1. Общие положения.
1.1. Настоящее положение об обработке и защите персональных данных клиентов (далее - Положение) индивидуального предпринимателя Гришина Алексея Вячеславовича (ОГРНИП 320784700105676, ИНН 781424677912), (далее – ИП Гришин А.В.) является локальным нормативным актом, принятым с учетом требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Закон о персональных данных).
1.2. В Положении используются термины и определения в соответствии с их значениями, определенными в Законе о персональных данных. Основные понятия, используемые в Положении:
1.2.1. Индивидуальный предприниматель Гришин Алексей Вячеславович (ОГРНИП 320784700105676, ИНН 781424677912) – лицо, которое будет являться Оператором, в случае начала сбора и обработки персональных данных клиентов;
1.2.2. Клиент – физическое лицо, потребитель услуг, предоставляемых ИП Гришиным А.В., субъект персональных данных;
1.2.3. Услуги – действия ИП Гришина А.В., обусловленные условиями заключенного договора;
1.2.4. Персональные данные – информация, сохраненная в любом формате, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекты персональных данных), которая сама по себе или в сочетании с иной информацией, имеющейся в распоряжении ИП Гришина А.В., позволяет идентифицировать личность Клиента;
1.2.5. Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таковых;
1.2.6. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение, передачу, обезличивание, блокирование, уничтожение персональных данных;
1.2.7. Передача персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц;
1.2.8. Распространение персональных данных – действия, направленные на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
1.2.9. Использование персональных данных – действия (операции) с персональными данными. Совершаемые ИП Гришиным А.В. в целя принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным способом затрагивающих права и свободы субъекта персональных данных или других лиц;
1.2.10. Конфиденциальность персональных данных – обязательное для соблюдения ИП Гришиным А.В. или иным получившим доступ к персональным данным уполномоченным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
1.2.11. Защита персональных данных – комплекс мер технического, организационного и организационно-технического, правового характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъект персональных данных);
1.2.12. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных Клиентов и (или) в результате которых уничтожаются материальные носители персональных данных.
1.2.13. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
1.2.14. Информация – сведения (сообщения, данные), независимо от формы их предоставления;
1.2.15. Документированная информация – зафиксированная на материальном носители путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
1.3. Основной целью Положения является защита персональных данных клиентов ИП Гришина А.В. от несанкционированного доступа, неправомерного их использования или утраты, а также установление ответственности лиц, имеющих доступ к персональным данным клиентов, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных.
1.4. Настоящее Положение утверждается ИП Гришиным А.В. и действует до его отмены приказом или до введения нового Положения.
1.5. Внесение изменений в Положение производится приказом ИП Гришина А.В. Изменения вступают в силу с момента подписания соответствующего приказа.
2. Категории субъектов персональных данных.
2.1. К субъектам, персональные данные которых будут обрабатываться и защищаться ИП Гришиным А.В. в соответствии с Положением, относятся:
- клиенты ИП Гришина А.В.;
- иные лица, персональные данные которых ИП Гришин А.В. будет обязан обрабатывать и хранить в соответствии с законодательством РФ.
3. Цели обработки и защиты персональных данных.
3.1. Целями обработки и защиты персональных данных ИП Гришиным А.В. являются:
- выполнение требований законодательства по определению порядка обработки и защиты данных физических лиц, являющихся клиентами ИП Гришина А.В., заполнению первичной статистической документации;
- осуществление прав и законных интересов ИП Гришина А.В. в рамках осуществления хозяйственной деятельности;
- исполнение обязанностей по договорам, одной из сторон которого является субъект персональных данных.
3.2. Персональные данные клиентов будут обрабатываться в целях предоставления ИП Гришиным А.В. услуг, согласно заключенного договора, хранения данных клиентов, предоставления консультаций, иной информации о деятельности и услугах ИП Гришина А.В. по запросам клиента, исполнения иных договорных обязательств, одной из сторон которых является клиент. ИП Гришин А.В. будет собирать данные только в объеме, необходимом для достижения названных целей.
3.3. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
4. Состав и получение персональных данных клиентов
4.1. Сведения о персональных данных клиентов являются конфиденциальными.
4.2. К персональным данным относятся:
Персональные данные клиента - фамилия, имя, отчество; - дата и место рождения; - реквизиты документа, удостоверяющего личность (для паспорта: серия, номер, дата выдачи, наименование выдавшего органа, код подразделения); - номер контактного телефона; - адрес электронной почты; - адрес места жительства; - биографические сведения; - сведения о семейном положении, детях (фамилия, имя, отчество, дата рождения); - сведения о постановке на налоговый учет (ИНН); - сведения об открытых банковских счетах; - реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащихся в них сведениях; - сведения, содержащиеся в разрешении на временное проживание, разрешении на временное проживание в целях получения образования (для иностранных граждан, временно проживающих на территории РФ), виде на жительство (для иностранных граждан, постоянно проживающих на территории РФ) и иные. Персональные данные клиента будут содержаться в документах и информационных системах, включая следующие: - информационная система 1С; - договор оказания услуг; - приложения и дополнительные соглашения к договорам оказания услуг; - акты оказанных услуг; - счета на оплату; - электронные письма; - переписка в мессенджере; - иные документы, направляемые в адрес клиента или подписываемые клиентом.
