Политика в отношении обработки персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ_________________________________________________________________
1.1. Настоящее Положение представителя сайта https://reclin.ru — индивидуального предпринимателя Соцкова Артема Юрьевича, ИНН 595708242945, ОГРН/ОГРНИП
324595800080600 (далее также – «Оператор»), является для Оператора основополагающим документом в области совершения действий (операций) с персональными данными, в том числе для разработки иных локальных нормативных актов.
1.2. Настоящее Положение определяет политику, намерения, принципы, цели, содержание, условия и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных.
1.3. Настоящее Положение выполняет следующие функции:
- • регулирующую,
- • превентивную,
- • по минимизации возможных негативных последствий.
1.4. Настоящее Положение разработано в соответствии с:
- • Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту также — ФЗ № 152),
- • Кодексом Российской Федерации об административных правонарушениях,
- • законодательными нормативными правовыми актами Российской Федерации,
- • иными нормативными правовыми актами Российской Федерации.
1.5. Настоящее Положение обязательно для Оператора.
1.6. Основные понятия, используемые в настоящем Положении:
ст. ФЗ № 152 | термин | определение |
п. 1 ст. 3 | Персональные данные | Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных) — пользователю веб-сайта https://reclin.ru. |
Субъект персональных данных | Клиенты и контрагенты Оператора (ИП, физические лица), представители/работники клиентов и контрагентов Оператора (юридических лиц). | |
п. 2 ст. 3 | Оператор | Представитель сайта https://reclin.ru — индивидуальный предприниматель Соцков Артем Юрьевич, ИНН 595708242945, ОГРН/ОГРНИП 324595800080600, самостоятельно или совместно с другими лицами организующий (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. |
п. 3 ст. 3 | Обработка персональных данных | Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ. |
п. 4 ст. 3 | Автоматизированная обработка персональных данных | Обработка персональных данных с помощью средств вычислительной техники. |
п. 7 ст. 3 | Блокирование персональных данных | Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). |
п. 1.1 ст. 3 | Персональные данные, разрешенные Субъектом персональных данных для распространения | Персональные данные, доступ неограниченного круга лиц к которым предоставлен Субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных Субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Согласие на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку персональных данных. |
п. 11 ст. 3 | Трансграничная передача персональных данных | Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. |
ст. 7 | Конфиденциальность персональных данных | Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом. |
Веб-сайт | Совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети Интернет по сетевому адресу https://reclin.ru. |
В Положении используются термины и определения в соответствии с их значениями в ФЗ № 152.
1.7. Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
1.8. Оператор осуществляет сбор персональных данных с использованием информационно-телекоммуникационных сетей. Оператор публикует в соответствующей информационно-телекоммуникационной сети, в том числе на страницах сайта в информационно-телекоммуникационной сети Интернет — https://reclin.ru, с использованием которых осуществляется сбор персональных данных, настоящее Положение и сведения о реализуемых требованиях к защите персональных данных, а также обеспечивает возможность доступа к настоящему Положению с использованием средств соответствующей информационно-телекоммуникационной сети.
1.9. Настоящее Положение применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта https://reclin.ru, с учетом настоящего Положения, действующего законодательства РФ.
2. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ____________________
2.1. Правовые основания обработки персональных данных – совокупность нормативных правовых актов, иных документов, которые закрепляют основания и порядок обработки Оператором персональных данных и соответствуют полномочиям Оператора, в том числе:
- • Конституция Российской Федерации,
- • Гражданский кодекс Российской Федерации,
- • иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора,
- • договоры, заключаемые между Оператором и Субъектом персональных данных,
- • согласие на обработку персональных данных.
3. ЦЕЛИ СБОРА (ОБРАБОТКИ) ПЕРСОНАЛЬНЫХ ДАННЫХ_____________________________
3.1. Цели сбора (обработки) персональных данных Оператором определены из анализа правовых актов, регламентирующих деятельность Оператора, целей фактически осуществляемой Оператором деятельности и конкретных бизнес-процессов Оператора.
3.2. Требования к целям сбора (обработки) персональных данных: законность, предварительная определенность, конкретность.
3.3. Цели сбора персональных данных Оператором:
- • деловое сотрудничество:
— предоставление доступа к сервисам, информации и (или) материалам, содержащимся на сайте https://reclin.ru;
— оказание клиентам информационных услуг через сайт https://reclin.ru;
— проверка добросовестности контрагентов;
— заключение, исполнение, взаимодействие, прекращение договоров с контрагентами Оператора;
— выдача доверенностей.
