционированный доступ
ПДн — Персональные данные
РФ — Российская Федерация

В настоящем документе применяют следующие термины с соответствующими определениями:

Автоматизированная обработка ПДн — обработка персональных данных с помощью средств вычислительной техники
Биометрические ПДн — сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность
Блокирование ПДн — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система ПДн — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
Обработка ПДн — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
Общая категория ПДн (иные ПДн) — персональные данные, не относящиеся ни к специальным категориям персональных данных, ни к биометрическим персональным данным
Оператор ПДн — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
ПДн, разрешенные субъектом ПДн для распространения — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения
Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
Предоставление ПДн — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц
Распространение ПДн — действия, направленные на раскрытие персональных данных неопределенному кругу лиц
Специальные категории ПДн — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни
Трансграничная передача ПДн — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу
Уничтожение ПДн — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных

3. Принципы обработки персональных данных

Обработка ПДн осуществляется ИП на основе следующих принципов:

  1. Обработка ПДн осуществляется на законной и справедливой основе.
  2. Обработка ПДн ограничена достижением конкретных, заранее определенных и законных целей.
  3. ИП не обрабатывает ПДн, не совместимые с целями сбора ПДн.
  4. ИП разделяет базы данных, содержащие ПДн, обработка которых осуществляется в целях, несовместимых между собой.
  5. ИП обрабатывает только ПДн, которые отвечают целям их обработки.
  6. Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки.
  7. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям их обработки.
  8. При обработке ПДн обеспечиваются точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн.
  9. Принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных ПДн.
  10. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, является субъект ПДн.
  11. Обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4. Цели обработки персональных данных

ИП осуществляет обработку ПДн в целях осуществления деятельности ИП, согласно законодательству РФ.

У ИП утверждены локально-нормативные акты, определяющие для каждой цели обработки ПДн, категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований.

5. Категории субъектов персональных данных и категории обрабатываемых персональных данных

5.1. Категории субъектов персональных данных, обрабатываемые в ИП

Категории субъектов, ПДн которых обрабатываются в ИП с использованием средств автоматизации или без использования таковых:

  1. Контрагенты ИП: представители, работники, учредители контрагентов ИП и индивидуальные предприниматели.
  2. Клиенты ИП.
  3. Субъекты, данные которых обрабатываются в рамках трудовых отношений, представленные:
    1. кандидатами на трудоустройство к ИП;
    2. работниками ИП;
    3. членами семей работников ИП (супруги, дети и близкие родственники);
    4. лицами, имевшими ранее трудовые отношения с ИП.
  4. Посетители сайта ИП.
  5. Иные субъекты ПДн, которые не вошли в вышеперечисленные категории, и обработка ПДн которых не противоречит законодательству РФ и необходима ИП для осуществления целей обработки ПДн.

5.2. Категории персональных данных, обрабатываемые в ИП

В ИП обрабатываются следующие категории ПДн:

  1. — ПДн, разрешенные субъектом ПДн для распространения;
  2. — ПДн общей категории (иные ПДн), которые не могут быть отнесены ни к специальным категориям ПДн, ни к биометрическим ПДн.

6. Состав лиц, организующих и участвующих в обработке и обеспечении безопасности персональных данных

В ИП назначено лицо, ответственное за организацию обработки ПДн.

В ИП назначено лицо, ответственное за обеспечение безопасности ПДн и ИСПДн.

В обработке ПДн для ИП участвуют работники ИП в рамках выполнения своих должностных обязанностей.

7. Обработка и обеспечение безопасности персональных данных

7.1. Обработка и порядок прекращения обработки персональных данных

Обработка ПДн субъектов ПДн в ИП допускается в следующих случаях:

  1. обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
  2. обработка ПДн необходима для исполнения договора, стороной которого, либо выгодоприобретателем или поручителем, по которому является субъект ПДн, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем.

    При этом заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством РФ, а также положения, допускающие в качестве условия заключения договора бездействие субъекта ПДн.

  3. обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
  4. обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн. Исключение составляет обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;
  5. осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
  6. также обработка ПДн ИП возможна в иных случаях, предусмотренных федеральным законодательством.

Если в соответствии с федеральным законом предоставление ПДн и (или) получение ИП согласия на обработку ПДн являются обязательными, ИП разъясняет субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.

Включение ИП ПДн субъектов в общедоступные источники ПДн возможно только в случае наличия требований федерального законодательства, либо в случае получения письменного согласия субъекта ПДн.

ИП осуществляет обработку ПДн, разрешенных субъектом ПДн для распространения только в случае получения согласия на обработку ПДн, разрешенных субъектом ПДн для распространения и в соответствии с условиями и запретами, указанными в полученном согласии.

ИП осуществляет сбор (запись, систематизацию, накопление, хранение, уточнение, извлечение) ПДн граждан РФ, с использованием баз данных, находящихся на территории РФ.

ИП не осуществляется принятие решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы на основании исключительно автоматизированной обработки ПДн.

ИП вправе поручить обработку ПДн другому лицу только с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение оператора). При этом ИП обязывает лицо, осуществляющее обработку ПДн по поручению, соблюдать принципы и правила обработки ПДн, предусмотренные федеральным законом.

В случае если ИП поручает обработку ПДн:

  1. — российскому юридическому или физическому лицу, ответственность перед субъектом ПДн за действия указанного лица несет ИП. Российское юридическое или физическое лицо, осуществляющее обработку ПДн по поручению ИП, несет ответственность перед ИП;
  2. — иностранному физическому или юридическому лицу, ответственность перед субъектом ПДн за действия указанных лиц несет ИП и лицо, осуществляющее обработку ПДн по поручению ИП.

