Общие положения
В процессе осуществления уставной деятельности ИП Майоров Максим Вячеславович (далее Косм-ПРОФ или Администрация) обрабатывает персональные данные. Осуществляя обработку персональных данных, Косм-ПРОФ считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных. Косм-ПРОФ несет ответственность за соблюдение конфиденциальности и безопасности обрабатываемых персональных данных.
Настоящая Политика Косм-ПРОФ в области обработки и защиты персональных данных (далее - Политика) обеспечивает реализацию требований законодательства Российской Федерации в области обработки персональных данных субъектов персональных данных. В Политике раскрываются основные категории персональных данных, обрабатываемых Косм-ПРОФ, цели, способы и принципы обработки персональных данных, права и обязанности Косм-ПРОФ при обработке персональных данных, права субъектов персональных данных, а также меры, применяемые Косм-ПРОФ в целях обеспечения безопасности персональных данных при их обработке.
Настоящая Политика в отношении обработки персональных данных составлена в соответствии с требованиями Федерального закона Российской Федерации «О персональных данных» № 152-ФЗ от 27 июля 2006 года, а также иных нормативно-правовых актов Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – Персональные данные), которые Организатор (далее – Оператор) может получить от субъекта персональных данных, являющегося стороной по договору оказания услуг или гражданско-правовому договору.
Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации от 15.09. 2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативных документов уполномоченных органов.
Настоящая Политика утверждается директором Косм-ПРОФ, который осуществляет контроль соблюдения Политики.
Срок действия настоящей Политики - до последующего обновления настоящего локального акта после ее утверждения. Политика подлежит пересмотру не реже одного раза в два года. Новая версия переработанной Политики утверждается директором.
Ответственность за актуализацию настоящей Политики и текущий контроль над выполнением норм Политики возлагается на назначаемого приказом уполномоченного лица, ответственного за организацию обработки и защиты персональных данных.
Настоящая Политика является общедоступным документом (в соответствии с ч. 2 ст. 18.1. ФЗ 152). Для обеспечения неограниченного доступа к документу, текст настоящей Политики размещен в свободном доступе на Интернет сайтах Оператора.
Основные понятия
Для целей настоящей Политики используются следующие основные понятия:
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Распространение персональных данных - действия, направленные на раскрытие персональных данных субъекта неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных субъекта определенному лицу или определенному кругу лиц.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных субъекту персональных данных.
Информация - сведения (сообщения, данные) независимо от формы их представления.
Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Субъект персональных данных - идентифицированное или не идентифицированное физическое лицо, в отношении которого проводится обработка персональных данных.
Партнер - юридическое лицо или индивидуальный предприниматель, оператор персональных данных, с которым у Косм-ПРОФ имеются договорные отношения, во исполнение обязательств по которым Партнер поручает Косм-ПРОФ в качестве третьего лица обработку персональных данных Клиентов.
Клиент - физическое лицо - заказчик основного продукта (субъект персональных данных), заключивший с Косм-ПРОФ или Партнером договор на реализацию основной продукции, сформированного Косм-ПРОФ; либо физическое лицо - потребитель (субъект персональных данных), от имени которого заказчик основной продукции заключил с Косм-ПРОФ или Партнером договор на реализацию вида услуг, который формируется данным Обществом.
Правовые основания обработки персональных данных
Оператор обязан осуществлять обработку персональных данных только на законной и справедливой основе.
Политика Косм-ПРОФ в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:
Конституцией Российской Федерации;
Гражданским кодексом Российской Федерации;
Налоговым кодексом Российской Федерации;
Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральным законом № 2300-1 от 07.02.1992 года «О защите прав потребителей»;
Федеральным законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
Федеральным законом от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
Федеральным законом от 16.07.1999 года № 165-ФЗ «Об основах обязательного социального страхования»;
Федеральным законом от 08.08.2001 N 129-ФЗ (ред. от 30.10.2017) "О государственной регистрации юридических лиц и индивидуальных предпринимателей";
Постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требования к защите персональных данных при их обработке в информационных системах персональных данных»;
Постановлением Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Обработка персональных данных не может быть использована Косм-ПРОФ в целях причинения имущественного и морального вреда субъектам персональных данных, затруднения реализации их прав и свобод.
