1. Общие положения
Настоящая Политика обработки персональных данных (далее — Политика) является основополагающим внутренним документом ИП Молдованов Михаил Александрович (далее — Оператор), регулирующим вопросы обработки персональных данных (далее — ПДн).
Политика разработана в целях обеспечения соответствия законодательству Российской Федерации методов обработки, хранения и защиты персональных данных граждан, применяемых Оператором.
В Политике раскрываются основные категории персональных данных, обрабатываемых Оператором, цели, способы и принципы обработки персональных данных, права и обязанности Оператора при обработке ПДн, права субъектов ПДн, а также перечень мер, применяемых Оператором в целях обеспечения безопасности ПДн при их обработке и хранении.
Политика определяет действия Оператора при осуществлении им функций по обработке ПДн в целях непосредственной реализации закрепленных в Политике принципов, а также является информационным ресурсом для субъектов ПДн, позволяющим определить концептуальные основы деятельности Оператора при обработке ПДн.
2. Источники нормативного правового регулирования вопросов обработки персональных данных
Политика определяется на основании следующих нормативных правовых актов Российской Федерации:
— Конституция Российской Федерации;
— Трудовой кодекс Российской Федерации;
— Гражданский кодекс Российской Федерации;
— Налоговый кодекс Российской Федерации;
— Уголовный кодекс Российской Федерации;
— Кодекс Российской Федерации об административных правонарушениях;
— Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»;
— Указ Президента Российской Федерации от 06.03.1997 N 188 «Об утверждении Перечня сведений конфиденциального характера»;
— постановление Правительства Российской Федерации от 06.07.2008 N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
— постановление Правительства Российской Федерации от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— постановление Правительства Российской Федерации от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— иные нормативные правовые акты и методические документы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспертному контролю, регулирующие правоотношения, связанные с обработкой и защитой ПДн.
3. Основные термины и понятия
Конфиденциальная информация — информация, доступ к которой ограничен в соответствии с законодательством Российской Федерации, и которая представляет коммерческую, служебную или личную тайны, охраняющиеся её владельцами;
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн), определяемая нормативными правовыми актами Российской Федерации, Перечнем ПДн, обрабатываемых Оператором, локальными актами Оператора;
Информационная система персональных данных — информационная система, представляющая собой совокупность содержащихся в базе данных ПДн и их обработку, информационных технологий и технических средств;
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
Использование персональных данных — действия (операции) с ПДн, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПДн или других лиц либо иным образом затрагивающих права и свободы субъекта ПДн или других лиц;
Блокирование персональных данных — временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;
Общедоступные персональные данные — ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
Предоставление персональных данных — действия, направленные на раскрытие ПДн определенному кругу лиц;
Распространение персональных данных — действия, направленные на раскрытие ПДн неопределенному кругу лиц, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом;
Трансграничная передача персональных данных — передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители ПДн.
4. Общие принципы и цели обработки персональных данных
4.1. Обработка ПДн Оператором осуществляется на основе следующих принципов:
4.1.1. законность целей и способов обработки ПДн;
4.1.2. соответствие целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн;
4.1.3. соответствие содержания и объема обрабатываемых ПДн целям обработки ПДн;
4.1.4. достоверность ПДн, их достаточность для целей обработки, недопустимость обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;
4.1.5. недопустимость объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
4.1.6. осуществление хранения ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки;
4.1.7. уничтожение обрабатываемых ПДн либо их обезличивание по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных».
4.2. Субъект ПДн является собственником своих ПДн и самостоятельно решает вопрос передачи Оператору своих ПДн.
4.3. Держателем ПДн является Оператор, которому субъект ПДн предоставляет право обработки своих ПДн. Оператор в пределах, установленных законодательством Российской Федерации, обладает правом выполнения всех необходимых действий (операций), связанных с обработкой ПДн, находящихся в его распоряжении.
4.4. Комплекс мер по защите ПДн направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности ПДн и обеспечивает безопасность информации в процессе деятельности Оператора.
