Политика в отношении обработки персональных данных


1. Общие положения.

1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с требованиями Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) и других федеральных законов и нормативных актов РФ в области обработки персональных данных, и определяет порядок и пределы обработки персональных данных, меры по обеспечению выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами РФ, а также меры по обеспечению безопасности персональных данных, предпринимаемые Индивидуальным предпринимателем Алексеевым Александром Юрьевичем (далее – Оператор, ИП Алексеев А.Ю.) в отношении персональных данных лиц, категории которых определены п. 3.1 настоящей Политики.
1.2. Оператор ставит своей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Правовыми основаниями обработки персональных данных Оператором являются Трудовой кодекс РФ, Гражданский кодекс РФ, Налоговый кодекс РФ, иные федеральные законы, постановления Правительства РФ и иные нормативные акты РФ, закрепляющие обязанности по обработке персональных данных и/или обязанности, связанные с обработкой персональных данных; согласие на обработку персональных данных субъекта ПД, настоящая Политика и иные локальные нормативные акты Оператора, связанные с обработкой персональных данных.

2.  Основные понятия.

2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники, программно-аппаратных комплексов и/или отдельных программ ЭВМ, за исключением случаев, которые относятся к неавтоматизированной обработке персональных данных.
Неавтоматизированная обработка персональных данных - обработка персональных данных без использования средств вычислительной техники, а равно обработка персональных данных, содержащихся в информационной системе либо извлеченных из такой системы, с целью их использования, уточнения, распространения, уничтожения, осуществляемая при непосредственном участии человека;
2.2. блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.3. Веб-сайт, Сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу: http://iskra-rpk.ru/.
2.4. информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
2.5 обезличивание персональных данных — действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
2.6. обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, распространение, персональных данных;
2.7. персональные данные субъекта ПД - любая информация, относящаяся к определенному или определяемому на основании такой информации субъекту, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, доходы, другая информация, необходимая Оператору для достижения цели обработки. Персональные данные для целей настоящей Политики могут относиться к следующим категориям:
- общие персональные данные (стандартные) – категория персональных данных, в которую входят все персональные данные, не подпадающие под категории специальных персональных данных и биометрических персональных данных;
- специальные персональные данные – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости;
- биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
2.9. персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее - персональные данные, разрешенные для распространения);
2.10. посетитель Сайта, пользователь Сайта – любой посетитель Сайта Оператора, расположенного по адресу: http://iskra-rpk.ru/.
2.11. предоставление персональных данных (доступ к персональным данным) – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
2.12. распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
2.13. трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
2.14. уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных;
2.15. третьи лица - юридические или физические лица, привлеченные Оператором для оказания услуг/выполнения работ и/или поручений, а также иные органы/организации/учреждения в случаях, установленных действующим законодательством РФ;
2.16. электронное хранилище (далее – облачное хранилище, электронное хранилище, хранилище) – облачное или иное аналогичное хранилище электронной информации, которое
- расположено на сервере(-ах), находящемся(-ихся) на территории Российской Федерации, принадлежащее Оператору, или принадлежащее третьим лицам, но используемое Оператором на законном основании,
- в котором автоматизировано и/или неавтоматизировано размещаются, сохраняются и иным образом обрабатываются данные, включая персональные данные, в том числе из информационных систем;
 

3. Цели обработки персональных данных и категории субъектов персональных данных.

Перечень обрабатываемых персональных данных.

Способы обработки персональных данных и основания обработки.

Сроки обработки и хранения персональных данных.

3.1. Обработка персональных данных осуществляется Оператором в следующих целях:
3.1.1. Предоставление Пользователю доступа к ресурсам Сайта, включая предоставление информации

Категории субъектов персональных данных:

Категории персональных данных

 

Виды персональных данных

 

Способы обработки

 

Основания обработки

 

Сроки обработки и хранения персональных данных

посетители Сайта

общие персональные данные

- данные, которые автоматически передаются сервисам Сайта в процессе их использования с помощью установленного на устройстве Пользователя программного обеспечения, в том числе IP-адрес, данные файлов cookies, информация о браузере и приложениях Пользователя (в т.ч. программе, с помощью которой осуществляется доступ к сервисам), технические характеристики оборудования и программного обеспечения, используемых Пользователем, дата и время доступа к сервисам, адреса запрашиваемых страниц.

