Политика конфиденциальности


соблюдения конфиденциальности и обеспечения безопасности персональных данных при их обработке Индивидуальным предпринимателем Горбуновым ИА

(Редакция 1), Москва,2019

1. Общие положения

Политика соблюдения конфиденциальности и обеспечения безопасности персональных данных при их обработке ИП Горбунов ИА (далее - Политика) разработана в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и применяется ко всем персональным данным, обрабатываемым ИП Горбунов ИА (далее – Оператор).

Цель Политики состоит в доведении до заинтересованных лиц необходимой информации, позволяющей понять, какие персональные данные и с какой целью собираются Оператором, каким образом они обрабатываются, какие требования к обеспечению их безопасности реализуются.

Предоставление клиентам – физическим лицам, представителям клиентов – юридических лиц Оператором услуг требует сбора и дальнейшей обработки персональных данных, позволяющих идентифицировать клиентов, представителей клиентов Оператора и осуществлять их обслуживание. Состав и объем требуемых сведений определяются действующим законодательством Российской Федерации и внутренними нормативными документами Оператора. В случае непредставления указанными лицами требуемой информации Оператор имеет право отказать им в обслуживании.

Действуя в своих интересах, клиенты, представители клиентов Оператора имеют право привлекать третьих лиц к участию в своих отношениях с Оператором. В этом случае они обязаны обеспечить предоставление требуемой информации указанными лицами или предоставить ее самостоятельно, уведомив указанных лиц о факте предоставления такой информации для ее обработки Оператору и ознакомив их с положениями настоящей Политики.

Использование услуг, предоставляемых Оператором, а также сообщение Оператору, в том числе через третьих лиц, своих персональных данных означает согласие субъектов на обработку своих персональных данных в соответствии с Политикой. В случае несогласия с этими условиями субъекты персональных данных должны воздержаться от использования услуг и предоставления своих персональных данных Оператору.

Оператор оставляет за собой право вносить необходимые изменения в Политику при изменении действующего законодательства Российской Федерации и условий своей деятельности. Политика и все изменения к ней утверждаются и вводятся в действие Приказом Оператора.

Действующая редакция Политики подлежит размещению в сети Интернет на официальном сайте Оператора https://v-topku.ru/.

2. Перечень обрабатываемых персональных данных

Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Оператором осуществляет обработку следующих персональных данных:

  • фамилия, имя, отчество (при наличии)
  • дата рождения
  • место рождения
  • номера контактных телефонов,
  • адреса электронной почты
  • текст и реквизиты сообщений на сайте Оператора
  • регистрационные данные в сети Интернет (логин-пароль, аккаунты соцсетей)
  • тип пользователя
  • общедоступные фотографии
  • профессиональные данные
  • интернет-представительства бренда, с которым зарегистрировался пользователь, включая участие в профессиональных сообществах, приложения в соцсетях и мобильные приложения
  • список брендов, с которыми взаимодействует пользователь
  • источник получения данных о пользователе
  • рекламные кампании, в которых участвовал пользователь
  • результаты участия в рекламных компаниях
  • результаты контроля достоверности сведений, предоставленных пользователем
  • каналы коммуникации, разрешенные пользователем
  • иные данные, определенные с учетом целей обработки персональных данных, указанных в разделе 3 Политики.
3. Правовые основания и цели обработки персональных данных

Оператор осуществляет обработку персональных данных в целях осуществления рекламной деятельности и иных видов деятельности, в том числе выполнения договоров поручения и/или возмездного оказания услуг по обработке персональных данных в рамках реализации своих прав и законных интересов, а также вытекающих из этого требований, предусмотренных действующим законодательством Российской Федерации, в частности: Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 21.11.1996 г. № 129-ФЗ «О бухгалтерском учете», Налоговым кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Семейным кодексом Российской Федерации, внутренними нормативными документами Оператора.

4. Лица, имеющие доступ к персональным данным

К обрабатываемым персональным данным имеют доступ работники и исполнители Оператора, которые в соответствии с их должностными или договорными обязанностями наделены такими полномочиями. Доступ иных лиц к персональным данным, обрабатываемым Операторам, может быть предоставлен исключительно в предусмотренных законом случаях либо с согласия субъекта персональных данных.

5. Способы обработки персональных данных

В целях исполнения требований действующего законодательства Российской Федерации и своих договорных обязательств Оператор использует как автоматизированную обработку персональных данных, так и неавтоматизированную обработку с использованием бумажного документооборота. Совокупность операций обработки включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

6. Сроки обработки персональных данных

Сроки обработки персональных данных, указанных в разделе 2 Политики, определяются исходя из целей обработки персональных данных, в соответствии с требованиями федеральных законов, приказа Минкультуры РФ от 25.08.2010 г. № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», а также сроком исковой давности.

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:

  • достижение целей обработки персональных данных или максимальных сроков хранения – в течение 30 дней
  • утрата необходимости в достижении целей обработки персональных данных – в течение 30 дней
  • предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки – в течение 7 дней
  • невозможность обеспечения правомерности обработки персональных данных – в течение 10 дней
  • отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных – в течение 30 дней
  • отзыв субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными потребителями при продвижении товаров и услуг – в течение 2 дней
  • истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных.
7. Реализуемые требования к защите персональных данных

Безопасность персональных данных при их обработке Оператором обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в информационной системе информационные технологии.

При обработке персональных данных в Оператором обеспечиваются:

  • проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации
  • своевременное обнаружение фактов несанкционированного доступа к персональным данным
  • недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование
  • возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним
  • постоянный контроль уровня защищенности персональных данных.
В отношении персональных данных субъекта обеспечивается их конфиденциальность, целостность и доступность. Передача персональных данных третьим лицам для выполнения договорных обязательств осуществляется только с согласия субъекта персональных данных, а при выполнении функции предоставления государственной услуги – в рамках установленной законодательством процедуры.

Оператор передает персональные данные на обработку третьим лицам, только если это необходимо для достижения целей обработки персональных данных, причем существенным условием договора является обязанность обеспечения третьей стороной конфиденциальности персональных данных и безопасности персональных данных при их обработке.

8. Порядок рассмотрения запросов

Порядок рассмотрения запросов субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе на получения сведений, предусмотренные Федеральным законом "О персональных данных" или другими федеральными законами.

Сведения, указанные настоящем разделе, должны быть предоставлены субъекту персональных данных в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Сведения, указанные в настоящем разделе, предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя.

Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Оператор обязан сообщить в порядке, предусмотренном настоящим разделом, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить безвозмездно возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона "О персональных данных" или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

В случае если сведения, указанные в настоящем разделе, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. Повторный запрос наряду со сведениями, указанными в настоящем разделе, должен содержать обоснование направления повторного запроса.

Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным настоящим разделом. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.

Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в разделе 6 настоящей Политики, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.