- • соблюдение и исполнение требований действующего законодательства РФ:
— обеспечение защиты прав и свобод человека и гражданина при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
— исполнение судебных актов, актов, запросов иных органов и должностных лиц согласно действующему законодательству РФ;
— установление ответственности лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных;
— противодействие коррупции.
- • иные законные цели.
3.4. Оператор имеет право направлять Субъекту персональных данных уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты reclin2022@gmail.com с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».
3.5. Обезличенные данные пользователей сайта, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях пользователей на сайте, улучшения качества сайта и его содержания.
4. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА,
СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ_________________________________________________
4.1. Основные права и обязанности Оператора.
4.1.1. Права Оператора:
1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ № 152, иными нормативными правовыми актами;
2) обрабатывать персональные данные Субъекта в соответствии с заявленной целью;
3) требовать от Субъекта персональных данных предоставления достоверных персональных данных в случаях, предусмотренных настоящим Положением и законодательством РФ;
4) в случае отзыва Субъектом персональных данных согласия на обработку персональных данных продолжить обработку персональных данных без согласия Субъекта персональных данных при наличии оснований, указанных в ФЗ № 152 (в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11);
5) иные.
4.1.2. Обязанности Оператора (глава 4 ФЗ № 152):
1) организовывать обработку персональных данных в соответствии с требованиями ФЗ № 152;
2) отвечать на обращения и запросы Субъектов персональных данных и их законных представителей;
3) сообщать в Роскомнадзор по запросам необходимую информацию в порядке и сроки, предусмотренные действующим законодательством РФ;
4) обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных;
5) иные.
4.2. Основные права и обязанности Субъекта персональных данных.
4.2.1. Права Субъекта персональных данных (глава 3 ФЗ № 152):
1) получать доступ к своим персональным данным (ст. 14 ФЗ № 152);
2) допускать обработку персональных данных в целях продвижения услуг путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи только при условии дачи предварительного согласия (ст. 15 ФЗ № 152);
3) допускать принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении Субъекта персональных данных или иным образом затрагивающих его права и законные интересы, путем дачи согласия в письменной форме, если иное не предусмотрено федеральными законами (ст. 16 ФЗ № 152);
4) обжаловать действия или бездействие Оператора (ст. 17 ФЗ № 152);
5) получать информацию по обработке своих персональных данных, в том числе о наименовании, месте нахождения Оператора, третьего лица, осуществляющего обработку персональных данных;
6) иные.
4.2.2. Обязанности Субъекта персональных данных:
1) предоставлять Оператору достоверные, достаточные персональные данные;
2) уведомлять Оператора в письменном виде об изменении своих персональных данных в срок, не превышающий 3 (Три) рабочих дней с даты соответствующего изменения, если иной срок не предусмотрен действующим законодательством РФ.
3) иные.
5. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ,
ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ__________
пп № | Цель обработки персональных данных | Категории Субъектов персональных данных | Объем и категории персональных данных |
1 | Деловое сотрудничество — заключение и исполнения договоров с участием Субъектов персональных данных – контрагентов. | • контрагенты, • представители контрагентов; • иные Субъекты персональных данных, взаимодействующие с Оператором в рамках заявленной цели. | • гражданство; • ФИО; • пол; • дата и место рождения; • данные документов, удостоверяющих личность; • адрес регистрации по месту жительства, адрес фактического проживания, почтовый адрес; • ИНН; • банковские реквизиты; • реквизиты доверенностей; • контактная информация (номер телефона, факса, адрес электронной почты); • иные для достижения цели. |
2 | Деловое сотрудничество – оказание услуг дистанционным способом, в т. ч. с использованием сети «Интернет» (сайт https://reclin.ru). | • клиенты сайта Оператора; • иные Субъекты персональных данных, взаимодействующие с Оператором в рамках заявленной цели. | • гражданство; • ФИО; • пол; • дата и место рождения; • данные документов, удостоверяющих личность; • адрес регистрации по месту жительства, адрес фактического проживания, почтовый адрес; • ИНН; • банковские реквизиты; • реквизиты доверенностей; • регистрационные и авторизационные данные (логин, пароль и т.д.), записи звонков (разговоров), технические сведения о пользовательских устройствах и идентификаторы, иные данные, самостоятельно предоставленные клиентом; • контактная информация (номер телефона, факса, адрес электронной почты); • иные для достижения цели. |
