Настоящее Положение об обработке персональных данных (далее – Положение) устанавливает порядок и условия проведения работ по обработке персональных данных (далее - ПДн) представителей юридических лиц и физических лиц, взаимодействующих с Индивидуальным предпринимателем Кайдаковой Оксаной Николаевной, действующей на основании государственной регистрации от 26.01.2024 г., ОГРНИП 324774600051147, (далее - ИП) с использованием средств автоматизации и без использования таких средств.

Положение разработано с целью обеспечения защиты прав и свобод субъекта персональных данных (далее - субъект ПДн) при обработке его ПДн.

Данное Положение разработано в соответствии с требованиями:
- Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- Постановление Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- Постановления Правительства Российской Федерации от 6 июля 2008 г. N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- Постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2011 года № 706 «Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» и пр.

Настоящее Положение вступает в силу с момента его утверждения ИП и действует бессрочно до замены его новым Положением или до наступления иных случаев, предусмотренных законодательством.

Настоящее Положение подлежит корректировке при изменении законодательных и нормативно-правовых актов, по рекомендациям надзорных органов, по результатам проверок в рамках государственного контроля (надзора), а также в целях закрепления наработанной ИП практики операций с ПДн.

Ответственность за актуализацию настоящего Положения и текущий контроль над выполнением норм настоящего Положения возлагается на ИП.

ИП учитывает требования настоящего Положения при разработке и утверждении любых внутренних документов ИП, связанных с обработкой ПДн.

В Положении применяются термины и определения в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденном Постановлением Правительства РФ от 1 ноября 2012 г. N 1119, «Положении об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденном Постановлением Правительства РФ от 15 сентября 2008 года № 687, другими нормативно-правовыми актами, регулирующими защиту прав субъектов ПДн и обеспечение безопасности ПДн.

ПДн клиентов и контрагентов ИП – это любая информация, относящаяся к прямо или косвенно определенному или определяемому клиенту и (или) контрагенту ИП (субъекту ПДн) - физическому лицу. Перечень ПДн, обрабатываемых ИП (далее – Перечень ПДн), приведен в Приложении №1.

В ходе осуществления ИП своей деятельности Перечень ПДн может быть изменен.

При получении ПДн, не указанных в Перечне ПДн, указанные данные подлежат немедленному уничтожению лицом, непреднамеренно получившим указанные данные.

Запрещается обрабатывать ПДн о расовой, национальной принадлежности клиентов и контрагентов ИП, их политических, религиозных и философских убеждениях, а также состоянии здоровья и об интимной жизни клиентов и контрагентов ИП. Указанные специальные категории ПДн в деятельности ИП не используются и не обрабатываются.

В случае если обработка специальных категорий ПДн клиентов и контрагентов ИП необходима по действующему законодательству, то такая обработка осуществляется с письменного согласия клиента и (или) контрагента ИП, за исключением случаев, предусмотренных законодательством Российской Федерации в области ПДн.

ИП не обрабатывает сведения, которые характеризуют физиологические особенности клиентов и контрагентов ИП и на основе которых можно установить их личность. В соответствие с требованиями ГОСТ Р ИСО/МЭК 19794-5–2006 «Автоматическая идентификация. Идентификация биометрическая. Данные изображения лица» система охранного видеонаблюдения, используемая ИП, не обрабатывает биометрические ПДн, на основании которых возможно идентифицировать личность клиентов и контрагентов ИП.

В случае если обработка биометрических ПДн клиентов и контрагентов ИП необходима по действующему законодательству или для осуществления деятельности ИП, то такая обработка осуществляется с письменного согласия клиента и (или) контрагента ИП, за исключением случаев, предусмотренных законодательством Российской Федерации в области ПДн.

ИП в процессе обработки ПДн не создает общедоступные источники ПДн.

В случае обработки ИП общедоступных ПДн клиентов и контрагентов ИП обязанность доказывания того, что обрабатываемые ПДн являются общедоступными, возлагается на ИП.

ИП обрабатывает ПДн с целью:
- соблюдения требований законодательства Российской Федерации о персональных данных;
- ведения реестра клиентов ИП для предоставления клиентам удобного доступа к оказываемым ИП услугам;
- ведения реестра контрагентов ИП для удобного взаимодействия с ними.

ИП собирает ПДн только в объеме, необходимом для достижения названных целей.

