Политика в отношении обработки персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ1.1. Настоящая политика в отношении обработки персональных данных (далее – «Политика») разработана во исполнение требований пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее – «Закон о персональных данных») в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.1.2. Настоящая Политика действует в отношении следующих категорий субъектов персональных данных, которые обрабатывает Оператор:- Работники Оператора;
- Контрагенты Оператора (физические лица);
- Представители (работники) контрагентов Оператора (юридических лиц и индивидуальных предпринимателей);
- Клиенты Оператора;
- Пользователи Сайта Оператора.
1.3. Основные понятия: Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Оператор персональных данных (Оператор) – ИП Соснин Даниил Валерьевич, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Сайт – совокупность программ для ЭВМ и иной информации, доступ к которым обеспечивается через сеть Интернет по адресу: https://ushuare.ru/.1.4. Основные права и обязанности Оператора. 1.4.1. Оператор имеет право: • самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и иными НПА; • поручить обработку персональных данных другому лицу (например, IT‑подрядчики, бухгалтерские, юридические, транспортные компании) с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных; • в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку без согласия при наличии оснований, указанных в Законе о персональных данных.1.4.2. Оператор обязан: • организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных; • отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных; • сообщать в Роскомнадзор по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса.1.5. Основные права субъектов персональных данных. Субъект персональных данных имеет право: • получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами; • требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случаях, предусмотренных законом; • обжаловать в Роскомнадзоре или в суд неправомерные действия/бездействие Оператора. Реализовать права можно, направив запрос по адресу: 603163, Нижегородская область, г. Нижний Новгород, ул. Агрономическая, д. 91А, либо на e‑mail: ushuare@gmail.com. Запрос должен быть оформлен с соблюдением требований раздела 7 настоящей Политики.1.6. Контроль за исполнением требований настоящей Политики осуществляет уполномоченное лицо, ответственное за организацию обработки персональных данных у Оператора.1.7. Ответственность за нарушение требований законодательства РФ и локальных актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством РФ. 2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХОбработка персональных данных осуществляется Оператором в соответствии с законодательством РФ и на основе следующих принципов:- законности и справедливой основы;
- ограничения обработки достижением конкретных, заранее определённых и законных целей;
- недопущения обработки, несовместимой с целями сбора;
- недопущения объединения баз данных, обработка которых осуществляется в целях, несовместимых между собой;
- обработки только тех персональных данных, которые отвечают целям их обработки;
- соответствия содержания и объёма обрабатываемых персональных данных заявленным целям;
- недопущения избыточной обработки;
- обеспечения точности, достаточности и актуальности персональных данных;
- уничтожения либо обезличивания персональных данных по достижении целей обработки или при утрате необходимости в их достижении, если иное не предусмотрено федеральным законом.
3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИПравовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе: Конституция РФ; Трудовой кодекс РФ; Гражданский кодекс РФ; Налоговый кодекс РФ; Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных»; Федеральный закон от 06.12.2011 № 402‑ФЗ «О бухгалтерском учёте»; Федеральный закон от 27.07.2006 № 149‑ФЗ «Об информации, информационных технологиях и о защите информации»; Федеральный закон от 13.03.2006 № 38‑ФЗ «О рекламе»; иные нормативные правовые акты РФ. Правовым основанием также являются договоры с субъектами персональных данных и (или) их согласие. 4. ЦЕЛИ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ4.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора.4.2. Содержание и объём обрабатываемых персональных данных соответствуют заявленным целям обработки; не допускается избыточная обработка.4.3. Категории субъектов и данные (общие положения о сроках хранения – до 5 лет после прекращения договора, если иные сроки не установлены законом):- Работники Оператора;
- Контрагенты (физические лица);
- Представители (работники) контрагентов (юридических лиц и ИП);
- Клиенты Оператора;
- Пользователи Сайта.