3 | Соблюдение и исполнение требований действующего законодательства РФ. | • контрагенты; • представители контрагентов; • клиенты сайта Оператора; • иные Субъекты персональных данных, каким-либо образом взаимодействующие с Оператором в рамках заявленной цели. | • гражданство; • ФИО; • пол; • дата и место рождения; • данные документов, удостоверяющих личность; • сведения, содержащиеся в документах миграционного учета; • адрес регистрации по месту жительства, адрес фактического проживания, почтовый адрес; • банковские реквизиты; • реквизиты доверенностей; • СНИЛС; • ИНН; • регистрационные и авторизационные данные (логин, пароль и т.д.), записи звонков (разговоров), технические сведения о пользовательских устройствах и идентификаторы, иные данные, самостоятельно предоставленные клиентом (для клиентов веб-сайта Оператора); • иные, предусмотренные действующим законодательством РФ, соответствующие запросу. |
6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ОПЕРАТОРОМ ПЕРСОНАЛЬНЫХ ДАННЫХ_____
6.1. Оператор осуществляет следующие операции (совокупность действий, операций) по обработке персональных данных:
операция | определение |
получение (сбор) | Действия, связанные с установлением достоверности персональных данных, а также размещением их в информационных системах, на бумажных носителях Оператора. Сбор персональных данных осуществляется в пределах установленного объема, необходимого для каждой категории Субъектов, с которыми взаимодействует Оператор, и не может превышать указанный объем. |
запись | Фиксация персональных данных на бумажном носителе (в специальном журнале, т.п.), в электронной виде. |
систематизация | Упорядочение персональных данных, приведение их в согласованную, взаимоувязанную систему, позволяющую провести максимально полный учет. |
накопление | Совокупность основных процедур, таких как: выбор хранимых персональных данных, хранение персональных данных, их актуализация. |
хранение | Совокупность операций, направленных на обеспечение целостности соответствующих персональных данных. |
уточнение | Обновление или изменение персональных данных. |
извлечение | Перенос всего содержания базы данных с персональными данными или существенной части составляющих ее персональных данных на другой информационный носитель, на материальный носитель, с использованием любых технических, иных средств и в любой форме. |
использование | Действия (операции) с персональными данными, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении Субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы Субъекта персональных данных или других лиц. |
передача | — Адресное размещение соответствующих данных на носителях (бумажных, электронных) и серверах, доступ к которым имеет Оператор; — предоставление законного доступа к персональным данным третьим лицам. |
обезличивание | Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту персональных данных. |
блокирование | Временный запрет на осуществление каких-либо операций с персональными данными, которые находятся у Оператора, в информационных системах Оператора, в случаях, предусмотренных положениями локальных правовых актов Оператора и законодательства Российской Федерации. |
ликвидация (удаление, уничтожение) | Операции (действия), по изъятию соответствующих персональных данных из информационных систем Оператора, мест хранения Оператора, а также по обеспечению невозможности восстановления их содержания и (или) в результате которых уничтожаются материальные носители персональных данных. |
иные |
6.2. На сайте происходит сбор и обработка обезличенных данных о посетителях (в том числе файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика, Гугл Аналитика и других). Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера пользователя.
6.3. Принципы обработки персональных данных:
- • законность целей и способов обработки персональных данных, добросовестность и справедливость в деятельности Оператора;
- • ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- • достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- • недопустимость обработки персональных данных в целях, несовместимых со сбором персональных данных;
- • недопустимость объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
- • обеспечение точности персональных данных, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.
Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- • хранение персональных данных в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6.4. Способы обработки персональных данных:
- • с использованием средств автоматизации;
- • без использования средств автоматизации;
- • смешанная обработка.
6.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных Субъектов персональных данных осуществляется путем:
6.5.1) получения персональных данных в устной и письменной форме (посредством электронной почты) непосредственно от Субъектов персональных данных, в том числе путем ознакомления с оригиналами (копиями) необходимых документов;
6.5.2) копирования оригиналов документов (при необходимости);
6.5.3) создания документов, содержащих персональные данные, на бумажных и электронных носителях;
6.5.4) внесения персональных данных в информационные системы Оператора.
6.5.5) использования иных способов обработки персональных данных.
6.6. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от Субъектов персональных данных.
