Политика КОНФИДЕНЦИАЛЬНОСТИ

1. Общие положения.

1.1. Настоящее положение об обработке и защите персональных данных клиентов (далее - Положение) индивидуального предпринимателя Алешиной-Генрих Вилмы Александровны (ИНН 525010024866 ОГРНИП 314525927500039), (далее – ИП Алешина-Генрих В.А.) является локальным нормативным актом, принятым с учетом требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Закон о персональных данных).
1.2. В Положении используются термины и определения в соответствии с их значениями, определенными в Законе о персональных данных. Основные понятия, используемые в Положении:
1.2.1. Индивидуальный предприниматель Алешина-Генрих Вилма Александровна (ОГРНИП 314525927500039, ИНН 525010024866) – лицо, которое будет являться Оператором, в случае начала сбора и обработки персональных данных клиентов;
1.2.2. Клиент – физическое лицо, потребитель услуг, предоставляемых ИП Алешиной-Генрих В.А., субъект персональных данных;
1.2.3. Услуги – действия ИП Алешиной-Генрих В.А., обусловленные условиями заключенного договора;
1.2.4. Персональные данные – информация, сохраненная в любом формате, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекты персональных данных), которая сама по себе или в сочетании с иной информацией, имеющейся в распоряжении ИП Алешиной-Генрих В.А., позволяет идентифицировать личность Клиента;
1.2.5. Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таковых;
1.2.6. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение, передачу, обезличивание, блокирование, уничтожение персональных данных;
1.2.7. Передача персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц;
1.2.8. Распространение персональных данных – действия, направленные на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
1.2.9. Использование персональных данных – действия (операции) с персональными данными. Совершаемые ИП Алешиной-Генрих В.А. в целя принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным способом затрагивающих права и свободы субъекта персональных данных или других лиц;
1.2.10. Конфиденциальность персональных данных – обязательное для соблюдения ИП Алешина-Генрих В.А. или иным получившим доступ к персональным данным уполномоченным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
1.2.11. Защита персональных данных – комплекс мер технического, организационного и организационно-технического, правового характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъект персональных данных);
1.2.12. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных Клиентов и (или) в результате которых уничтожаются материальные носители персональных данных.
1.2.13. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
1.2.14. Информация – сведения (сообщения, данные), независимо от формы их предоставления;
1.2.15. Документированная информация – зафиксированная на материальном носители путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
1.3. Основной целью Положения является защита персональных данных клиентов ИП Алешина-Генрих В.А. от несанкционированного доступа, неправомерного их использования или утраты, а также установление ответственности лиц, имеющих доступ к персональным данным клиентов, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных.
1.4. Настоящее Положение утверждается ИП Алешина-Генрих В.А. и действует до его отмены приказом или до введения нового Положения.
1.5. Внесение изменений в Положение производится приказом ИП Алешина-Генрих В.А. Изменения вступают в силу с момента подписания соответствующего приказа.




2. Категории субъектов персональных данных.



2.1. К субъектам, персональные данные которых будут обрабатываться и защищаться ИП Алешина-Генрих В.А. в соответствии с Положением, относятся:

- клиенты ИП Алешина-Генрих В.А.;

- иные лица, персональные данные которых ИП Алешина-Генрих В.А. будет обязан обрабатывать и хранить в соответствии с законодательством РФ.



3. Цели обработки и защиты персональных данных.



3.1. Целями обработки и защиты персональных данных ИП Алешина-Генрих В.А. являются:

- выполнение требований законодательства по определению порядка обработки и защиты данных физических лиц, являющихся клиентами ИП Алешина-Генрих В.А. заполнению первичной статистической документации;

- осуществление прав и законных интересов ИП Алешина-Генрих В.А. в рамках осуществления хозяйственной деятельности;

- исполнение обязанностей по договорам, одной из сторон которого является субъект персональных данных.

3.2. Персональные данные клиентов будут обрабатываться в целях предоставления ИП Алешина-Генрих В.А. услуг, согласно заключенного договора, хранения данных клиентов, предоставления консультаций, иной информации о деятельности и услугах ИП Алешина-Генрих В.А. по запросам клиента, исполнения иных договорных обязательств, одной из сторон которых является клиент. ИП Алешина-Генрих В.А. будет собирать данные только в объеме, необходимом для достижения названных целей.

3.3. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.



4. Состав и получение персональных данных клиентов



4.1. Сведения о персональных данных клиентов являются конфиденциальными.

4.2. К персональным данным относятся:

Персональные данные клиента - фамилия, имя, отчество; - дата и место рождения; - реквизиты документа, удостоверяющего личность (для паспорта: серия, номер, дата выдачи, наименование выдавшего органа, код подразделения); - номер контактного телефона; - адрес электронной почты; - адрес места жительства; - биографические сведения; - сведения о семейном положении, детях (фамилия, имя, отчество, дата рождения); - сведения о постановке на налоговый учет (ИНН); - сведения об открытых банковских счетах; - реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащихся в них сведениях; - сведения, содержащиеся в разрешении на временное проживание, разрешении на временное проживание в целях получения образования (для иностранных граждан, временно проживающих на территории РФ), виде на жительство (для иностранных граждан, постоянно проживающих на территории РФ) и иные. Персональные данные клиента будут содержаться в документах и информационных системах, включая следующие: - информационная система 1С; - договор оказания услуг; - приложения и дополнительные соглашения к договорам оказания услуг; - акты оказанных услуг; - счета на оплату; - электронные письма; - переписка в мессенджере; - иные документы, направляемые в адрес клиента или подписываемые клиентом.

