ПОЛИТИКА

ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

(редакция от 01.04.2023 г.)

Утверждено: ИП Туркатов Александр Владимирович

1. Общие положения


1.1. Настоящая Политика обработки персональных данных (далее – Политика) разработана в соответствии с Федеральным законом «О персональных данных» № 152-ФЗ от 27 июля 2006 г., а также иными нормативными правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – ПДн), которые Индивидуальный предприниматель Туркатов Александр Владимирович ОГРНИП 316470400071510, ИНН 784300481486 (далее – Оператор) может получить от субъекта ПДн, являющегося стороной по гражданско-правовому договору, от пользователя сети Интернет (далее – Пользователь) во время использования им любого из сайтов, сервисов, служб, программ, продуктов или услуг Оператора, а также от субъекта ПДн, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работник).
1.2. Оператор обеспечивает защиту обрабатываемых ПДн от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
1.3. Оператор вправе вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.
1.4. Настоящая политика распространяется на ПДн, полученные как до, так и после ввода в действие настоящей Политики.
1.5. Понимая важность и ценность ПДн, заботясь о соблюдении конституционных прав граждан Российской Федерации и граждан других государств, оператор обеспечивает надёжную защиту ПДн.

2. Термины и принятые сокращения


2.1. Под ПДн понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (гражданину), к такой̆ информации, в частности, относятся: ФИО, год, месяц, число и место рождения, адрес, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, номер телефона, адрес электронной почты для связи, информация о кандидатах на вакантные должности, оставленная такими кандидатами при заполнении анкеты, включая информацию, содержащуюся в резюме кандидата, а также другая информация.
2.2. Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
2.3. Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники.
2.4. Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность ПДн, содержащихся в базе данных, а таже информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации или без использования таких средств.
2.5. ПДн, сделанные общедоступными субъектом ПДн, являются ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе.
2.6. Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
2.7. Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.
2.8. Оператор – Индивидуальный предприниматель, самостоятельно организующий обработку ПДн, определяющий цели обработки ПДн, действия (операции), совершаемые с ПДн.
Оператором является – ИП Туркатов Александр Владимирович, ОГРНИП 316470400071510, ИНН 784300481486.

3. Правовые основания и цели обработки персональных данных


3.1. Обработка и обеспечение безопасности ПДн Оператором осуществляется в соответствии с требованиями Конституции РФ, Закона о персональных данных, Трудового кодекса РФ, подзаконных актов, других определяющих случаи и особенности обработки ПДн федеральных законов РФ, методических документов ФСТЭК России и ФСБ России.
3.2. Оператор осуществляет обработку ПДн в следующих целях:
3.2.1. осуществления возложенных на Оператора законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с федеральными законами, в том числе, но не ограничиваясь: Гражданским кодексом РФ, Налоговым кодексом РФ, Трудовым кодексом РФ, Семейным кодексом РФ, Федеральным законом от 01.04.1996 г. No 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 27.07.2006 г. No 152-ФЗ «О персональных данных», Федеральным законом от 28.03.1998 г. No 53-ФЗ «О воинской обязанности и военной службе», Федеральным законом от 26.02.1997 г. No 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации», Федеральным законом от 07.02.1992 No2300-1 «О защите прав потребителей», Федеральным законом от 21.11.1996 г. No 129-ФЗ «О бухгалтерском учете», Федеральным законом от 29.11.2010 г. No 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», а также операторами ПДн по договорам поручения;
3.2.2. ПДн работников обрабатываются в целях: соблюдения трудового, налогового и пенсионного законодательства Российской Федерации, а именно: содействия работникам в трудоустройстве; расчета и начисления заработной платы; организация деловых поездок (командировок) работников; оформления доверенностей (в том числе, для представления интересов Оператора перед третьими лицами); контроля количества и качества выполняемой работы; учета рабочего времени; пользования различного вида льготами в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, а также внутренними нормативными актами Оператора; добровольного страхования жизни, здоровья и/или от несчастных случаев;
3.2.3. ПДн кандидатов на вакантные должности обрабатываются в целях: принятия решения о возможности заключения трудового договора с лицами, претендующими на открытые вакансии;
3.2.4. ПДн контрагентов-физических лиц обрабатываются в целях: заключения и исполнения договора, одной из сторон которого является физическое лицо;
3.2.5. ПДн представителей юридических лиц – контрагентов Оператора обрабатываются в целях: ведения переговоров; заключения и исполнения договоров, по которым предоставляются ПДн работников такого юридического лица для целей исполнения договора по различным направлениям хозяйственной деятельности Оператора;
3.2.6. ПДн физических лиц, данные которых обрабатываются в интересах третьих лиц – операторов ПДн на основании договора поручения операторов ПДн в целях: исполнения договоров – поручений операторов ПДн;
3.2.7. ПДн родственников работников Оператора обрабатываются в целях: исполнения требований законодательства РФ о предоставлении льгот;
3.2.8. ПДн клиентов–потребителей обрабатываются в целях: предоставления информации по товарам/услугам, проходящим акциям и специальным предложениям; анализа качества предоставляемого Оператором сервиса и улучшению качества обслуживания клиентов; информирования о статусе заказа, исполнения договора купли-продажи, заключенного дистанционным способом на сайте, в т.ч. возмездного оказания услуг; учета оказанных потребителям услуг для осуществления взаиморасчетов; доставки заказанного товара клиенту, совершившему заказ на сайте, возврата товара.