4.5. Оператор при обработке ПДн принимает необходимые организационные и технические меры, в том числе с использованием шифровальных (криптографических) средств для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий, в соответствии с требованиями к обеспечению безопасности ПДн при их обработке.
4.6. Для защиты ПДн применяются следующие правила:
— рациональное размещение рабочих мест, при котором исключалось бы бесконтрольное использование защищаемой информации;
— знание требований нормативно-методических документов по защите ПДн;
— установление режима конфиденциальности в соответствии с требованиями по обеспечению безопасности ПДн при работе с конфиденциальными документами и базами данных;
— определение угроз безопасности ПДн при их обработке в информационных системах ПДн;
— исключение бесконтрольного пребывания посторонних лиц в помещениях Оператора, в которых ведется обработка ПДн и находятся соответствующие технические средства и системы обработки информации ПДн;
— организация порядка уничтожения персональных данных;
— своевременное выявление нарушений требований разрешительной системы доступа;
— ограничение доступа к техническим средствам и системам обработки информации, на которых содержатся ПДн;
— резервирование защищаемых данных (создание резервных копий).
4.7. Цели обработки персональных данных:
— осуществление гражданско-правовых отношений;
— ведение бухгалтерского учета;
— архивное хранение данных;
— регистрация участников на мероприятия Оператора;
— обработка данных для организации и администрирования учебных курсов;
— сбор отзывов для улучшения качества услуг;
— обработка данных для оформления платежей за услуги;
— использование данных для анализа эффективности мероприятий;
— обработка данных для выполнения требований законодательства в сфере образования;
— использование персональных данных для продвижения курсов и услуг, а также для рассылки акций и предложений.
5. Правовые основания обработки персональных данных
— Гражданский кодекс Российской Федерации;
— Трудовой кодекс Российской Федерации;
— Налоговый кодекс Российской Федерации;
— Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»;
— Федеральный закон от 06.04.2011 N 63-ФЗ «Об электронной подписи»;
— Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»;
— Федеральный закон от 29 декабря 2012 года N 273-ФЗ «Об образовании в Российской Федерации»;
— Указ Президента Российской Федерации от 06.03.1997 N 188 «Об утверждении перечня сведений конфиденциального характера»;
— Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 г. № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»;
— локальные нормативные документы Оператора;
— согласия на обработку персональных данных, получаемые от субъектов персональных данных.
6. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
Оператор обрабатывает ПДн следующих категорий субъектов:
6.1. Контрагенты и бывшие контрагенты Оператора на системе НПД:
— фамилия, имя, отчество;
— гражданство;
— дата и место рождения;
— паспортные данные;
— адрес регистрации по месту жительства;
— адрес фактического проживания;
— контактные данные;
— индивидуальный номер налогоплательщика;
— сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
6.2. Обучающиеся по программам Оператора:
— фамилия, имя, отчество;
— паспортные данные;
— адрес регистрации по месту жительства;
— контактные данные;
— данные диплома о высшем образовании;
— данные СНИЛС;
— иные ПДн, предоставляемые обучающимися в соответствии с требованиями законодательства Российской Федерации.
6.3. Пользователи сайта, которые интересуются программами мероприятий Оператора:
— фамилия, имя, отчество;
— адрес регистрации по месту жительства;
— контактные данные.
7. Порядок и условия обработки персональных данных
7.1. Обработка ПДн осуществляется с согласия субъектов ПДн на обработку их ПДн, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
7.2. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку ПДн. К обработке ПДн допускаются работники, в должностные обязанности которых входит обработка ПДн.
7.3. Обработка ПДн осуществляется путем:
— получения ПДн в устной и письменной форме непосредственно от субъектов ПДн;
— путем получения ПДн на сайте Оператора;
— получения ПДн из общедоступных источников;
— внесения ПДн в журналы, реестры и информационные системы Оператора;
— использования иных способов обработки ПДн.