ИП обязуется и обязывает иных лиц, получивших доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

Обработка ИП ПДн прекращается в следующих случаях:

  1. — достижение целей обработки ПДн;
  2. — истечение срока обработки ПДн, предусмотренного федеральным законодательством, договором или согласием субъекта ПДн на обработку его ПДн;
  3. — при отзыве субъектом ПДн согласия на обработку его ПДн, в случаях, не противоречащих требованиям федерального законодательства.

7.2. Сведения о реализуемых требованиях по защите персональных данных

ИП принимает все необходимые правовые, организационные и технические меры при обработке ПДн для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн.

Реализуются меры по организации обработки и обеспечению безопасности ПДн, обрабатываемых без средств автоматизации, в том числе:

  1. — для каждой категории ПДн определены места хранения ПДн (материальных носителей) и установлен перечень лиц, осуществляющих обработку ПДн и имеющих к ним доступ;
  2. — обеспечено раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях;
  3. — соблюдаются условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ при хранении материальных носителей.

Реализуются меры по защите ПДн при их обработке в информационных системах ПДн, в том числе:

  1. — определяется уровень защищенности ПДн при их обработке в информационных системах;
  2. — выполняются требования по защите ПДн в информационных системах ПДн в соответствии с определенными уровнями защищенности ПДн;
  3. — применяются необходимые средства защиты информации;
  4. — осуществляется оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
  5. — осуществляется учет машинных носителей ПДн;
  6. — осуществляется обнаружение фактов НСД к ПДн и принятие необходимых мер;
  7. — осуществляется восстановление ПДн, модифицированных или уничтоженных вследствие НСД к ним;
  8. — устанавливаются правила доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечивается регистрация и учет действий, совершаемых с ПДн в ИСПДн, там, где это необходимо;
  9. — контролируются принимаемые меры по обеспечению безопасности ПДн и уровень защищенности ИСПДн;
  10. — по фактам выявленных компьютерных инцидентов ИП осуществляется уведомление Роскомнадзора, Национального координационного центра по компьютерным инцидентам и Федеральной службы безопасности о произошедших компьютерных инцидентах у ИП, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн.

8. Права субъекта персональных данных

Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

  1. — подтверждение факта обработки его ПДн ИП;
  2. — правовые основания и цели обработки ПДн;
  3. — сведения о применяемых ИП способах обработки ПДн;
  4. — наименования и места нахождения ИП, сведения о лицах (за исключением работников ИП), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с ИП или на основании законодательства;
  5. — обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения;
  6. — сроки обработки ПДн, в том числе сроки их хранения;
  7. — порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
  8. — информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  9. — наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;
  10. — информацию о способах исполнения ИП обязанностей, установленных ст. 18.1 (мер, направленных на выполнения обязанностей ИП как оператора ПДн) Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
  11. — иные сведения, предусмотренные законодательством.

Сведения, касающиеся обработки ПДн субъекта ПДн, предоставляются ИП в течение 10 рабочих дней с момента обращения либо получения ИП запроса субъекта ПДн или его представителя. Срок предоставления сведений может быть увеличен не более чем на 5 дней с уведомлением субъекта ПДн и обоснованием увеличения срока.

Сведения, касающиеся обработки ПДн субъекта ПДн, предоставляются субъекту ПДн уполномоченными работниками ИП в той форме, в которой направлено соответствующее обращение или запрос, если иное не указано в обращении или запросе. В ответе на запрос о предоставлении сведений, касающихся обработки ПДн субъекта ПДн, не будут содержаться ПДн, относящиеся к другим субъектам ПДн.

Субъект ПДн имеет право на отзыв согласия на обработку своих ПДн, однако ИП вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии законных оснований.

В случае обработки ИП ПДн, разрешенных субъектом ПДн для распространения, субъект имеет право обратиться с требованием прекратить распространение своих ПДн путем направления соответствующего требования в адрес ИП.

По вопросам, связанным с обработкой и защитой ваших ПДн, вы можете связаться с ИП направив:

  1. — запрос по адресу: 121165, г.Москва, ул.Студенческая, д.26, кв. 19;
  2. — направив электронный запрос по форме обратной связи, размещенной на сайте ИП (https://www.tomato-pizza.ru/contacts).

Если субъект ПДн считает, что ИП осуществляет обработку его ПДн с нарушением требований законодательства или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие ИП в Роскомнадзор.

9. Нарушение политики и ответственность

ИП несет ответственность за соответствие обработки и обеспечение безопасности ПДн законодательству.

Все работники ИП, осуществляющие обработку ПДн, несут ответственность за соблюдение настоящей Политики и иных локальных актов ИП по вопросам обработки и обеспечению безопасности ПДн.

Любой работник, которому стало известно о нарушении настоящей Политики или который подозревает о существовании такого нарушения, должен сообщить об этом лицу, ответственному за организацию обработки ПДн, в соответствии с существующими у ИП процедурами.

Любые нарушения настоящей Политики и иных локальных актов ИП по вопросам обработки и обеспечению безопасности ПДн будут расследоваться в соответствии с действующими у ИП процедурами.

Лица, признанные виновными в нарушении установленных порядка и процедур обработки и обеспечения безопасности ПДн, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством РФ.

Сайт использует Cookies. Нажимая кнопку «Согласен», вы принимаете условия обработки персональных данных и выражаете согласие на обработку ваших персональных данных