Политика в отношении обработки персональных данных

ИНДИВИДУАЛЬНЫЙ ПРЕДПРИНИМАТЕЛЬ

Белоцерковская Юлия Михайловна

ИНН 772746358426 ОГРНИП 311774619900717

Политика в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика Индивидуального предпринимателя Белоцерковской Юлии Михайловны (далее – Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика действует в отношении всех персональных данных, которые обрабатывает Индивидуальный предприниматель Белоцерковская Юлия Михайловна (далее – Оператор).
1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.
1.5. Основные понятия, используемые в Политике:
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:

сбор;
запись;
систематизацию;
накопление;
хранение;
уточнение (обновление, изменение);
извлечение;
использование;
передачу (распространение, предоставление, доступ);
обезличивание;
блокирование;
удаление;
уничтожение;

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.6. Основные права и обязанности Оператора.
1.6.1. Оператор имеет право:
· самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
· поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
· в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
1.6.2. Оператор обязан:
· организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
· отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
· сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по запросу этого органа необходимую информацию;
· в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.
1.7. Основные права субъекта персональных данных. Субъект персональных данных имеет право:
· получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
· требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
· дать предварительное согласие на обработку персональных данных, распространение персональных данных в целях продвижения на рынке товаров, работ и услуг;
· обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.
1.8. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.
1.9. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов ИП в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

2. Цели обработки персональных данных

2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.3. Обработка Оператором персональных данных осуществляется в следующих целях:
· Обеспечение соблюдения законодательства РФ в сфере образования (дополнительное образование для детей и взрослых);
· Ведение кадрового и бухгалтерского учета;
· Обеспечение соблюдение трудового законодательства;
· Обеспечение налогового законодательства;
· Обеспечение соблюдения пенсионного законодательства;
· Обеспечение соблюдения страхового законодательства РФ;
· Обеспечение соблюдения законодательства РФ о противодействии терроризм;
· Обеспечение соблюдения законодательства РФ об исполнительном производстве;
· Участие лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
· Подготовка, заключение и исполнение гражданско-правового договора;
· Продвижение товаров, работ, услуг на рынке;
· Обеспечение соблюдения законодательства РФ в сфере здравоохранения;
· Подбор персонала (соискателей) на вакантные должности оператора
2.4. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.

3. Правовые основания обработки персональных данных

3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
· Конституция Российской Федерации;
· Гражданский кодекс Российской Федерации;
· Трудовой кодекс Российской Федерации; иные нормативные правовые акты, содержащие нормы трудового права;
· Налоговый кодекс Российской Федерации;
· Уголовный кодекс Российской Федерации;
· Кодекс административного судопроизводства Российской Федерации;
· Гражданский процессуальный кодекс Российской Федерации;
· Арбитражный процессуальный кодекс Российской федерации;
· Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
· Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
· Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
· Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
· Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
· Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного законодательства и обязательного социального страхования»;
· Федеральный закон от15.12.2001 № 166-ФЗ «О государственном пенсионном обеспечении в Российской Федерации»;
· Федеральный закон от 28.12.2013 № 400-ФЗ «О страховых пенсиях»;
· Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
· Федеральный закон от 6 апреля2011 г. N 63-ФЗ «Об электронной подписи»;
· Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
· Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
· Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
· Федеральный закон от 24.07.998 года № 124-ФЗ «Об основных гарантиях прав ребенка в Российской Федерации»;
· Федеральный закон от 02.10.2007 № 229-ФЗ «Об исполнительном производстве»;
· Постановление Правительства РФ от 27.11.2006 № 719 «Об утверждении Положения о воинском учете»;
· Закон РФ от 19.04.1991 № 1032-1 «О занятости населения в Российской Федерации»;
· Постановление Правительства РФ от 15.09.2020 № 1441 «Об утверждении Правил оказания платных образовательных услуг»;
· постановление Правления ПФР от 31.10.2022 № 245п «Об утверждении единой формы
«Сведения для ведения индивидуального (персонифицированного) учета и сведения о начисленных страховых взносах на обязательное социальное страхование от несчастных случаев на производстве и профессиональных заболеваний (ЕФС-1)» и порядка ее заполнения»;
· приказ Минздрава России от 28.01.2021 № 29н «Об утверждении порядка проведения обязательных предварительных и периодических медицинских осмотров работников, предусмотренных частью четвертой статьи 213 Трудового кодекса Российской Федерации, перечня медицинских противопоказаний к осуществлению работ с вредными и (или) опасными производственными факторами, а также работам, при выполнении которых проводятся обязательные предварительные и периодические медицинские осмотры»;
· Приказ Минобрнауки России от 25.10.2013 № 1185 «Об утверждении примерной формы договора об образовании на обучение по дополнительным образовательным программам»;
· Приказ Федеральной службы по надзору в сфере образования и науки от 04 августа 2023 г.
№ 1493 «Об утверждении Требований к структуре официального сайта образовательной организации в информационно-телекоммуникационной сети «Интернет» и формату представления информации»;
· иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
3.2. Правовым основанием обработки персональных данных также являются:
· договоры, заключаемые между Оператором и субъектами персональных данных;
· согласие субъектов персональных данных на обработку их персональных данных.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разд. 2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных.
4.2.1. Кандидаты для приема на работу к Оператору – для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима:
· фамилия, имя, отчество;
· пол;
· гражданство;
· дата и место рождения;
· контактные данные;
· сведения об образовании, опыте работы, квалификации;
· иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.
4.2.2. Работники и бывшие работники Оператора – для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима:
· фамилия, имя, отчество;
· пол;
· гражданство;
· дата и место рождения;
· изображение (фотография);
· паспортные данные;
· адрес регистрации по месту жительства;
· адрес фактического проживания;
· контактные данные;
· индивидуальный номер налогоплательщика;
· страховой номер индивидуального лицевого счета (СНИЛС);
· сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
· семейное положение, наличие детей, родственные связи;
· сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
· данные о регистрации брака;
· сведения о воинском учете;
· сведения об инвалидности;
· сведения об удержании алиментов;
· сведения о доходе с предыдущего места работы;
· иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
4.2.3. Члены семьи работников Оператора – для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
· фамилия, имя, отчество;
· степень родства;
· год рождения;
· иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
4.2.4. Клиенты и контрагенты Оператора (физические лица) – для целей осуществления своей деятельности в соответствии с видами, осуществления пропускного режима:
· фамилия, имя, отчество;
· дата и место рождения;
· паспортные данные;
· адрес регистрации по месту жительства;
· контактные данные;
· замещаемая должность;
· индивидуальный номер налогоплательщика;
· номер расчетного счета;
· иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.
4.2.5. Представители (работники) клиентов и контрагентов Оператора (юридических лиц) – для целей осуществления своей деятельности в соответствии с их уставами и осуществления пропускного режима:
· фамилия, имя, отчество;
· паспортные данные;
· контактные данные;
· замещаемая должность;
· иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.
4.3. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.
4.4. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