Обработка персональных данных Оператором должна ограничиваться достижением законных, конкретных и заранее определенных целей. Обработке подлежат только те персональные данные, и только в том объеме, которые отвечают целям их обработки.
Цели обработки персональных данных
Оператор проводит обработку персональных данных исключительно в целях:
осуществления возложенных на Косм-ПРОФ Уставом и законодательством Российской Федерации функций в соответствии с нормативными актами, указанными в настоящей Политике;
исполнения обязательств и осуществление прав по заключенным с Клиентами договорам о реализации предлагаемых услуг;
исполнения обязательств и осуществление прав по заключенным договорам, стороной которых либо выгодоприобретателем или поручителем по которым является Клиент, а также для заключения договоров по инициативе Клиента или договоров, по которым Клиент будет являться выгодоприобретателем или поручителем;
исполнения обязательств и осуществление прав по заключенным с Партнерами договорам о реализации предоставляемых работ (услуг);
исполнения обязательств и осуществление прав по заключенным с иными физическими лицами или юридическими лицами договорам в соответствии с нормами Гражданского кодекса Российской Федерации;
для исполнения обязательств и осуществление прав в процессе судопроизводства по искам к Косм-ПРОФ Клиентов или Партнеров, или исков Косм-ПРОФ к Клиентам или Партнерам в рамках Гражданского процессуального кодекса Российской Федерации, Арбитражного процессуального кодекса Российской Федерации, Кодекса Российской Федерации об административных правонарушениях;
для исполнения обязательств и осуществление прав при осуществлении претензионного делопроизводства по жалобам к Косм-ПРОФ Клиентов или Партнеров, или претензий Косм-ПРОФ к Клиентам и Партнерам; Гражданского процессуального кодекса Российской Федерации, Арбитражного процессуального кодекса Российской Федерации, Кодекса Российской Федерации об административных правонарушениях;
обработки персональных данных, доступ неограниченного круга лиц к которым предоставлен Клиентом либо по их просьбе;
выполнения маркетинговых и рекламных действий в целях установления и дальнейшего развития отношений с Клиентами и Партнерами;
Обработке подлежат только те персональные данные, которые отвечают указанным выше целям их обработки. Персональные данные не подлежат обработке в случае несоответствия их характера и объема поставленным целям.
Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, судимости.
В том случае если для достижения указанных выше целей обработки персональных данных, Оператору необходимо осуществить обработку биометрических персональных данных, либо касающихся состояния здоровья, то такая обработка осуществляется только на основании согласия субъекта персональных данных. Обработка специальных категорий персональных данных, должна быть незамедлительно прекращена, если устранены причины, вследствие которых она осуществлялась.
Принципы обработки персональных данных
Оператор обрабатывает персональные данные только на основании того, что субъект персональных данных принимает решение о предоставлении Косм-ПРОФ своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой форме, позволяющей подтвердить факт его получения. Как правило, такое согласие дается при заключении письменных договоров с Косм-ПРОФ или Партнерами, либо в форме совершения субъектом персональных данных конклюдентных действия на Интернет-сайте Оператора или Партнеров. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
Оператор не имеет права получать и обрабатывать персональные данные субъектов об их членстве в общественных объединениях или их профсоюзной деятельности, политических и религиозных убеждениях за исключением случаев, предусмотренных федеральными законами.
При принятии решений, затрагивающих интересы субъекта. Оператор не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки.
Обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки.