4.3. Все персональные данные ИП Алешина-Генрих В.А. будет получать непосредственно от клиентов.



5. Порядок и условия обработки персональных данных



5.1. До начала обработки персональных данных ИП Алешина-Генрих В.А. обязан уведомить Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций о намерении осуществлять обработку персональных данных.

5.2. Правовым основанием обработки персональных данных будет являться Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» и иные нормативные правовые акты Российской Федерации.

5.3. Обработка персональных данных будет осуществляться с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением.

5.4. Обработка персональных данных, в случае начала таковой, будет выполняться следующими способами:

- неавтоматизированная обработка персональных данных;

- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

- смешанная обработка персональных данных.

5.5. Обработка персональных данных, в случае начала таковой, будет осуществляться ИП Алешина-Генрих В.А. с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.

5.6. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, будет осуществляться с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных. Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных.

5.7. К обработке персональных данных клиентов будет иметь доступ только ИП Алешина-Генрих В.А., либо уполномоченное им лицо, допущенное и ознакомленное под подпись с настоящим Положением и иными локальными актами, регулирующими обработку и защиту персональных данных.

5.8. Уполномоченное лицо, имеющее право доступа к персональным данным, определяется приказом ИП Алешина-Генрих В.А.

5.9. Документы, которые при наличии будут содержать персональные данные клиентов, будут храниться по месту жительства ИП Алешина-Генрих В.А. в условиях, исключающих доступ к ним посторонних лиц.

5.10. ИП Алешина-Генрих В.А. не будет осуществлять трансграничную передачу персональных данных.

5.11. Обработка персональных данных будет осуществляться путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставление, доступ), обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.

5.12. Сбор, запись, систематизация, хранение, накопление и уточнение (обновление, изменение) персональных данных будет осуществляться посредством:

- получения оригиналов документов либо их копий;

- копирования оригиналов документов;

- внесения сведений в учетные формы на бумажных и электронных носителях;

- внесения персональных данных в информационные системы персональных данных.

5.13. ИП Алешина-Генрих В.А. использует следующие информационные системы: корпоративная электронная почта.

5.14. Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных будет осуществляться в случаях и в порядке, предусмотренных законодательством в области персональных данных и настоящим Положением.



6. Защита персональных данных от несанкционированного доступа.



6.1. ИП Алешина-Генрих В.А., в случае начала обработки персональных данных, будет обязан принимать необходимые организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

6.2. С целью защиты персональных данных соответствующими приказами будут назначены и утверждены:

- уполномоченное лицо, ответственное за организацию обработки персональных данных;

- формы согласия на обработку персональных данных и согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

6.3. Для эффективной защиты персональных данных ИП Алешина-Генрих В.А. будут предприниматься следующие меры:



6.3.1. ИП Алешина-Генрих В.А. и уполномоченное им лицо будут соблюдать порядок получения, учета и хранения материальных носителей персональных данных;

6.3.2. Будут применяться организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных;

6.3.3. ИП Алешина-Генрих В.А. будут определяться угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;

6.3.4. Уполномоченное ИП Алешина-Генрих В.А. лицо, ответственное за обработку персональных данных, должно быть ознакомлено с настоящим Положением под подпись. Кроме того, уполномоченное лицо должно быть ознакомлено с положениями законодательства Российской Федерации о персональных данных, в том числе в требованиями о защите персональных данных, и пройти соответствующий инструктаж/обучение;

6.3.5. Уполномоченное лицо, виновное в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекается к ответственности, в соответствии с действующим законодательством Российской Федерации;

6.3.6. Доступ к персональным данным клиентов ИП Алешина-Генрих В.А. уполномоченного лица, не прошедшего инструктаж/обучение – запрещается;

6.3.7. Документы, содержащие персональные данные клиентов, хранятся по месту жительства ИП Алешина-Генрих В.А.

6.4. Защита доступа к электронным базам данных, содержащим данные клиентов, обеспечивается: - использованием антивирусного программного обеспечения;

- использованием лицензионных программных продуктов, предотвращающих несанкционированный доступ третьих лиц к персональным данным;

- доступ к персональным данным, осуществляется по индивидуальным паролям, предоставление доступа иным лицам не допускается;

- передачей данных по защищенным каналам связи;

- ведение учета материальных носителей информации.

6.5. Копировать и делать выписки персональных данных разрешается исключительно в служебных целях.

6.6. В случаях, установленных законодательством Российской Федерации, раскрытие персональных данных возможно сотрудникам правоохранительных органов, при наличии законных оснований и надлежащим образом оформленных документов, подтверждающих такие основания.