Перечень cookie-файлов определен в Политике в отношении обработки персональных данных с применением технологии «Сookie», расположенной на Сайте Оператора;

С использованием средств автоматизации, без передачи по внутренней сети Оператора, с передачей по сети Интернет.

Операции по обработке персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

- на основании согласия субъекта ПД на обработку персональных данных;

- в течение сроков хранения файлов cookies, определенных Политикой в отношении файлов cookies;

- до отзыва субъектом ПД согласия на обработку персональных данных;

- фамилия, имя, отчество, номер телефона, адрес электронной почты

- в течение трех лет;

- до отзыва субъектом ПД согласия на обработку персональных данных


3.1.2. Осуществление рекламных рассылок

Категории субъектов персональных данных:

Категории персональных данных

 

Виды персональных данных

 

Способы обработки

 

Основания обработки

 

Сроки обработки и хранения персональных данных

Пользователи Сайта

- общие персональные данные;

 

 

- фамилия, имя, отчество, номер телефона, адрес электронной почты

 

 

Смешанным способом (с использованием и без использования средств автоматизации). Обработка осуществляется с передачей по сети интернет и по внутренней сети Оператора.

 

Операции по обработке персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

- на основании согласия субъекта персональных данных

- в течение 5 лет;

- до отзыва субъектом ПД согласия на обработку персональных данных


4. Условия обработки персональных данных

4.1. Обработка персональных данных субъектов ПД может осуществляться по основаниям, установленным в ст. 6, 10, 10.1, 11 Закона о персональных данных.
Оператор осуществляет обработку в целях, определенных в разделе 3 настоящей Политики, по основаниям, предусмотренным в разделе 3 настоящей Политики для соответствующей цели.
4.2. В случае необходимости распространения персональных данных субъекта ПД неограниченному кругу лиц Оператор получает отдельное согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения. Согласие выдается до момента достижения цели обработки персональных данных, если иное (срок действия согласия) прямо не указано субъектом ПД в согласии. При этом Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения. Субъект ПД вправе установить запреты на передачу (кроме предоставления доступа) отдельных категорий персональных данных Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.
4.3. В случае необходимости передачи персональных данных субъекта ПД третьим лицам Оператор получает согласие на поручение обработки персональных данных у субъекта персональных данных с указанием лиц, которым будет поручена обработка персональных данных, целей и способов обработки. Согласие выдается до момента достижения цели обработки персональных данных, если иное (срок действия согласия) прямо не указано субъектом ПД в согласии.
4.4. Трансграничная передача персональных данных не осуществляется.
4.5. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В предусмотренных законодательством Российской Федерации случаях согласие оформляется в письменной форме.
4.6.     Лицо, ответственное за организацию обработки персональных данных, назначается Приказом Оператора.
4.7. Доступ к персональным данным субъектов ПД определяется внутренними документами Оператора.
Оператор вправе разрешать доступ к персональным данным субъектов ПД только специально уполномоченным лицам путем указания их в соответствующем приказе или на основании соглашения, устанавливающего пределы и условия доступа.
4.8. Работники Оператора, иные уполномоченные Оператором лица имеют доступ к персональным данным субъекта ПД в части, которая необходима для выполнения служебных обязанностей или исполнения своих обязательств.

5. Принципы обработки персональных данных.

5.1 Обработка персональных данных осуществляется Оператором с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператором принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

6. Хранение персональных данных

6.1. Хранение персональных данных осуществляется Оператором в течение сроков обработки персональных данных, определенных разделом 3 настоящей Политики.
6.2. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных.
6.3. Места хранения персональных данных определяются соответствующим Приказом Оператора.
Оператор вправе хранить персональные данные в информационных системах, размещенных на сервере Оператора, а также с согласия субъектов персональных данных в облачных хранилищах третьих лиц, расположенных на территории Российской Федерации.
При этом Оператор обеспечивает раздельное хранение персональных данных, обработка которых осуществляется в различных целях.
Срок хранения персональных данных, внесенных в информационные системы персональных данных, соответствует сроку хранения бумажных оригиналов