4.3.3. Контрагенты Оператора (физические лица) Цель: заключение и исполнение договоров. Согласие: не требуется при обработке по п. 5 ч. 1 ст. 6 Закона о персональных данных. Данные: ФИО; адрес места жительства; паспортные данные; телефон; e‑mail; ИНН; СНИЛС. Биометрия/специальные категории: не обрабатываются. Источник и срок хранения: при заключении договора; хранение – в сроки исполнения договора и/или сроки, установленные законодательством. Действия с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, блокирование, удаление, уничтожение. Способ обработки: смешанная обработка; передача по сети Интернет при необходимости исполнения договора. Раскрытие третьим лицам: не допускается без согласия, если иное не предусмотрено законом. Трансграничная передача: не осуществляется, за исключением случаев, предусмотренных законом и/или при наличии согласия субъекта.4.3.4. Представители (работники) контрагентов Цель: исполнение договоров с контрагентами. Согласие: обеспечивает соответствующий контрагент. Данные: ФИО; телефон; e‑mail; должность. Биометрия/специальные категории: не обрабатываются. Действия с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, блокирование, удаление, уничтожение. Способ обработки: смешанная обработка; возможна передача по сети Интернет. Раскрытие и трансграничная передача: не допускаются без оснований, установленных законом и/или без согласия субъекта.4.3.5. Клиенты Оператора Цели: заключение и исполнение договоров; участие в программе лояльности; направление информации рекламного характера о товарах и услугах. Согласие: не требуется при обработке по п. 5 ч. 1 ст. 6; требуется для участия в программе лояльности и получения рекламы. Данные: ФИО; телефон; e‑mail; учётные данные (логин, пароль) – при наличии личного кабинета. Биометрия/специальные категории: не обрабатываются. Сроки хранения и действия: как указано выше. Способ обработки: смешанная обработка; без передачи по внутренней сети; по Интернет – в объёме, необходимом для исполнения договора. Раскрытие и трансграничная передача: не допускаются без оснований закона и/или согласия субъекта.4.3.6. Пользователи Сайта Цели: обработка заявок на Сайте; направление рекламной информации (с согласия); ведение статистики посещений; составление профиля. Согласие: требуется до начала обработки (в т.ч. на использование cookies и идентификаторов). Данные: ФИО; телефон; e‑mail; учётные данные (логин, пароль) – при наличии; дата и время посещений; IP‑адрес; тип браузера и ОС; файлы cookies; данные, собираемые с помощью систем статистики. Биометрия/специальные категории: не обрабатываются. Действия и способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, блокирование, удаление, уничтожение; смешанная обработка. Раскрытие/трансграничная передача: не допускаются без оснований закона и/или согласия. Информационный баннер: уведомляет пользователя об обработке cookies и пользовательских данных; пользователь может дать согласие, продолжив использование Сайта, либо отказаться, отключив cookies в настройках браузера или покинув Сайт. Большинство браузеров принимают cookies автоматически; пользователь может настроить прием/блокировку и удалить cookies в любой момент. При отказе некоторые функции Сайта могут быть недоступны. 5. ПОРЯДОК СБОРА И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ5.1. При сборе персональных данных, в том числе через Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных на территории Российской Федерации (в т. ч. во исполнение требований Федерального закона № 242‑ФЗ).5.2. Лица, передавшие Оператору сведения о другом субъекте персональных данных без его согласия, несут ответственность в соответствии с законодательством РФ.5.3. Персональные данные хранятся в форме, позволяющей определить субъекта, не дольше, чем того требуют цели обработки, если иные сроки не установлены федеральным законом или договором.5.4. Обрабатываемые персональные данные подлежат уничтожению в случаях: достижения срока/целей обработки; утраты необходимости; получения отзыва согласия – если отсутствуют иные правовые основания обработки; исключения Оператора из ЕГРИП. 6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ6.