4. Обработка персональных данных



4.1. Получение ПДн.
4.1.1. Все ПДн следует получать от самого субъекта. Если ПДн субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.
4.1.2. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПДн, характере, подлежащих получению ПДн, перечне действий с ПДн, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.
4.1.3. Документы, содержащие ПДн, создаются путем: копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.); внесения сведений в учетные формы; получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).
4.1.4. Обработка ПДн ведется: с использованием средств автоматизации; без использования средств автоматизации.

4.2. Хранение ПДн.
4.2.1. ПДн субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
4.2.2. ПДн, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
4.2.3. ПДн субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
4.2.4. Не допускается хранение и размещение документов, содержащих ПДн, в открытых электронных каталогах (файлообменниках) в ИСПД.
4.2.5. Хранение ПДн в форме, позволяющей определить субъекта ПДн, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

4.3. Уничтожение ПДн.
4.3.1. Уничтожение документов (носителей), содержащих ПДн, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера;
4.3.2. ПДн на электронных носителях уничтожаются путем стирания или форматирования носителя;
4.3.3. Факт уничтожения ПДн подтверждается документально Актом об уничтожении носителей.

4.4. Передача ПДн.
4.4.1. Оператор передает ПДн третьим лицам в следующих случаях: субъект выразил свое согласие на такие действия; передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры;
4.4.2. Перечень лиц, которым передаются ПДн: Пенсионный фонд РФ для учета (на законных основаниях); налоговые органы РФ (на законных основаниях); Фонд социального страхования РФ (на законных основаниях); территориальный фонд обязательного медицинского страхования (на законных основаниях); страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях); банки для начисления заработной платы (на основании договора); правоохранительные органы в случаях, установленных законодательством; АО «Почта России», ООО «СДЭК-ГЛОБАЛ» для доставки (на основании согласия).

5. Защита персональных данных



5.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
5.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
5.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
5.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПДн.
5.5. Основными мерами защиты ПДн, используемыми Оператором, являются:
5.5.1. Назначение лица, ответственного за обработку ПДн, которое осуществляет организацию обработки ПДн, обучение и инструктаж, внутренний контроль за соблюдением работниками Оператора требований к защите ПДн;
5.5.2. Определение актуальных угроз безопасности ПДн при их обработке в ИСПД и разработка мер и мероприятий по защите ПДн;
5.5.3. Разработка политики в отношении обработки ПДн;
5.5.4. Установление правил доступа к ПДн, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПД;
5.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;
5.5.6. Применение прошедших, в установленном порядке, процедуру оценки соответствия средств защиты информации;
5.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;
5.5.8. Соблюдение условий, обеспечивающих сохранность ПДн и исключающих несанкционированный к ним доступ;
5.5.9. Обнаружение фактов несанкционированного доступа к ПДн и принятие мер;
5.5.10. Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
5.5.11. Обучение работников Оператора, непосредственно осуществляющих обработку ПДн, положениям законодательства РФ о ПДн, в том числе требованиям к защите ПДн, документам, определяющим политику Оператора в отношении обработки ПДн, локальным актам по вопросам обработки ПДн;
5.5.12. Осуществление внутреннего контроля и аудита.

