ПОЛОЖЕНИЕ
об обработке и защите персональных данных

1. Общие положения

1.1. Положение об обработке и защите персональных данных (далее - Положение) издано и применяется ИП Копыловой Юлией Андреевной (далее - Оператора) в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

Настоящее Положение определяет политику, порядок и условия Оператора в отношении обработки и защиты персональных данных отношении обработки всех персональных данных, получаемых от Пользователя, сбор которых осуществляется с использованием сайта или страницы в социальных сетях, а также CRM-системы, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений, связанных с обработкой и защитой персональных данных.

Все вопросы, связанные с обработкой и защитой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с законодательством Российской Федерации в области персональных данных.

1.2. Термины и определения

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Материальный носитель персональных данных – материальный объект, используемый для закрепления и хранения информации. В целях настоящего Положения под материальным носителем понимается внешний накопитель и т.п.(компьютеры, ноутбуки, смартфоны, планшеты, флешки)

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор – Индивидуальный предприниматель, осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

1.3. Целью обработки персональных данных является:

– продвижение услуг Оператора на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи;
– оказания услуг Оператором (предоставление услуг парикмахерскими и салонами красоты).

1.4. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и настоящим Положением.

Обработка организована Оператором на принципах:

- законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;

- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;

- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

- обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;

- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

1.5. Способы обработки персональных данных:

- с использованием средств автоматизации (обработка персональных данных с помощью средств вычислительной техники)

1.6. Категории персональных данных. Оператором осуществляется обработка следующих категорий персональных данных:

1) категория 1: Фамилия Имя Отчество;
2) категория 2: Номер телефона;
3) категория 3: Дата рождения

1.7. В соответствии с поставленными целями и задачами Оператор до начала обработки персональных данных назначает себя ответственным за организацию обработки персональных данных.

1.8. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных":

• Разработано и утверждено Положение об обработке персональных данных
• Назначено лицо, ответственное за организацию обработки персональных данных
• Опубликован и размещен на стенде, сайте организации документ, определяющий политику в отношении обработки персональных данных
• Разработаны локальные акты по вопросам обработки персональных данных. Обеспечивается учет машинных носителей персональных данных
• используются антивирусные средства защиты информации
• идентификация и проверка подлинности пользователя при входе в информационную систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов
• Определены места хранения персональных данных (материальных носителей)
• Определен перечень лиц, осуществляющих обработку персональных данных и имеющих к ним доступ
• Обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях
• Обеспечен учет материальных носителей
• Исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными (двери закрываются на замок)
• Обеспечена сохранность носителей персональных данных и средств защиты информации

1.9. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Оператору сайта в информационно-телекоммуникационной сети Интернет, с использованием которых осуществляется сбор персональных данных, Положение и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к Положению с использованием средств соответствующей информационно-телекоммуникационной сети.


1.10. Основания обработки персональных данных Оператором:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных

2) обработка персональных данных необходима для исполнения договора

1.11. Оператор на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".

2. Порядок обеспечения оператором прав субъекта
персональных данных

2.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.

2.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном гл. 3 и 4 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

2.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке ст. ст. 185 и 185.1 Гражданского кодекса Российской Федерации, ч. 2 ст. 53 Гражданского процессуального кодекса Российской Федерации или удостоверенной нотариально согласно ст. 59 Основ законодательства Российской Федерации о нотариате (утв. Верховным Советом Российской Федерации 11.02.1993 N 4462-1). Копия доверенности представителя, отснятая Службой ОПД с оригинала, хранится Оператором не менее трех лет, а в случае, если срок хранения персональных данных больше трех лет, - не менее срока хранения персональных данных.

2.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

2.5. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, допускается только при условии предварительного согласия субъекта персональных данных. Согласие может быть устным или письменным.

2.5.1. Индивидуальное устное общение с потенциальными потребителями производится по телефонной линии, принадлежащей Оператору, со страницы в социальных сетях, принадлежащих Оператору. Также рабочее место обеспечивается техническими средствами, позволяющими в автоматизированном режиме вести регистрацию телефонных вызовов, заявок, а также (с согласия субъекта персональных данных) вести аудиозапись переговоров. В данной ситуации аудиозапись полученного устного согласия является надлежащей.

2.5.2. Для письменного согласия достаточно простой письменной формы.
Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Оператор не докажет, что такое согласие было получено.

2.6. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

2.7. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами Российской Федерации, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

2.8. Оператор обязан устно, а по письменному требованию субъекта персональных данных или его представителя - письменно, разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

2.8.1. Текст устного разъяснения Оператор составляет в письменном виде до начала автоматизированной обработки персональных данных и хранит не менее 3 (трех) лет.

2.8.2. В случае автоматизированной обработки персональных данных различными способами разъяснение готовится отдельно для каждого способа.

2.9. Оператор обязан рассмотреть возражение, указанное в ч. 3 ст. 16 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", в течение 30 (тридцати) дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

2.10. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего расположения в рабочее время.

2.11. Оператор в течение 30 рабочих дней с момента исправления или уничтожения персональных данных по требованию субъекта персональных данных или его представителя обязан уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

3. Порядок обработки персональных данных

3.1. Цель обработки персональных данных определяет Индивидуальный предприниматель.
3.2. На основании заданной цели Оператор определяет задачи, сроки, способы и условия обработки персональных данных, перечень причастных и ответственных лиц. Такие задачи, сроки, способы, условия, лица утверждаются Оператора.

3.3. Под обработкой персональных данных подразумевается следующий перечень действий с персональными данными:

• сбор
• запись
• систематизация
• накопление
• хранение
• уточнение (обновление, изменение)
• извлечение
• использование
• передача (предоставление, доступ)
• обезличивание
• блокирование
• удаление
• уничтожение

3.4. Субъект персональных данных вправе:

3.4.1. требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения.

3.4.2. на основании запроса получать от Оператора информацию, касающуюся обработки его персональных данных.

3.5. Оператор обязуется не разглашать полученную от Пользователя информацию.

3.5.1. Не считается нарушением предоставление Оператором информации агентам и третьим лицам, действующим на основании договора с Оператором, для исполнения обязательств перед Субъектом.

3.5.2. Не считается нарушением обязательств разглашение информации в соответствии с обоснованными и применимыми требованиями закона.

3.5. Оператор обязан:

- организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых Оператором, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

- осуществлять внутренний контроль за соблюдением требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;

- организовать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов;

- в случае нарушения требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.