6.7. При возникновении необходимости получения персональных данных у третьей стороны необходимо известить об этом Субъекта персональных данных заранее, получить его письменное согласие и сообщить о целях, предполагаемых источниках и способах получения персональных данных.
6.8. При сборе персональных данных Субъекту персональных данных должны быть разъяснены юридические последствия отказа предоставить свои персональные данные.
6.9. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 ФЗ № 152.
6.10. Оператор обеспечивает режим конфиденциальности персональных данных.
6.11. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.
6.12. Передача персональных данных осуществляется с учетом специфики конкретной информационной системы:
— в цифровой информационной системе (предназначенной для автоматизированной обработки персональных данных) передача данных осуществляется по защищенным каналам связи, а также при задействовании средств криптозащиты;
— в информационной системе на основе бумажных носителей передача данных осуществляется посредством перемещения или копирования содержимого данных носителей.
6.13. Персональные данные Субъекта персональных данных без его согласия, по мотивированному запросу, в целях выполнения возложенных законодательством РФ функций и полномочий могут быть переданы в нижеследующие органы и организации:
— судебные органы;
— органы прокуратуры;
— органы принудительного исполнения;
— органы дознания;
— следственные органы;
— иные.
6.14. Блокирование персональных данных осуществляется Оператором с учетом специфики конкретной информационной системы:
— в цифровой информационной системе блокирование данных осуществляется посредством закрытия доступа к файлам при задействовании средств криптозащиты;
— в информационной системе на основе бумажных носителей блокирование данных осуществляется посредством закрытия доступа к соответствующей информационной системе для определенных групп лиц.
6.15. Хранение персональных данных осуществляется с учетом специфики конкретной информационной системы:
— в цифровой информационной системе хранение данных осуществляется на ПК с определенными инвентарными номерами;
— в информационной системе на основе бумажных носителей хранение данных осуществляется в архиве Оператора.
При осуществлении хранения персональных данных Оператор использует базы данных, находящиеся на территории Российской Федерации
6.16. Ликвидация персональных данных осуществляется с учетом специфики конкретной информационной системы:
— в цифровой информационной системе ликвидация данных осуществляется посредством их удаления с ПК;
— в информационной системе на основе бумажных носителей ликвидация данных осуществляется посредством уничтожения соответствующих носителей с помощью специальных технических средств.
6.17. Оператор осуществляет хранение персональных данных в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
6.18. Персональные данные на бумажных носителях хранятся у Оператора в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 № 236)).
6.19. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
6.20. Оператор прекращает обработку персональных данных в следующих случаях:
— при выявлении факта неправомерной обработки персональных данных;
— при достижении цели обработки (за исключениями, предусмотренными действующим законодательством РФ);
— по истечении срока действия или при отзыве Субъектом персональных данных согласия на обработку его персональных данных (за исключениями, предусмотренными действующим законодательством РФ), если в соответствии с ФЗ № 152 их обработка допускается только с согласия.
6.21. При обращении Субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 (Десять) рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных ФЗ № 152. Указанный срок может быть продлен, но не более чем на 5 (Пять) рабочих дней. Для этого Оператору необходимо направить Субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
6.22. Основания и сроки обработки персональных данных:
Правовое основание обработки | Срок обработки (хранения) |
Письменное согласие Субъекта персональных данных: — при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством РФ; — при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных; — иные случаи, предусмотренные действующим законодательством РФ. | В течение срока, на который было дано согласие на обработку персональных данных. |
Заключение, исполнение гражданско-правовых договоров. | В течение срока действия такого договора, если более длительный срок обработки персональных данных не установлен действующим законодательством РФ; Федеральным законом от 22.10.2004 № 125-ФЗ; Перечнем, утв. Приказом Росархива от 20.12.2019 № 236. |
Защита жизни, здоровья или иных жизненно важных интересов Субъекта персональных данных, если получение согласия Субъекта персональных данных невозможно. | До момента, когда получение согласия Субъекта персональных данных станет возможным или когда соответствующие основания, угрожающие жизни, здоровью или иным жизненно важным интересам, отпадут (в зависимости от того, какое обстоятельство наступит раньше). |
Осуществление прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы Субъекта персональных данных. | В течение срока, необходимого для осуществления прав и обеспечения законных интересов. |
6.23. Передача (распространение, предоставление, доступ, другое) персональных данных, разрешенных Субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию Субъекта персональных данных. Данное требование должно содержать сведения: фамилия, имя, отчество (при наличии), контактная информация (номер телефона, адрес электронной почты или почтовый адрес) Субъекта персональных данных, перечень персональных данных, передача которых подлежит прекращению.
Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных Субъектом персональных данных для распространения. Оператор обязан прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования Субъекта персональных данных.
6.24. Оператор при осуществлении операций с персональными данными несет административную, гражданско-правовую, уголовную ответственность за нарушения правил осуществления операций с персональными данными, установленных настоящим Положением, а также нормами федерального, регионального и муниципального законодательства Российской Федерации.
6.25. Правовые последствия нарушений правил осуществления операций с персональными данными определяются исходя из локальных актов Оператора, а также положений законодательства Российской Федерации.
7. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ__________________________________________________
7.1. Оператор при обработке персональных данных принимает необходимые меры для их защиты от неправомерных действий (доступ, уничтожение, изменение, блокирование, копирование, предоставление, распространение, иные).
7.2. Оператор регулярно пересматривает и актуализирует принимаемые меры для обеспечения наилучшей защищенности обрабатываемых персональных данных.
7.3. Меры защиты персональных данных:
- • правовые,
- • организационные,
- • технические,
в частности:
- o разработка моделей угроз;
- o применение средств защиты информации;
- o оценка эффективности принимаемых мер защиты информации;
- o установление правил доступа к персональным данным;
- o контроль за принимаемыми мерами по обеспечению безопасности;
- o размещение технических средств обработки персональных данных в пределах охраняемой территории;
- o учет машинных носителей персональных данных;
- o поддержание технических средств (охраны, видеонаблюдения, сигнализации, другое) в постоянной готовности.
7.4. Материальные носители персональных данных хранятся в помещениях Оператора, оборудованных запирающими устройствами.
7.5. Доступ к персональной информации, содержащейся в информационных системах Оператора, осуществляется по паролям.
7.6. Оператор использует антивирусное программное обеспечение с регулярно обновляемыми базами.
7.7. Оператор проводится внутренние расследования в следующих ситуациях:
— при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав Субъектов персональных данных;
— в иных случаях, предусмотренных законодательством в области персональных данных.
7.8. Операторосуществляет внутренний контроль за:
— соблюдением требований законодательства в области персональных данных, локальных нормативных актов;
— соответствием локальных нормативных актов требованиям законодательства в области персональных данных.
Внутренний контроль проходит в виде внутренних проверок.
7.8.1. В случае инцидента Оператор в течение 24 часов уведомляет Роскомнадзор:
— об инциденте;
— его предполагаемых причинах и вреде, причиненном правам Субъекта (нескольким Субъектам) персональных данных;
— принятых мерах по устранению последствий инцидента;
— представителе Оператора, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.
При направлении уведомления нужно руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 № 187.
7.8.2. В течение 72 часов Оператор обязан:
— уведомить Роскомнадзор о результатах внутреннего расследования;
— предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).
При направлении уведомления также необходимо руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 № 187.
7.9. Оператор уведомляет Субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных. Уведомляется также Роскомнадзор, если он направил обращение Субъекта персональных данных (его представителя) либо сам сделал запрос.
7.9.1. В случае уничтожения персональных данных, которые неправомерно обрабатывались, уведомление направляется в соответствии с п. 7.9 Положения.
7.10. В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Оператор уведомляет Субъекта персональных данных (его представителя) о принятых мерах в письменном виде. Оператор уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.
8. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ,
УДАЛЕНИЕ, УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ_____________________________
8.1. Оператор актуализирует, исправляет персональные данные Субъекта персональных данных либо обеспечивает их уточнение в течение 7 (Семь) рабочих дней со дня представления Субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными.
8.2. Субъект персональных данных вправе актуализировать персональные данные в случае выявления в них неточностей путем направления Оператору запроса (уведомления) на адрес электронной почты Оператора reclin2022@gmail.com с пометкой «Актуализация персональных данных».
8.3. Оператор прекращает (обеспечивает прекращение) обработки персональных данных в случае выявления неправомерной обработки персональных данных в срок, не превышающий 3 (Три) рабочих дней с даты этого выявления.