7. Сроки обработки и хранения персональных данных



7.1. Обработка персональных данных ИП Алешина-Генрих В.А. будет прекращена в следующих случаях:

- при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки – в течение 3 рабочих дней;

- при достижении целей обработки;

- истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Законом о персональных данных их обработка допускается только с согласия;

- при обращении субъекта персональных данных к ИП Алешина-Генрих В.А., с требованием о прекращении обработки персональных данных.

Срок прекращения обработки – не более 10 рабочих дней с даты получения требования (с возможностью продления не более чем на 5 рабочих дней, если направлено уведомление о причинах продления).

7.2. Персональные данные будут храниться в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели их обработки.

7.3. Персональные данные на бумажных носителях будут храниться в течение сроков хранения документов, для которых эти сроки предусмотрены Федеральным законом от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации».

7.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствуют сроку хранения персональных данных на бумажных носителях.



8. Порядок блокирования и уничтожения персональных данных



8.1. ИП Алешина-Генрих В.А. будет блокировать персональные данные в порядке и на условиях, предусмотренных законодательством Российской Федерации в области персональных данных.

8.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются.

8.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для целей обработки, уничтожаются в течение 7 рабочих дней со для предоставления субъектом персональных данных (его представителем) подтверждающих сведений.

8.4. Персональные данные, обработка которых прекращена из-за неправомерности или правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления неправомерной обработки.

8.5. Персональные данные уничтожаются в течение 30 календарных дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого является субъект персональных данных, иным соглашением между ним и ИП Алешина-Генрих В.А., либо если ИП Алешина-Генрих В.А.. не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

8.6. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 календарных дней.

8.7. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 календарных дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может быть предусматривать договор, стороной которого является субъект персональных данных, иное соглашение между ним и ИП Алешина-Генрих В.А. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.д.) и/или сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляет ИП Алешина-Генрих В.А. или уполномоченное им на основании приказа лицо.

8.8. ИП Алешина-Генрих В.А. или уполномоченное им на основании приказа лицо, ответственное за обработку персональных данных, составляет акт с указанием документов, иных материальных носителей и/или сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.

8.9. Персональные данные на бумажных носителях уничтожаются с использованием шредера.

8.10. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.

8.11. Непосредственно после уничтожения персональных данных оформляется акт об их уничтожении.



9. Процедура, направленная на выявление и предотвращение нарушений законодательства в сфере персональных данных.



9.1. К процедурам, направленным на выявление и предотвращение нарушений законодательства в сфере персональных данных и устранение таких последствий, относятся:

9.1.1. Реализация мер, направленных на обеспечение выполнения ИП Алешина-Генрих В.А. своих обязанностей;

9.1.2. Выполнение предусмотренных законодательством обязанностей, возложенных на ИП Алешина-Генрих В.А., когда (если) он станет Оператором;

9.1.3. Обеспечение личной ответственности уполномоченного приказом лица, осуществляющем обработку и/или имеющим доступ к персональным данным;

9.1.4. Организация внутреннего контроля соответствия обработки персональных данных данным требованиям к защите, установленным действующим законодательством и настоящим Положением;

9.1.5. Сокращение объема обрабатываемых персональных данных;

9.1.6. Стандартизация операций, осуществляемых с персональными данными;

9.1.7. Проведение необходимых мероприятий по обеспечению безопасности персональных данных и носителей персональных данных;

9.1.8. Проведение периодических проверок условий обработки персональных данных;

9.1.9. Повышение осведомленности личной и уполномоченного приказом лица, имеющим доступ к персональным данным, путем ознакомления с положениями законодательства РФ (с изменениями и дополнениями на актуальные даты), организации обучения;

9.1.10. Блокирование, внесение изменений и уничтожение персональных данных в предусмотренных действующим законодательством случаях;

9.1.11. Оповещение субъектов персональных данных в предусмотренных действующим законодательством Российской Федерации случаях;

9.1.12. Разъяснение прав субъектам персональных данных в вопросах обработки и обеспечения безопасности персональных данных;

9.1.13. Публикация и обеспечение доступа неограниченному кругу лиц документов, определяющих политику в отношении обработки персональных данных.

9.2. Указанный перечень процедур может дополняться.



10. Доступ к персональным данным



10.1. Право доступа к персональным данным будут иметь:

- ИП Алешина-Генрих В.А.;

- уполномоченное приказом лицо.

10.2. Доступ иных лиц, будет осуществляться строго на основании письменного разрешения (приказа) ИП Алешина-Генрих В.А.

10.3. Субъект персональных данных имеет право:

10.3.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей данные клиента;

10.3.2. Требовать от ИП Алешина-Генрих В.А. уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для клиента персональных данных;

10.3.3. Получать от ИП Алешина-Генрих В.А.:

-перечень обрабатываемых данных и источник их получения;

- сроки обработки персональных данных, в том числе сроки их устранения;

- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

10.4. Передача информации третьей стороне возможна исключительно при письменном согласии субъекта персональных данных.



11. Ответственность за нарушение норм, регулирующих обработку персональных данных



11.1. Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных, привлекаются к материальной ответственности, в порядке, установленном законодательством РФ. Кроме того, они могут быть привлечены к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами Российской Федерации.

11.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вредя осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.