4.3. Все персональные данные ИП Гришин А.В. будет получать непосредственно от клиентов.
5. Порядок и условия обработки персональных данных
5.1. До начала обработки персональных данных ИП Гришин А.В. обязан уведомить Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций о намерении осуществлять обработку персональных данных.
5.2. Правовым основанием обработки персональных данных будет являться Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» и иные нормативные правовые акты Российской Федерации.
5.3. Обработка персональных данных будет осуществляться с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением.
5.4. Обработка персональных данных, в случае начала таковой, будет выполняться следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
5.5. Обработка персональных данных, в случае начала таковой, будет осуществляться ИП Гришиным А.В. с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.
5.6. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, будет осуществляться с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных. Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных.
5.7. К обработке персональных данных клиентов будет иметь доступ только ИП Гришин А.В., либо уполномоченное им лицо, допущенное и ознакомленное под подпись с настоящим Положением и иными локальными актами, регулирующими обработку и защиту персональных данных.
5.8. Уполномоченное лицо, имеющее право доступа к персональным данным, определяется приказом ИП Гришина А.В.
5.9. Документы, которые при наличии будут содержать персональные данные клиентов, будут храниться по месту жительства ИП Гришина А.В., в условиях, исключающих доступ к ним посторонних лиц.
5.10. ИП Гришин А.В. не будет осуществлять трансграничную передачу персональных данных.
5.11. Обработка персональных данных будет осуществляться путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставление, доступ), обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.
5.12. Сбор, запись, систематизация, хранение, накопление и уточнение (обновление, изменение) персональных данных будет осуществляться посредством:
- получения оригиналов документов либо их копий;
- копирования оригиналов документов;
- внесения сведений в учетные формы на бумажных и электронных носителях;
- внесения персональных данных в информационные системы персональных данных.
5.13. ИП Гришин А.В. использует следующие информационные системы: корпоративная электронная почта.
5.14. Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных будет осуществляться в случаях и в порядке, предусмотренных законодательством в области персональных данных и настоящим Положением.
6. Защита персональных данных от несанкционированного доступа.
6.1. ИП Гришин А.В., в случае начала обработки персональных данных, будет обязан принимать необходимые организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
6.2. С целью защиты персональных данных соответствующими приказами будут назначены и утверждены:
- уполномоченное лицо, ответственное за организацию обработки персональных данных;
- формы согласия на обработку персональных данных и согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
6.3. Для эффективной защиты персональных данных ИП Гришиным А.В. будут предприниматься следующие меры:
6.3.1. ИП Гришин А.В. и уполномоченное им лицо будут соблюдать порядок получения, учета и хранения материальных носителей персональных данных;
6.3.2. Будут применяться организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных;
6.3.3. ИП Гришиным А.В. будут определяться угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
6.3.4. Уполномоченное ИП Гришиным А.В. лицо, ответственное за обработку персональных данных, должно быть ознакомлено с настоящим Положением под подпись. Кроме того, уполномоченное лицо должно быть ознакомлено с положениями законодательства Российской Федерации о персональных данных, в том числе в требованиями о защите персональных данных, и пройти соответствующий инструктаж/обучение;
6.3.5. Уполномоченное лицо, виновное в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекается к ответственности, в соответствии с действующим законодательством Российской Федерации;
6.3.6. Доступ к персональным данным клиентов ИП Гришина А.В. уполномоченного лица, не прошедшего инструктаж/обучение – запрещается;
6.3.7. Документы, содержащие персональные данные клиентов, хранятся по месту жительства ИП Гришина А.В.
6.4. Защита доступа к электронным базам данных, содержащим данные клиентов, обеспечивается: - использованием антивирусного программного обеспечения;
- использованием лицензионных программных продуктов, предотвращающих несанкционированный доступ третьих лиц к персональным данным;
- доступ к персональным данным, осуществляется по индивидуальным паролям, предоставление доступа иным лицам не допускается;
- передачей данных по защищенным каналам связи;
- ведение учета материальных носителей информации.
6.5. Копировать и делать выписки персональных данных разрешается исключительно в служебных целях.
6.6. В случаях, установленных законодательством Российской Федерации, раскрытие персональных данных возможно сотрудникам правоохранительных органов, при наличии законных оснований и надлежащим образом оформленных документов, подтверждающих такие основания.