6. Принципы и условия обработки персональных данных


6.1. При обработке ПДн Оператор придерживается следующих принципов:
6.1.1. обработка ПДн осуществляется на законной и справедливой основе;
6.1.2. ПДн не раскрываются третьим лицам и не распространяются без согласия субъекта ПДн, за исключением случаев, требующих раскрытия ПДн по запросу уполномоченных государственных и правоохранительных органов;
6.1.3. определение конкретных законных целей до начала обработки, в т.ч. сбора ПДн;
6.1.4. ведется сбор только тех ПДн, которые являются необходимыми и достаточными для заявленной цели обработки;
6.1.5. объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой не допускается;
6.1.6. обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
6.1.7. обрабатываемые ПДн подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6.2. Оператор не осуществляет обработку ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах.
6.3. Оператор может осуществлять обработку ПДн о состоянии здоровья субъекта ПДн в следующих случаях:
6.3.1. в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством РФ о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
6.3.2. для защиты жизни, здоровья или иных жизненно важных интересов работника либо для защиты жизни, здоровья или иных жизненно важных интересов других лиц;
6.3.3. для установления или осуществления прав работника или третьих лиц, а равно и в связи с осуществлением правосудия;
6.3.4. в соответствии с законодательством об обязательных видах страхования, страховым законодательством РФ .
6.4. Биометрические ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн) Оператором не обрабатываются.
6.5. Оператор не осуществляет трансграничную передачу ПДн.
6.6. Оператор вправе поручить обработку ПДн субъектов третьим лицам с согласия субъекта ПДн, на основании заключаемого с этими лицами договора поручения.
6.7. Лица, осуществляющие обработку ПДн на основании, заключаемого с Оператором договора поручения оператора, обязуются соблюдать принципы и правила обработки и защиты ПДн, предусмотренные Законом о персональных данных. Для каждого третьего лица в договоре определяются перечень действий (операций) с ПДн, которые будут совершаться этим лицом, осуществляющим обработку ПДн, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность ПДн при их обработке, указываются требования к защите обрабатываемых ПДн в соответствии с Законом о персональных данных.
6.8. Принятие Оператором на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, не осуществляется.

7. Права и обязанности субъекта персональных данных


и обязанности оператора



7.1. Субъект, ПДн которого обрабатываются Оператором, имеет право на доступ к его ПДн и следующим сведениям:
7.1.1. подтверждение факта обработки ПДн Оператором;
7.1.2. правовые основания и цели обработки ПДн;
7.1.3. применяемые Оператором способы обработки ПДн;
7.1.4. наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;
7.1.5. сроки обработки ПДн, в том числе сроки их хранения;
7.1.6. наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
7.1.7. обращение к Оператору и направление ему запросов;
7.1.8. обжалование действий или бездействия оператора.
7.2. Оператор обязан:
7.2.1. при сборе ПДн предоставить информацию об обработке ПДн;
7.2.2. в случаях, если ПДн были получены не от субъекта ПДн, уведомить об этом субъекта;
7.2.3. при отказе в предоставлении ПДн субъектом последнему разъясняются последствия такого отказа;
7.2.4. опубликовать в сети Интернет и обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн;
7.2.5. принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
7.2.6. давать ответы на запросы и обращения субъектов ПДн, их представителей в течение 10 дней с момента поступления такого запроса;
7.2.7. осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки ПДн при обращении субъекта ПДн;
7.2.8. уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в течение 7 рабочих дней со дня представления сведений и снять блокирование ПДн, в случае подтверждения факта неточности ПДн на основании сведений, представленных субъектом ПДн или его представителем;
7.2.9. прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Оператора, в случае выявления неправомерной обработки ПДн, осуществляемой Оператором или лицом, действующим на основании договора с Оператором, в срок, не превышающий 3 рабочих дней с даты этого выявления;
7.2.10. прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по договору с Оператором) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по договору с Оператором) по достижении цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, в случае достижения цели обработки ПДн;
7.2.11. прекратить обработку ПДн или обеспечить ее прекращение и уничтожить ПДн или обеспечить их уничтожение в случае отзыва субъектом ПДн согласия на обработку ПДн, если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн;
7.2.12. вести журнал учета обращений субъектов ПДн, в котором должны фиксироваться запросы субъектов ПДн на получение ПДн, а также факты предоставления ПДн по этим запросам.