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, распространения и иных несанкционированных действий, в том числе: определяет угрозы безопасности; принимает локальные акты; назначает ответственных; создаёт условия для работы с ПДн; ведёт учёт документов; организует работу ИСПДн; обеспечивает сохранность и разграничение доступа; обучает работников.6.1.1. Инциденты информационной безопасности: при выявлении нарушения защиты персональных данных (утечка, НСД, изменение, уничтожение или блокирование) Оператор: фиксирует инцидент; проводит оценку угроз; принимает меры по локализации и устранению последствий; проводит внутреннее расследование; при необходимости уведомляет Роскомнадзор в течение 72 часов с момента обнаружения (в случаях, предусмотренных законодательством); информирует субъектов при рисках для их прав и свобод; реализует корректирующие мероприятия; документирует итоги. 7. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ7.1. Подтверждение факта обработки персональных данных, правовые основания и цели обработки, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю при обращении либо при получении запроса в течение 10 рабочих дней с момента поступления обращения/запроса. Запрос должен содержать: • номер и данные документа, удостоверяющего личность субъекта или представителя; • сведения, подтверждающие участие субъекта в отношениях с Оператором (номер и дата договора и т. п.), либо иные сведения, подтверждающие факт обработки; • подпись субъекта или представителя. Запрос может быть направлен в форме электронного документа, подписанного электронной подписью в соответствии с законодательством РФ. При отсутствии необходимых сведений или прав доступа направляется мотивированный отказ. Доступ может быть ограничен по ч. 8 ст. 14 Закона о персональных данных.7.2. При выявлении неточных персональных данных по обращению субъекта/представителя или запросу Роскомнадзора Оператор блокирует такие данные на период проверки, если это не нарушает права и законные интересы субъекта или третьих лиц. При подтверждении неточности Оператор уточняет данные в течение 7 рабочих дней и снимает блокирование.7.3. При выявлении неправомерной обработки по обращению субъекта/представителя или Роскомнадзора Оператор блокирует такие данные с момента обращения/запроса.7.4. При достижении целей обработки, а также в случае отзыва согласия, персональные данные подлежат уничтожению, если: иное не предусмотрено договором; оператор не вправе обрабатывать данные без согласия на основаниях, предусмотренных законом; либо иное не предусмотрено соглашением между Оператором и субъектом персональных данных.7.5. Учёт согласий на обработку персональных данных: 7.5.1. Согласие получается в письменной форме, в форме электронного документа, подписанного КЭП, либо посредством отметки (чек‑бокса) при заполнении веб‑форм на Сайте. 7.5.2. Оператор фиксирует: дату и время; форму; содержание согласия (перечень ПДн); идентификатор субъекта (ФИО, контакты, IP‑адрес, user‑agent и др. при взаимодействии с сайтом); способ хранения (CRM, почта и т. п.). 7.5.3. Согласия хранятся весь срок обработки и не менее 3 лет после её окончания (если иное не предусмотрено законодательством РФ). 7.5.4. При отзыве согласия запись помечается как «аннулированная» с указанием даты отзыва. 8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ8.1. Оператор вправе направлять субъекту персональных данных сообщения рекламно‑информационного характера посредством e‑mail, SMS и push‑уведомлений только при наличии предварительного согласия субъекта в соответствии с ч. 1 ст. 18 Федерального закона от 13.03.2006 № 38‑ФЗ «О рекламе». Согласие может предоставляться в письменной форме или в электронной форме (чек‑бокс) на Сайте.8.2. Отказ от получения рекламных сообщений возможен по ссылке «Отписаться» в письме, а также по адресам связи Оператора: 603163, Нижегородская область, г. Нижний Новгород, ул. Агрономическая, д. 91А, e‑mail: ushuare@gmail.com.8.3. Во исполнение ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика размещается по адресу местонахождения Оператора и в свободном доступе в сети Интернет на сайте: https://ushuare.ru/policy (или иной адрес страницы Политики на Сайте).