8.4. Удаление, уничтожение персональных данных производится в следующие сроки:
№ пп | Категория персональных данных | Срок удаления, уничтожения (расчет от даты наступления события)* |
1 | Цели обработки которых достигнуты / утрачены | в течение 30 дней с даты достижения цели обработки персональных данных |
2 | Согласие на обработку которых было отозвано. | в течение 30 дней с даты поступления отзыва |
3 | Срок хранения которых истек. | В течение 30 дней. |
4 | Незаконно полученные. | В течение 7 рабочих дней со дня представления сведений Субъектом персональных данных (его представителем) |
5 | Не являющиеся необходимыми для заявленной цели обработки. | В течение 7 рабочих дней со дня представления сведений Субъектом персональных данных (его представителем) |
6 | Обработка которых неправомерна / правомерность обработки которых невозможно обеспечить. | В течение 10 рабочих дней с даты выявления неправомерной обработки персональных данных |
7 | Истечение сроков исковой давности для правоотношений, в рамках которых осуществлялась обработка персональных данных. | В течение 30 дней. |
8 | Иные. | Согласно нормам действующего законодательства РФ. |
* может применяться другой срок для уничтожения персональных данных Субъекта, если: он предусмотрен договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных; он предусмотрен иным соглашением между Оператором и Субъектом персональных данных; Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных ФЗ № 152 или другими федеральными законами. |
8.5. Субъект персональных данных вправе в любой момент отозвать согласие на обработку персональных данных, направив Оператору запрос (уведомление) на адрес электронной почты Оператора reclin2022@gmail.com с пометкой «Отзыв согласия на обработку персональных данных».
8.6. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляет Оператор.
8.7. Уничтожение персональных данных осуществляет Оператор.
8.8. Оператор составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
8.9. Персональные данные на бумажных носителях уничтожаются путем измельчения, сожжения, иными способами. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления информации.
8.10. Оператор подтверждает уничтожение персональных данных согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 № 179, а именно:
— актом об уничтожении персональных данных — если данные обрабатываются без использования средств автоматизации;
— актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных — если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.
Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.
8.11. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.
9. РЕГЛАМЕНТ РЕАГИРОВАНИЯ НА ЗАПРОСЫ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ_
9.1. Субъект персональных данных или его представитель вправе:
- • лично или через представителя обратиться в офис, иное подразделение Оператора;
- • направить Оператору письменный запрос;
- • направить Оператору запрос по электронной почте на адрес reclin2022@gmail.com.
9.2. Оператор обрабатывает запросы Субъекта персональных данных как оформленные по утвержденным рекомендуемым формам, предоставляемым Оператором Субъекту персональных данных по запросу последнего, так и составленные в свободной форме, содержащие обязательные реквизиты.
Обязательные реквизиты запроса:
- • сведения о документе, удостоверяющем личность Субъекта персональных данных или его представителя;
- • сведения, подтверждающие участие Субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
- • подпись Субъекта персональных данных или его представителя.
9.3. Личные либо через представителя обращения (запросы) подаются лицу, ответственному за организацию обработки персональных данных.
9.4. Субъект обработки персональных данных вправе затребовать у Оператора формы (бланки) обращений/запросов.
9.5. Субъект обработки персональных данных вправе предъявлять Оператору повторные (аналогичные) запросы о получении информации и ознакомлении с персональными данными не ранее, чем через 30 дней после даты подачи первоначального обращения, если более короткие сроки не предусмотрены действующим законодательством РФ.
9.6. Если в обращении (запросе) Субъекта персональных данных не отражены в соответствии с требованиями Закона № 152 все необходимые сведения или Субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
9.7. Право Субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 ФЗ № 152, в том числе если доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
9.8. Оператор обязан в течение 10 (Десять) рабочих дней с момента обращения либо получения запроса безвозмездно предоставить Субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе:
- • запрошенную информацию, в частности, о подтверждении факта обработки персональных данных Оператором, правовых основаниях и целях обработки персональных данных, а также иные сведения, согласно ч. 7 ст. 14 ФЗ № 152;
- • обоснованный отказ в предоставлении информации;
- • уведомление о внесенных изменениях;
- • уведомление об устранении допущенных нарушений;
- • уведомление об уничтожении персональных данных.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим Субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
9.9. Субъект персональных данных может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору на адрес электронной почты Оператора reclin2022@gmail.com.
10. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ__________________________
10.1. Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан убедиться, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав Субъекта персональных данных.
10.2. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме Субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является Субъект персональных данных.