В соответствии со статьей 2 Федерального закона от 21 июля 2014 года N 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев:
обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);
обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
Категории персональных данных и сроки хранения
В Косм-ПРОФ обрабатываются следующие категории персональных данных:
персональные данные Клиентов (пользователей Интернет ресурсов www.kosm-prof.ru ) Источники получения: от субъектов персональных данных или от Партнеров, на основании заключенных договоров;
персональные данные Партнеров и их представителей. Источники получения: от субъектов персональных данных или от Партнеров, на основании заключенных договоров;
Сроки обработки и хранения персональных данных определяются в соответствие со сроком действия договора с субъектом персональных данных, сроком исковой давности, сроками хранения.
Защита персональных данных
В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных, состоящая из подсистем правовой, организационной и технической защиты.
Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование системы защиты персональных данных.
Подсистема организационной защиты включает в себя организацию структуры управления системы защиты персональных данных, разрешительной системы, защиты информации при обработке партнерами и сторонними лицами.
Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.
Основными мерами защиты персональных данных, используемыми Оператором, являются:
назначение лица ответственного за обработку персональных данных;
определение актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, и разработка (совершенствование) мер и мероприятий по защите персональных данных;
разработка политики в отношении обработки персональных данных;
установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
учет лиц, получивших доступ к обрабатываемым персональным данным, и (или) лиц, которым такая информация была предоставлена или передана;
ограничение свободного доступа в помещения, где осуществляется обработка персональных данных.
Меры защиты персональных данных при их обработке техническими средствами устанавливаются в соответствии с требованиями Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (утверждено Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»), Специальных требований и рекомендаций по технической защите конфиденциальной информации (утверждены приказом Гостехкомиссии России от 30 августа 2002 г. № 282), требований к составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»).
Меры по обеспечению защиты персональных данных признаются разумно достаточными, если исключается доступ к обрабатываемым персональным данным любых лиц без согласия их обладателя, а также обеспечивается обработка персональных данных без нарушения установленного режима защиты.
Передача персональных данных
При передаче персональных данных оператор должен соблюдать следующие требования:
не сообщать персональные данные третьей стороне без письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральным законом;
не сообщать персональные данные в коммерческих целях без письменного согласия. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия;
предупредить лиц, получивших персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные, обязаны соблюдать режим защиты (конфиденциальности).
осуществлять передачу персональных данных в пределах Организации в соответствии с настоящие Политикой;
разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции;
передавать персональные данные субъекта его законным, полномочным представителям в порядке, установленном законодательством РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции;
персональные данные могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети, сети Интернет).
При получении персональных данных не от субъекта персональных данных (за исключением случаев, если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить субъекту следующую информацию:
наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
цель обработки персональных данных и ее правовое основание;
предполагаемых пользователей персональных данных;
установленные федеральными законами права субъекта персональных данных.
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных».
Право доступа к персональным данным субъектов персональных данных осуществляются в соответствии с утвержденным перечнем лиц, имеющих доступ к персональным данным.
Трансграничная передача персональных данных
Оператор не осуществляет трансграничную передачу персональных данных;
При трансграничной передачи персональных данных, Оператор обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления такой передачи.
Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
исполнения договора, стороной которого является субъект персональных данных;
защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
Основные права субъекта персональных данных
Субъект имеет право на доступ к его персональным данным и следующим сведениям:
подтверждение факта обработки персональных данных оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые оператором способы обработки персональных данных;
наименование и место нахождения оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
обращения к оператору и направлению ему запросов;
обжалование действий или бездействия оператора.
Обязанности Оператора
Оператор обязан:
при сборе персональных данных предоставить информацию об обработке таких данных;
в случаях, если персональные данные были получены не от субъекта персональных данных, уведомить субъекта;
при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа;
опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении таких данных;
давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.
Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные пунктом 10.1 настоящей Политики, в случаях, если:
субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
предоставление субъекту персональных данных нарушает права и законные интересы третьих лиц.
Ответственность за нарушение норм, регулирующих обработку персональных данных
Должностные лица Оператора, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами и внутренними нормативными документами Косм-ПРОФ.