Допускаются иные цели обработки ПДн в случае, если указанные действия не противоречат действующему законодательству, деятельности ИП и на проведение указанной обработки получено согласие клиента и (или) контрагента ИП.

Хранение ПДн осуществляется в соответствии с согласием субъектов ПДн и в течение срока, указанного в согласии с учетом требований законодательства.

В случае отсутствия в указанных нормативно-правовых актах сроков хранения отдельных видов ПДн, указанные ПДн подлежат хранению в течение срока, указанного в согласии соответствующего субъекта ПДн.

ИП осуществляет обработку ПДн в целях соблюдения законодательных и нормативных актов, минимизации рисков (включая сохранность активов и ресурсов ИП), зависящих от ПДн клиента и (или) контрагента ИП.

Обработка ПДн клиентов и контрагентов ИП осуществляется с их согласия на обработку их ПДн, а также в иных случаях, предусмотренных статьей 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Согласие на обработку ПДн может быть дано субъектом ПДн или его законным представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя субъекта ПДн полномочия данного представителя проверяются ИП.

Форма согласия может быть в письменной, конклюдентной или иной форме, предусмотренной действующим законодательством.

При недееспособности субъекта ПДн письменное согласие на обработку его данных дает его законный представитель. ИП обязано иметь доказательство получения согласия субъекта ПДн на обработку его ПДн (в том случае, если такое согласие является необходимым).

9.1. Письменная форма согласия

В случаях, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», обработка ПДн осуществляется только с согласия в письменной форме субъекта персональных данных:
- Обработка специальных категорий ПДн,
- Обработка биометрических ПДн,
- Трансграничная передача ПДн в страны, не обеспечивающие адекватной защиты прав субъекта ПДн,
- Включение в общедоступные источники ПДн,
- Принятие решений на основании исключительно автоматизированной обработки ПДн.

Согласие субъекта ПДн на обработку его ПДн ИП должно включать в себя сведения и информацию, требующуюся для включения в согласие в соответствии с действующим законодательством и внутренними документами ИП.

9.2. Отзыв согласия

Клиент и (или) контрагент ИП может в любой момент отозвать свое согласие на обработку ПДн при условии, что подобная процедура не нарушает требований законодательства РФ.

В случае отзыва клиентом и (или) контрагентом ИП согласия на обработку ПДн ИП вправе продолжить обработку ПДн без согласия клиента и (или) контрагента ИП при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».

9.3. Обработка ПДн без согласия

В соответствии с пунктами 2 - 11 части 1 статьи 6, а также пунктом 4 статьи 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» законодательством РФ предусмотрены случаи, кода обработка ПДн может осуществляться без согласия субъекта ПДн.

Обработка ПДн ИП может проводиться с использованием средств автоматизации (информационных систем) и без таковых. Конкретный способ обработки ПДн определяется на основании процедур использования данных, определенных внутренними документами ИП.

Список информационных систем, в которых обрабатываются ПДн, их классификация, требования по обеспечению безопасности обрабатываемых в них ПДн клиентов и контрагентов ИП описаны в отдельных нормативных документах ИП.

10.1. Исключительно автоматизированная обработка ПДн

Исключительно автоматизированная обработка ПДн ИП не осуществляется.

Источниками ПДн клиентов и контрагентов ИП являются:

Анкеты, Договоры, Сайт ИП, Телефон, Копии предоставляемых документов, иные источники в соответствии с действующим законодательством Российской Федерации.

Доступ к ПДн субъекта, помимо ИП, имеют только уполномоченные ИП лица, перечень которых указывается в Согласии на обработку ПДн, подписываемом клиентом или контрагентом ИП.

Клиент ИП дает свое согласие на обработку его ПДн в целях продвижения услуг на рынке (уведомления о мероприятиях, акциях, предоставляемых скидках) путем осуществления прямых контактов с клиентом ИП с помощью средств связи, включая, но, не ограничиваясь: почтовая рассылка, рассылка SMS-сообщений, электронная почта, телефон (включая мобильный), мессенджеры, факсимильная связь, сеть Интернет.

Обработка ПДн в целях продвижения услуг на рынке путем прямых контактов с клиентом ИП с помощью средств связи допускается только с его предварительного согласия. Бремя доказывания наличия согласия лежит на ИП.

Общество обязан немедленно прекратить по требованию клиента обработку его ПДн, если это не противоречит действующему законодательству.