7. Сроки обработки и хранения персональных данных
7.1. Обработка персональных данных ИП Гришиным А.В. будет прекращена в следующих случаях:
- при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки – в течение 3 рабочих дней;
- при достижении целей обработки;
- истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
- при обращении субъекта персональных данных к ИП Гришину А.В. с требованием о прекращении обработки персональных данных.
Срок прекращения обработки – не более 10 рабочих дней с даты получения требования (с возможностью продления не более чем на 5 рабочих дней, если направлено уведомление о причинах продления).
7.2. Персональные данные будут храниться в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели их обработки.
7.3. Персональные данные на бумажных носителях будут храниться в течение сроков хранения документов, для которых эти сроки предусмотрены Федеральным законом от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации».
7.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствуют сроку хранения персональных данных на бумажных носителях.
8. Порядок блокирования и уничтожения персональных данных
8.1. ИП Гришин А.В. будет блокировать персональные данные в порядке и на условиях, предусмотренных законодательством Российской Федерации в области персональных данных.
8.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются.
8.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для целей обработки, уничтожаются в течение 7 рабочих дней со для предоставления субъектом персональных данных (его представителем) подтверждающих сведений.
8.4. Персональные данные, обработка которых прекращена из-за неправомерности или правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления неправомерной обработки.
8.5. Персональные данные уничтожаются в течение 30 календарных дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого является субъект персональных данных, иным соглашением между ним и ИП Гришиным А.В., либо если ИП Гришин А.В. не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
8.6. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 календарных дней.
8.7. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 календарных дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может быть предусматривать договор, стороной которого является субъект персональных данных, иное соглашение между ним и ИП Гришиным А.В. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.д.) и/или сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляет ИП Гришин А.В. или уполномоченное им на основании приказа лицо.
8.8. ИП Гришин А.В. или уполномоченное им на основании приказа лицо, ответственное за обработку персональных данных, составляет акт с указанием документов, иных материальных носителей и/или сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
8.9. Персональные данные на бумажных носителях уничтожаются с использованием шредера.
8.10. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
8.11. Непосредственно после уничтожения персональных данных оформляется акт об их уничтожении.
9. Процедура, направленная на выявление и предотвращение нарушений законодательства в сфере персональных данных.
9.1. К процедурам, направленным на выявление и предотвращение нарушений законодательства в сфере персональных данных и устранение таких последствий, относятся:
9.1.1. Реализация мер, направленных на обеспечение выполнения ИП Гришиным А.В. своих обязанностей;
9.1.2. Выполнение предусмотренных законодательством обязанностей, возложенных на ИП Гришина А.В., когда (если) он станет Оператором;
9.1.3. Обеспечение личной ответственности уполномоченного приказом лица, осуществляющем обработку и/или имеющим доступ к персональным данным;
9.1.4. Организация внутреннего контроля соответствия обработки персональных данных данным требованиям к защите, установленным действующим законодательством и настоящим Положением;
9.1.5. Сокращение объема обрабатываемых персональных данных;
9.1.6. Стандартизация операций, осуществляемых с персональными данными;
9.1.7. Проведение необходимых мероприятий по обеспечению безопасности персональных данных и носителей персональных данных;
9.1.8. Проведение периодических проверок условий обработки персональных данных;
9.1.9. Повышение осведомленности личной и уполномоченного приказом лица, имеющим доступ к персональным данным, путем ознакомления с положениями законодательства РФ (с изменениями и дополнениями на актуальные даты), организации обучения;
9.1.10. Блокирование, внесение изменений и уничтожение персональных данных в предусмотренных действующим законодательством случаях;
9.1.11. Оповещение субъектов персональных данных в предусмотренных действующим законодательством Российской Федерации случаях;
9.1.12. Разъяснение прав субъектам персональных данных в вопросах обработки и обеспечения безопасности персональных данных;
9.1.13. Публикация и обеспечение доступа неограниченному кругу лиц документов, определяющих политику в отношении обработки персональных данных.
9.2. Указанный перечень процедур может дополняться.
10. Доступ к персональным данным
10.1. Право доступа к персональным данным будут иметь:
- ИП Гришин А.В.;
- уполномоченное приказом лицо.
10.2. Доступ иных лиц, будет осуществляться строго на основании письменного разрешения (приказа) ИП Гришина А.В.
10.3. Субъект персональных данных имеет право:
10.3.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей данные клиента;
10.3.2. Требовать от ИП Гришина А.В. уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для клиента персональных данных;
10.3.3. Получать от ИП Гришина А.В.:
-перечень обрабатываемых данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их устранения;
- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
10.4. Передача информации третьей стороне возможна исключительно при письменном согласии субъекта персональных данных.
11. Ответственность за нарушение норм, регулирующих обработку персональных данных
11.1. Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных, привлекаются к материальной ответственности, в порядке, установленном законодательством РФ. Кроме того, они могут быть привлечены к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами Российской Федерации.
11.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вредя осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.