8. Сроки обработки (хранения) персональных данных



8.1. Сроки обработки (хранения) ПДн определяются исходя из целей обработки ПДн, в соответствии со сроком действия договора с субъектом ПДн, требованиями федеральных законов, требованиями операторов ПДн, по поручению которых Оператор осуществляет обработку ПДн, основными правилами работы архивов организаций, сроками исковой давности.
8.2. ПДн, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом. Хранение ПДн после прекращения их обработки допускается только после их обезличивания.
8.3. Субъект ПДн может в любое время отозвать свое согласие на обработку ПДн, направив электронное сообщение по адресу электронной почты: art@aturi.design

либо направив письменное уведомление по адресу: 188845, Ленинградская область, Выборгский район, п/ст Приветнинское, ул. Дорожный тупик, д. 1. После получения такого сообщения обработка ПДн субъекта будет прекращена, а его ПДн будут удалены, за исключением случаев, когда обработка может быть продолжена в соответствии с действующим законодательством.

9. Особенности обработки и защиты персональных данных,


собираемых с помощью сети Интернет



9.1. Оператор обрабатывает и защищает ПДн, поступающие от пользователей сайта с ресурса - https://aturi.design (далее – сайт), а также поступающие на адрес электронной почты Оператора – art@aturi.design
9.2. Сбор оператором ПДн с помощью сети Интернет, осуществляется двумя основными способами: предоставление ПДн и автоматически собираемая информация.
9.2.1. Предоставление ПДн, включая имя, адрес электронной почты, контактный номер телефона осуществляется субъектами ПДн путем заполнения соответствующих форм на сайте и посредством направления электронных писем на корпоративный адрес Оператора.
9.3. Автоматически собираемая информация: Оператор получает некоторые виды информации при помощи технологий и сервисов, таких как веб-протоколы, cookie, веб-отметки, а также приложений и инструментов третьей стороны. Оператор использует программные средства Yandex.Metrika, Google Analytics, функционалы которых позволяют определять уникального посетителя сайта, формировать сведения о его предпочтениях и поведении на сайте.
9.3.1. Cookie – это часть данных, автоматически располагающаяся на жестком диске компьютера при каждом посещении веб-сайта. Таким образом, cookie – это уникальный идентификатор браузера для веб-сайта. Куки дают возможность хранить информацию на сервере и помогают легче ориентироваться в веб-пространстве, а также позволяют осуществлять анализ сайта и оценку результатов. Большинство веб-браузеров разрешают использование cookie, однако можно изменить настройки для отказа от работы с cookie или отслеживания пути их рассылки. При этом некоторые ресурсы могут работать некорректно, если работа cookie в браузере будет запрещена.
9.3.2. Веб-отметки. На определенных веб-страницах или электронных письмах Оператор может использовать распространенную в Интернете технологию «веб-отметки» (также известную как «тэги» или «точная GIF-технология»). Веб-отметки помогают анализировать эффективность веб-сайтов, например, с помощью измерения числа посетителей сайта или количества «кликов», сделанных на ключевых позициях страницы сайта.
При этом веб-отметки, cookie и другие мониторинговые технологии не дают возможность автоматически получать ПДн. Если пользователь сайта по своему усмотрению предоставляет свои ПДн, например, при заполнении формы обратной связи или при отправке электронного письма, то только тогда запускаются процессы автоматического сбора подробной информации для удобства пользования веб-сайтами и/или для совершенствования взаимодействия с пользователями.

10. Заключительные положения


10.1. Настоящая Политика является локальным нормативным актом Оператора. Общедоступность настоящей Политики обеспечивается публикацией на сайте Оператора.
10.2. Настоящая Политика может быть пересмотрена в любом из следующих случаев:
10.2.1. при изменении законодательства РФ в области обработки и защиты персональных данных;
10.2.2. в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия настоящей Политики;
10.2.3. по решению Оператора;
10.2.4. при изменении целей и сроков обработки ПДн;
10.2.5. при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введении новых);
10.2.6. при применении новых технологий обработки и защиты ПДн, в т. ч. передачи, хранения;
10.2.7. при возникновении необходимости в изменении процесса обработки ПДн, связанной с деятельностью Оператора.
10.3. В случае неисполнения положений настоящей Политики Оператор и его работники несут ответственность в соответствии с действующим законодательством РФ. Контроль исполнения требований настоящей Политики осуществляется лицами, ответственными за организацию обработки ПДн Оператора, а также за безопасность ПДн.
10.4. Настоящая Политика вступает в силу с момента её размещения на сайте по адресу: https://aturi.design.