Передача ПДн третьим лицам (включая надзорные органы) возможна только в случаях, прямо предусмотренных законодательными и нормативными актами, либо в случае согласия субъекта ПДн.

В случае если обязанность либо возможность предоставления имеющихся в распоряжении ИП ПДн иным лицам (включая органы государственной и муниципальной власти) установлена законодательством, ИП обязан предоставить указанные данные в составе, виде и сроки, указанные в законодательных или нормативных актах.

Если обязанность предоставления ПДн фиксируется соответствующим запросом (ходатайством) уполномоченного лица, запрос подлежит обязательной проверке в целях контроля над обоснованностью предоставления запроса.

Любые запросы на раскрытие ПДн от третьих лиц, не являющихся субъектами раскрываемых ПДн, подлежат обязательному рассмотрению на предмет обоснованности.

Трансграничная передача ПДн ИП не осуществляется.

Хранение ПДн клиентов и контрагентов ИП должно осуществляться в форме, позволяющей определить клиента и контрагента ИП, не дольше, чем этого требуют цели и сроки обработки ПДн, указанные в разделе «Цели и сроки обработки персональных данных» данного Положения. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

ПДн, неиспользуемые в операционной деятельности ИП и цель обработки которых не достигнута, могут быть переведены на архивное хранение с соблюдением всех необходимых требований, предусмотренных Федеральным законом от 22 октября 2004 года № 125-ФЗ «Об архивном деле в Российской Федерации» и иными нормативными актами в сфере организации хранения, комплектования, учета и использования архивных документов независимо от их форм собственности.

Обязательным условием архивирования ПДн является обеспечение их конфиденциальности и безопасности.

Уничтожение ПДн производится ИП:
- по достижении целей обработки ПДн (при условии невозможности обезличивания ПДн);
- при получении от клиента и (или) контрагента ИП отзыва согласия на обработку ПДн (при условии, что такой отзыв не противоречит обязанностям ИП продолжать обработку ПДн в соответствии с действующим законодательством).

Решение об уничтожении должно быть принято в срок, не превышающий 3 (трех) рабочих дней с даты появления оснований к уничтожению ПДн.

Уничтожение ПДн производится в срок не превышающий 30 (тридцати) календарных дней с даты достижения цели обработки ПДн или с даты поступления от клиента отзыва согласия на обработку его ПДн.

В целях обеспечения защиты ПДн клиенты и (или) контрагенты ИП вправе получать полную информацию о своих ПДн и способе обработки этих данных.

Субъект ПДн вправе обратиться к ИП с составленным с соблюдением требования законодательства запросом об обработке ПДн ИП. В данном запросе может быть уточнена следующая информация:
1) подтверждение факта обработки ПДн ИП;
2) правовые основания и цели обработки ПДн;
3) цели и применяемые ИП способы обработки ПДн;
4) наименование и место регистрации ИП, сведения о лицах, которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с ИП или на основании федерального закона;
5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки ПДн, в том числе сроки их хранения;
7) порядок осуществления субъектом ПДн прав, предусмотренных федеральным законом;
8) информация об осуществленной или о предполагаемой трансграничной передаче данных;
9) иные сведения, предусмотренные федеральным законодательством.

Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами.

ИП не вправе заставлять клиентов к предоставлению ПДн, однако вправе требовать этого, если подобные обязательства прямо вытекают из договорных отношений с клиентами или требований нормативных и законодательных актов.

ИП при обработке ПДн клиентов и контрагентов принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

Обеспечение безопасности ПДн ИП достигается, в частности:
1) определением угроз безопасности ПДн при их обработке в информационных системах ПДн;
2) применением организационных и технических мер по обеспечению безопасности ПДн при их обработке, необходимых для выполнения требований к защите ПДн;
3) установлением правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в информационной системе.

ИП не должен обеспечивать безопасность и конфиденциальность ПДн клиентов и контрагентов в следующих случаях:
- ПДн обезличены;
- ПДн являются общедоступными или включены в источники общедоступных данных.

ИП, обрабатывающий ПДн клиентов и контрагентов ИП, и лица, которым ИП поручает обработку ПДн клиентов и контрагентов ИП, несут гражданскую, уголовную, административную и иную предусмотренную законодательством Российской Федерации ответственность за нарушение режима защиты, обработки и порядка использования этих ПДн.