7. Уничтожение персональных данных

7.1. Обработка персональных данных прекращается в случаях достижения целей обработки персональных данных, истечения срока действия согласия или отзыва согласия субъекта ПД на обработку его персональных данных, заявления субъектом требования о прекращении обработки персональных данных, а также при выявлении неправомерной обработки персональных данных, за исключением случаев, если:
-               иное предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, или иным соглашением между оператором и субъектом персональных данных;
-               оператор вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами.
7.1.1. В случае достижения цели обработки персональных данных, утраты необходимости достижения цели обработки, истечения срока действия согласия Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Закон о персональных данных или другими федеральными законами.
7.1.2. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами.
7.1.3. В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Закона о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
7.1.4. В случае отсутствия возможности уничтожения персональных данных в течение указанных сроков Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
7.2. Порядок уничтожения персональных данных в отношении персональных данных, обрабатываемых в любой из целей, определенных разделом 3 настоящей Политики, является одинаковым и определяется Положением об уничтожении персональных данных.
Документальной фиксацией уничтожения персональных данных является оформление соответствующего акта об уничтожении персональных данных, а в случае уничтожения персональных данных в информационных системах - дополнительно к акту приобщается выгрузка из журнала регистрации событий в информационной системе персональных данных.
 

8. Права субъектов ПД:

8.1. Субъект ПД имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Закона о персональных данных;
10) иные сведения, Законом о персональных данных или другими федеральными законами.
8.1.1. Запрос субъекта ПД должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Субъект ПД может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору по адресам, указанным в п. 12.5 Политики.
8.1.2. Оператор предоставляет субъекту персональных данных или его надлежаще уполномоченному представителю сведения, указанные в п. 7.1 настоящей Политики, в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя, в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Персональные данные и иная информация о субъекте персональных данных, направившем запрос, не могут быть без специального согласия субъекта персональных данных использованы иначе, как для ответа по теме полученного запроса или в случаях, прямо предусмотренных законодательством.
8.1.3 В случае, если сведения, указанные в п. 7.1 настоящей Политики, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
8.1.4. Субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в п.1.6.1 настоящей Политики, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 2 настоящего пункта, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос содержать обоснование направления повторного запроса.
8.1.5. Если в запросе субъекта персональных данных не отражены все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, ему направляется мотивированный отказ.
Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п.п.7.1.3 и п. 7.1.4 настоящей Политики. Такой отказ должен быть мотивированным.
8.2. Субъект ПД имеет право на отзыв согласия на обработку персональных данных. Субъект ПД может направить отзыв по адресам, указанным в п. 12.5 Политики.
В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии соответствующих оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона о персональных данных.
8.3. Субъект ПД вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Субъект ПД имеет право направить соответствующее требование по адресам, указанным в п. 12.5 Политики.
8.4. Субъект ПД вправе осуществлять иные права, установленные законодательством РФ в сфере обработки персональных данных.
8.5.     Субъекты персональных данных обязаны:
-         предоставлять Оператору только достоверные данные о себе;
-         сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных. Лица, передавшие Оператору недостоверные сведения несут ответственность в соответствии с законодательством Российской Федерации.
 

9.        Основные права и обязанности Оператора

9.1. Оператор имеет право:
-         самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
-         поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора;
-         предоставлять персональные данные субъектов третьим лицам, если это предусмотрено законодательством РФ;
-         обрабатывать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.
9.2. Оператор обязан:
-         обрабатывать персональные данные в порядке, установленном действующим законодательством Российской Федерации;
-         принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами;
-         при сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию, предусмотренную ч. 7 ст. 14 Закона о персональных данных;
-         если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку;
-         в случае если решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов;
-         рассматривать обращения субъекта персональных данных (его законного представителя), а также уполномоченного органа по защите прав субъектов персональных данных по вопросам обработки персональных данных и давать мотивированные ответы в установленные законодательством Российской Федерации сроки;
-         предоставлять субъекту персональных данных (его законному представителю) возможность безвозмездного доступа к его персональным данным;
-         принимать своевременные меры по блокированию, уточнению, уничтожению персональных данных субъекта персональных данных, в связи с поступлением обращения субъекта персональных данных (его законного представителя) либо уполномоченного органа по защите прав субъектов персональных данных, содержащего законные и обоснованные требования;
-         в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных в установленном Законом о персональных данных порядке;
-         в случае достижения цели обработки персональных данных прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора), если у оператора не имеется законных оснований для продолжения обработки персональных данных;
-                при получении персональных данных не от субъекта ПД (за исключением случаев, установленных ч. 4 ст. 18 Закона о персональных данных) Оператор до начала обработки таких персональных данных обязан предоставить субъекту ПД следующую информацию:
  • наименование (фамилия, имя, отчество) и адрес оператора;
  • цель обработки персональных данных и ее правовое основание;
  • перечень персональных данных;
  • предполагаемые пользователи персональных данных;
  • установленные законодательством права субъекта персональных данных;
  • источник получения персональных данных.
-         при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением установленных законодательством случаев.
 

