ПОЛИТИКА обработки персональных данных ИП Ходырев Д.П.

• 1.1.1. Настоящая «Политика обработки персональных данных» (далее – Политика) регулирует отношения, связанные с обработкой персональных данных, осуществляемой ИП Ходырев Д.П. (далее - ИП) с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, а также вопросы обеспечения безопасности персональных данных.
• 1.1.2. Настоящая Политика определяет главные принципы, которыми руководствуется ИП при обработке персональных данных в процессе осуществления своей деятельности.
• 1.1.3. Настоящая Политика разработана в соответствии с положениями действующих нормативно-правовых актов Российской Федерации, в том числе:
• - Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»;
• - Постановления Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• - Постановления правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• - Приказа ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
• 1.1.4. Целью настоящей Политики является формирование и проведение единой политики в области обеспечения безопасности персональных данных.
• 1.1.5. Действие настоящей Политики распространяется на все процессы ИП, связанные с обработкой персональных данных.
• 1.1.6. Внутренние документы ИП, затрагивающие вопросы, рассматриваемые в настоящей Политике, должны разрабатываться с учетом положений настоящей Политики и не противоречить им.
• 1.1.7. В настоящей политике рассматриваются категории персональных данных, включающие в себя любую информацию, которая относится прямо или косвенно к субъекту персональных данных;
• 1.1.8. Настоящая Политика размещена в открытом неограниченном доступе на официальном Интернет-сайте ИП (https://cyber-florist.ru/).

Ниже приводится список терминов и определений, принятых в рамках данного документа:

В данном документе используются следующие сокращения:

• 2.1.1. Обработка ПДн в ИП осуществляется на основании следующих принципов:
• - законности и справедливости целей и способов обработки ПДн;
• - соответствия целей обработки ПДн законным целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям ИП;
• - соответствия объема и содержания обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;
• - точности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;
• - недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих ПДн;
• - хранения ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, или устанавливающий срок хранения федеральный закон, договор, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
• - уничтожения или обезличивание ПДн по достижении целей их обработки, в случае утраты необходимости в достижении целей обработки или по окончании срока хранения ПДн, установленного федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому, является субъект ПДн;
• - обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.

• 2.2.1. Целями обработки ПДн являются:
• - осуществление возложенных на ИП законодательством РФ функций;
• - выполнение работ, услуг, функций, полномочий и обязанностей, определенных внутренними документами ИП, заключение ИП с клиентами и контрагентами гражданско-правовых договоров и исполнение обязательств по ним, ведение реестра заключенных клиентами договоров, выполнение договорных обязательств ИП перед клиентами и контрагентами;
• - продвижение на рынке товаров, работ, услуг ИП путем осуществления прямых контактов с клиентами с помощью средств связи, повышение и контроль за качеством обслуживания, предоставления клиенту эффективной клиентской и технической поддержки, в статистических целях;

• 2.3.1. Субъектами ПДн в ИП являются:
• - физические лица, заключившие или планирующие заключить с ИП гражданско-правовой договор (В том числе, физические лица – представители юридических лиц, заключивших или планирующих заключить с ИП гражданско-правовой договор);
• - представители (работники) клиентов и контрагентов ИП, в том числе представители потенциальных клиентов и контрагентов;
• - иные физические лица, выразившие согласие на обработку ИП их персональных данных или физические лица, обработка ПД которых необходима ИП для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных на ИП функций, полномочий и обязанностей.

• 2.4.1. В процессе своей деятельности ИП осуществляет обработку следующих персональных данных:
• - фамилия, имя, отчество;
• - пол;
• - дата и место рождения;
• - данные документа, удостоверяющего личность (тип документа, серия и номер документа дата выдачи, наименование органа, выдавшего документ, код подразделения); данные документа, подтверждающего право иностранного гражданина или лица без гражданства на пребывание (проживание) на территории РФ (тип документа, серия и номер документа, дата начала и окончания срока действия права пребывания (проживания);
• - гражданство;
• - адрес места жительства (адрес регистрации, адрес проживания);
• - электронный адрес (e-mail);
• - номера контактных телефонов;
• - идентификационный номер налогоплательщика;
• - иная информация необходимая ИП для осуществления услуг, согласно заключенному договору.

• 2.5.1. Получение и обработка ПДн осуществляется ИП с согласия субъекта ПДн.
• 2.5.2. Письменное согласие субъекта ПДн должно включать:
• - фамилию, имя, отчество, адрес субъекта ПДн/представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
• - наименование и адрес ИП;
• - наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению ИП, если обработка будет поручена такому лицу;
• - цель обработки ПДн;
• - перечень ПДн, на обработку которых дается согласие субъекта ПДн;
• - перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых ИП способов обработки ПДн;
• - срок, в течение которого действует согласие, а также порядок его отзыва;
• - подпись субъекта ПДн.
• 2.5.3. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются ИП.
• 2.5.4. Согласие на обработку ПДн может быть отозвано субъектом ПДн путем направления ИП письменного заявления в свободной форме. В этом случае ИП обязуется прекратить обработку, а также уничтожить все имеющиеся у ИП ПДн в сроки, установленные ФЗ «О персональных данных». ИП вправе обрабатывать ПДн без согласия субъекта ПДн (или при отзыве субъектом ПДн указанного согласия) при наличии оснований, указанных в ФЗ «О персональных данных».