7.4. Не допускается раскрытие третьим лицам и распространение ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом. Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн.
8. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
8.1. Подтверждение факта обработки ПДн, правовые основания и цели обработки ПДн, а также иные сведения, указанные в части 7 статьи 14 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», предоставляются субъекту ПДн или его представителю при обращении к Оператору либо при получении Оператором запроса субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью, а также направлен в форме бумажного документа за личной подписью.
8.2. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», в том числе если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.
8.3. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование ПДн, относящихся к этому субъекту ПДн, с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
8.4. В случае подтверждения факта неточности ПДн Оператор на основании сведений, представленных субъектом ПДн или его представителем либо Роскомнадзором, или иных необходимых документов уточняет ПДн и снимает блокирование ПДн.
8.5. В случае выявления неправомерной обработки ПДн при обращении (запросе) субъекта ПДн или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн.
8.6. При достижении целей обработки ПДн, а также в случае отзыва субъектом ПДн согласия на их обработку ПДн подлежат уничтожению, если:
— иное не предусмотрено законодательством Российской Федерации, регламентирующим предоставление государственных услуг Роспатентом;
— Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» или иными федеральными законами.
9. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»
Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», осуществляется ответственным за организацию обработки персональных данных Оператором.
Оператор для целей оценки вреда определяет одну из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения Закона о персональных данных:
Высокую в случаях:
— обработки сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, за исключением случаев, установленных федеральными законами;
— обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости, за исключением случаев, установленных федеральными законами;
— обработки персональных данных несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством Российской Федерации;
— обезличивания персональных данных, в том числе с целью проведения оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также иных исследований, не предусмотренных пунктом 9 части 1 статьи 6 Закона о персональных данных;
— поручения иностранному лицу (иностранным лицам) осуществлять обработку персональных данных граждан Российской Федерации;
— сбора персональных данных с использованием баз данных, находящихся за пределами Российской Федерации.
Среднюю в случаях:
— распространения персональных данных на официальном сайте в информационно-телекоммуникационной сети "Интернет" оператора, а равно предоставление персональных данных неограниченному кругу лиц, за исключением случаев, установленных федеральными законами;
— обработки персональных данных в дополнительных целях, отличных от первоначальной цели сбора;
— продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной оператор;
— получения согласия на обработку персональных данных посредством реализации на официальном сайте в информационно-телекоммуникационной сети "Интернет" функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных;
— осуществления деятельности по обработке персональных данных, предполагающей получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой.
Низкую в случаях:
— ведения общедоступных источников персональных данных, сформированных в соответствии со статьей 8 Закона о персональных данных;
— назначения в качестве ответственного за обработку персональных данных лица, не являющегося штатным сотрудником оператора.
Результаты оценки вреда оформляются актом оценки вреда.
Акт оценки вреда должен содержать:
а) наименование или фамилию, имя, отчество (при наличии) и адрес оператора;
б) дату издания акта оценки вреда;
в) дату проведения оценки вреда;
г) фамилию, имя, отчество (при наличии), должность лиц (лица) (при наличии), проводивших оценку вреда, а также их (его) подпись;
д) степень вреда, которая может быть причинена субъекту персональных данных.
Акт оценки вреда в электронной форме, подписанный в соответствии с федеральным законом электронной подписью, признается электронным документом, равнозначным акту оценки вреда на бумажном носителе, подписанному собственноручной подписью.
В случае если по итогам проведенной оценки вреда установлено, что в рамках деятельности по обработке персональных данных субъекту персональных данных могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.
10. Заключительные положения
Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики. Действующая редакция постоянно доступна по адресу: (адрес размещения на сайте).
Согласие на обработку персональных данных находится по адресу: (адрес размещения формы согласия).
Реквизиты Оператора:
ИП Молдованов Михаил Александрович
ИНН: 784203060796
ОГРНИП 321784700021374
Адрес: 191014, г. Санкт-Петербург, улица Некрасова 37/20