10. Предотвращение нарушений обращения с персональными данными

и защита персональных данных.

10.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами или локальными актами Оператора (если применимо).
10.2. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
10.3. Оператор обеспечивает следующие меры для защиты персональных данных:
10.3.1. назначение Оператором лица, ответственного за организацию обработки персональных данных;
10.3.2. издание Оператором Политики в отношении обработки персональных данных, являющейся основным документом, регулирующим обработку персональных данных Оператором, Положения об уничтожении персональных данных и иных локальных документов, связанных с обработкой и защитой персональных данных. Оператор обеспечивает свободный доступ субъектов персональных данных к настоящей Политике и иным локальным актам, связанным со сферой персональных данных;
10.3.3. осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных законодательству РФ и настоящей Политике в отношении обработки персональных данных, локальным актам Оператора;
10.3.4. производит оценку вреда в соответствии с требованиями, установленными Приказом Роскомнадзора от 27.10.2022 № 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", который может быть причинен субъектам персональных данных, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
10.3.5. осуществляет ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими Политике оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
10.3.6. применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии с Законом о персональных данных, включая:
10.3.6.1. осуществляет учет машинных носителей персональных данных;
10.3.6.2. обеспечивает антивирусную защиту компьютерных устройств, на которых обрабатываются персональные данные;
10.3.6.3. в случае обнаружения фактов несанкционированного доступа к персональным данным обеспечивает принятие мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
10.3.6.4. осуществляет восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
10.3.6.5. устанавливает правила доступа к персональным данным, обрабатываемым в информационных системах персональных данных, ведет учет выданных доступов, а также своевременное прекращение доступов к информационным системам;
10.3.6.6. обеспечивает контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
10.3.6.7. организует режим обеспечения безопасности помещений, в которых размещена информационная система, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
10.3.6.8. обеспечивает сохранность носителей персональных данных;
10.3.6.9. утверждает перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
10.3.6.10. определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных, применяет модели актуальных угроз и меры по их нейтрализации.
 

11. Устранение последствий нарушений законодательства,

допущенных при обработке персональных данных.

11.1. В случае выявления неправомерной обработки персональных данных Оператор обязуется осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки.
В случае выявления неточных персональных данных Оператор обязуется осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
11.2. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
11.3. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
11.4. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
 

12. Заключительные положения.

12.1. Настоящая Политика утверждается приказом Оператора и вступает в силу с даты издания соответствующего приказа.
12.2. Оператор вправе вносить в настоящую Политику изменения по своему усмотрению без предварительного уведомления, в том числе, но не ограничиваясь, в случаях, когда соответствующие изменения связаны с изменениями в применимом законодательстве, а также когда соответствующие изменения связаны с изменениями в работе Сайта или при изменении бизнес-процессов Оператора.
12.3. Субъекты персональных данных самостоятельно контролируют наличие изменений настоящей Политики. Новая редакция Политики вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией Политики.
12.4. Действующая редакция настоящей Политики размещена на сайте http://iskra-rpk.ru/.
12.5. Субъект персональных данных вправе направлять Оператору запросы о предоставлении информации, требования о прекращении обработки персональных данных, отзыв согласия на обработку персональных данных по следующим реквизитам:
Индивидуальный предприниматель Алексеев Александр Юрьевич
ИНН 638141589607
ОГРНИП 325632700060288
Почтовый адрес: 443009, Самарская область, г Самара, ул Краснодонская, д. 10А, кв. 157
Адрес электронной почты: info@rpk-iskra.ru
Made on
Tilda