• 2.6.1. ИП вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этой стороной договора (поручения на обработку ПДн). Лицо, осуществляющее обработку ПДн по поручению ИП, обязано соблюдать принципы и правила обработки ПДн, предусмотренные ФЗ «О персональных данных».
• 2.6.2. В поручении ИП должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии с ФЗ «О персональных данных».

• 2.7.1. Обработка ПДн ИП осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновление, изменение), извлечения, использования, передачи (распространение, предоставление, доступ), обезличивания, блокирования, удаления, уничтожения.
• 2.7.2. ИП осуществляет обработку персональных данных следующими способами:
• - автоматизированная обработка (производится при помощи средств вычислительной техники);
• - неавтоматизированная обработка (производителя без участия средств вычислительной техники);
• - смешанная обработка (производится как при помощи средств вычислительной техники, так и без них).
• 2.7.3. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных настоящей Политикой.
• 2.7.4. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
• 2.7.5. В случае необходимости осуществления трансграничной передачи персональных данных ИП, перед совершением такой передачи, обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, а также отсутствии установленных законодательством запретов или ограничений на передачу персональных данных на территорию данного иностранного государства.
• 2.7.6. Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться ИП в случаях:
• - наличия согласия в письменной форме субъекта персональных данных;
• - исполнения договора, стороной которого является субъект персональных данных;
• - в иных случаях, установленных законодательством РФ.
• 2.7.7. Распространение ПДн осуществляется только после получения согласия на распространение ПДн, оформленного отдельно от иных согласий субъекта ПДн на обработку его персональных данных, в котором должен быть определен перечень ПДн, разрешенных субъектом ПДн для распространения.
• 2.7.8. Уточнение ПДн, обрабатываемых ИП осуществляется по запросам субъектов ПДн, их законных представителей или в случае обращения уполномоченного органа по защите прав субъектов ПДн.
• 2.7.9. Основанием для уничтожения ПДн, обрабатываемых ИП, является:
• - достижение цели обработки ПДн;
• - прекращение необходимости в достижении цели обработки ПДн;
• - отзыв субъектом ПДн согласия на обработку своих ПДн, за исключением случаев, когда обработка указанных ПДн является обязательной в соответствии с законодательством Российской Федерации или договором, либо обработка может осуществляться без согласия субъекта ПДн;
• - выявление неправомерных действий с ПДн и невозможности устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты такого выявления;
• - истечение срока хранения ПДн, установленного законодательством РФ, нормативными документами ИП и согласием субъекта ПДн;
• - предписание уполномоченного органа по защите прав субъектов ПДн (Роскомнадзор) или иного уполномоченного органа.
• 2.7.10. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае прекращения необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
• 2.7.11. При обработке ПДн в ИСПДн с целью обеспечения безопасности ПДн, при наличии технической возможности, ИП стремится:
• - исключать фиксацию на одном материальном носителе ПДн и иных видов информации, а также ПДн, цели, обработки которых заведомо несовместимы;
• - для каждой категории ПДн использовать отдельный материальный носитель.

• 2.8.1. Сроки обработки указанных выше ПДн определяются в соответствии со сроком, указанным в согласии на обработку ПДн, Приказом Росархива от 20.12.2019 N 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения", а также иными требованиями законодательства Российской Федерации.
• 2.8.2. Обработка ПДн начинается с момента их получения ИП и прекращается:
• - в случае выявления неправомерной обработки ПДн ИП или лицом, действующим по поручению ИП, ИП в срок, не превышающий десяти рабочих дней с даты такого выявления, обязано прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению ИП. В случае невозможности устранения допущенных нарушений ИП в срок, не превышающий десять рабочих дней с даты выявления неправомерности действий с ПДн, уничтожает ПДн или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн ИП уведомляет субъекта ПДн или его представителя, а в случае, если обращение или запрос были направлены Роскомнадзором - также этот орган;
• - в случае достижения цели обработки ПДн ИП незамедлительно прекращает обработку ПДн и уничтожает соответствующие ПДн в срок, не превышающий тридцати рабочих дней с даты достижения цели обработки ПДн;
• - в случае отзыва субъектом ПДн согласия на обработку своих ПДн ИП прекращает обработку ПДн и уничтожает (за исключением ПДн, которые хранятся в соответствии с действующим законодательством) ПДн в срок, не превышающий тридцати рабочих дней с даты поступления указанного отзыва. Об уничтожении ПДн ИП уведомляет субъекта ПДн.
• 2.8.3. В случае отсутствия возможности уничтожения ПДн ИП осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению ИП) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

• - Назначение ответственных за организацию обработки и защиты ПДн;
• - Издание ИП документов, определяющих политику ИП в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
• - Применение правовых, организационных и технических мер по обеспечению безопасности ПДн;
• - Осуществление внутреннего контроля и аудита соответствия обработки ПДн требованиям законодательства РФ, настоящей Политике, иным локальным актам ИП;
• - Оценка возможного вреда субъектам ПДн, причиненного в случае нарушения ФЗ «О персональных данных», соотношение указанного вреда и принимаемых ИП мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных»;
• - Обеспечение обработки ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пункте 5 статьи 18 ФЗ «О персональных данных».

• - определением угроз безопасности ПДн при их обработке в ИСПДн;
• - применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные уровни защищенности ПДн;
• - применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• - оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
• - обеспечением учета и сохранности носителей ПДн;
• - своевременным уничтожением и обезличиванием ПДн;
• - обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
• - восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• - установлением правил доступа к ПДн, обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
• - контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.