1. ОБЩИЕ ПОЛОЖЕНИЯ1.1. Настоящая Политика в отношении обработки персональных данных
(далее – Политика) устанавливает единый порядок обработки персональных данных индивидуального предпринимателя Ковалев Михаил Вадимович (далее – индивидуальный предприниматель).
1.2. Настоящая Политика разработана в соответствии с Федеральным
законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон),
постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
2. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
2.1. В настоящих Правилах используются следующие основные термины и определения:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор – индивидуальный предприниматель, организующая и (или) осуществляющее обработку персональных данных;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых оператором с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники оператора;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
3. ЦЕЛИ, ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ3.1. Обработка персональных данных осуществляется в целях оказания услуг в области права.
3.2. Обработка персональных данных осуществляется в рамках следующих персональных данных физических лиц (клиентов):
фамилия, имя, отчество (последнее - при наличии);
номер контактного телефона или сведения о других способах связи;
данные документа, удостоверяющего личность;
реквизиты банковской карты.
номер лицевого счета;
адрес электронной почты;
фотоизображение лица.
3.3. Правовым основанием обработки персональных данных является согласие субъекта персональных данных на их обработку.
4. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ4.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
4.3. Индивидуальный предприниматель соблюдает требование конфиденциальности персональных данных в соответствии со
статьей 7 Федерального закона.
4.4. Индивидуальный предприниматель вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, (далее - поручение оператора).
Лицо, осуществляющее обработку персональных данных по поручению индивидуального предприниматель, обязан соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом.
В поручении индивидуального предпринимателя должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные
частью 5 статьи 18 и
статьей 18.1 Федерального закона, обязанность по запросу в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящим пунктом, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со
статьей 19 Федерального закона, в том числе требование об уведомлении индивидуального предпринимателя о случаях, предусмотренных
частью 3.1 статьи 21 Федерального закона.
4.5. Индивидуальный предприниматель осуществляет следующие действия при обработке персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение и использует смешанный способ обработки персональных данных.
4.6. Индивидуальный предприниматель осуществляет обработку персональных данных после принятия мер, необходимых для обеспечения выполнения обязанностей, предусмотренных
частью 1 статьи 18.1 Федерального закона,
частью 1 статьи 19 Федерального закона:
назначения ответственного за организацию обработки персональных данных;
издания локальных актов по вопросам обработки персональных данных;
применения правовых, организационных и технических мер по обеспечению безопасности персональных данных;
осуществления внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному
закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных.
4.7. Хранение персональных данных осуществляется в пределах сроков, необходимых для достижения цели обработки персональных данных, если иной срок хранения персональных данных не установлен Федеральным
законом, иным нормативным правовым актом или договором, стороной которого является субъект персональных данных.
4.8. Сроки хранения персональных данных определяются в соответствии со сроками, установленными законодательством Российской Федерации в области архивного дела.
5. ПОРЯДОК УНИЧТОЖЕНИЯ ОБРАБОТАННЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ5.1. Обрабатываемые индивидуальным предпринимателем персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
В случае достижения цели обработки персональных данных индивидуальный предприниматель обязаа прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению индивидуального предпринимателя) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению индивидуального предпринимателя) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между индивидуальным предпринимателем и субъектом персональных данных либо если индивидуальный предприниматель не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным
законом или другими федеральными законами.
5.2. В случае выявления неправомерной обработки персональных данных, осуществляемой индивидуальным предпринимателем или лицом, действующим по поручению индивидуального предпринимателя, индивидуальный предприниматель в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению индивидуальным предпринимателе. В случае, если обеспечить правомерность обработки персональных данных невозможно, индивидуальный предприниматель в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.
5.3. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных индивидуальный предприниматель обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению индивидуального предпринимателя) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между индивидуальным предпринимателем и субъектом персональных данных либо если индивидуальный предприниматель не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным
законом или другими федеральными законами.
В случае обращения субъекта персональных данных к индивидуального предпринимателя с требованием о прекращении обработки персональных данных индивидуальный предприниматель обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных
пунктами 2 -
11 части 1 статьи 6,
частью 2 статьи 10 и
частью 2 статьи 11 Федерального закона. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
5.4. При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
5.5. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
5.6. Уничтожение по окончании срока обработки персональных данных на съемных машинных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
5.7. Подтверждение уничтожения персональных данных в случаях, предусмотренных настоящей статьей, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.
6. ПРАВИЛА РАССМОТРЕНИЯ ОБРАЩЕНИЙ (ЗАПРОСОВ) СУБЪЕКТОВПЕРСОНАЛЬНЫХ ДАННЫХ ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ 6.1. Субъект персональных данных или его представитель имеет право при обращении или запросе на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных индивидуальным предпринимателем
правовые основания и цели обработки персональных данных;
цели и применяемые индивидуальным предпринимателем способы обработки персональных данных;
наименование и место нахождения индивидуальным предпринимателем, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с индивидуальным. предпринимателем или на основании Федерального
закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным
законом;
сроки обработки персональных данных, в том числе сроки их хранения индивидуальным предпринимателем;
порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению индивидуальным. предпринимателем, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным
законом или другими федеральными законами;
информацию о способах исполнения индивидуальным предпринимателем обязанностей, установленных
статьей 18.1 Федерального закона.
6.2. Запрос подается лично индивидуальным предпринимателем в письменном виде, либо в форме электронного документа, подписанного электронной подписью в соответствии с Федеральным
законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи».
6.3. Сведения, указанные в
пункте 6.1 Политики, предоставляются субъекту персональных данных или его представителю индивидуальным предпринимателем в течение десяти рабочих дней с момента обращения либо получения индивидуальным предпринимателем запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя..
Индивидуальный предприниматель предоставляет сведения, указанные в
пункте 6.3 Политики субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
6.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
6.5. Субъект персональных данных вправе обратиться повторно или направить повторный запрос в целях получения сведений, указанных в
пункте 6.1 Политики, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в
пункте 6.9 Политики, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными
пункте 6.3 Политики, должен содержать обоснование направления повторного запроса.
6.6. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя индивидуальный предприниматель обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение
части 8 статьи 14 Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6.7. Если субъект персональных данных или его представитель считает, что индивидуальный предприниматель осуществляет обработку его персональных данных с нарушением требований Федерального
закона или иным образом нарушает его права и свободы, субъект персональных данных или его представитель вправе обжаловать действия (бездействие) индивидуальный предприниматель в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
6.8. Субъект персональных данных или его представитель имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
6.9. Индивидуальный предприниматель обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6.10. Индивидуальный предприниматель обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Индивидуальный предприниматель обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, индивидуальный предприниматель обязан уничтожить такие персональные данные. Индивидуальный предприниматель обязан уведомить субъект персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.