5. Порядок и условия обработки персональных данных

5.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
5.3. Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами:
· неавтоматизированная обработка персональных данных;
· автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
· смешанная обработка персональных данных.
5.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
5.5. Обработка персональных данных для каждой цели обработки, указанной в п. 2.3 Политики, осуществляется путем:
· получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
· внесения персональных данных в журналы, реестры и информационные системы Оператора;
· использования иных способов обработки персональных данных.
5.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 № 18.
5.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.8. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
· определяет угрозы безопасности персональных данных при их обработке;
· принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
· назначает лицо, ответственное за обеспечение безопасности персональных данных, в том числе в информационных системах Оператора;
· создает необходимые условиядля работы с персональными данными;
· организует учет документов, содержащих персональные данные;
· организует работу с информационными системами, в которых обрабатываются персональные данные;
· хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
· организует обучение работника Оператора, осуществляющего обработку персональных данных.
5.9. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
5.9.1. Персональные данные на бумажных носителях хранятся у оператора в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», а так же сроками исковой давности.
5.9.2. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
5.10. Оператор прекращает обработку персональных данных в следующих случаях:
· выявлен факт их неправомерной обработки;
· достигнута цель их обработки;
· истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия.
5.11. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных.
5.12. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных.
Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
5.13. При сборе персональных данных, в том числе посредством информационно- телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

6. Актуализация, исправление, удаление, уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

6.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных,предоставляются Оператором субъектуперсональных данных или его представителю в течение 10 рабочих дней с моментаобращения либо получениязапроса субъекта персональных данныхили его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней.Для этого Оператору следует направить субъектуперсональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос должен содержать:
· номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
· сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
· подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта персональных данных не отраженыв соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладаетправами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
6.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение
семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
6.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
6.4. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи(предоставления, распространения) персональных данных (доступа к персональным данным),повлекшей нарушение прав субъектов персональных данных, Оператор:
· в течение 24 часов – уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
· в течение 72 часов – уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
6.5. Порядок уничтожения персональных данных Оператором.
6.5.1. Условия и сроки уничтожения персональных данных Оператором:
· достижение цели обработки персональных данных либо утрата необходимости достигать эту цель – в течение 30 дней;
· достижение максимальных сроков хранения документов, содержащих персональные данные, – в течение 30 дней;
· предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, – в течение семи рабочих дней;
· отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, – в течение 30 дней.
6.5.2. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
· иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
· оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
· иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
6.5.3. Уничтожение персональных данных осуществляет комиссия, созданная приказом Индивидуального предпринимателя.
6.5.4. Способы уничтожения персональных данных устанавливаются в локальных нормативных актах Оператора.
Приложения: Приложение №1. Форма приказа о назначении оператором ответственного за организацию обработки персональных данных (не подлежит опубликованию на сайте).
Приложение №2. Положение об обработке и защите персональных данных работников (иных лиц).
Приложение №3. Защита персональных данных. Процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений
Приложение №4. Положение о применении правовых, организационных и технических мер по обеспечению безопасности персональных данных.
Приложение №5. Положение о внутреннем контроле оператора при обработке персональных данных
Приложение №6. Порядок оценки вреда, который может быть причинен субъектам персональных данных
Приложение №7. Положение об ознакомлении работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Приложение №8. Политика в отношении обработки персональных данных на официальном сайте

Приложение №2.

Положение об обработке

и защите персональных данных

работников (иных лиц)

Положение

об обработке и защите персональных данных работников (иных лиц)

индивидуального предпринимателя Белоцерковской Юлии Михайловны

1.Общие положения
1.1. Настоящее Положение разработано в соответствии с Федеральным законом от 27.07.2006
№ 152-ФЗ «О персональных данных», Трудовым кодексом РФ, Федеральным законом от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства Российской Федерации от 15.09.2008 № 687, Требованиями к подтверждению уничтожения персональных данных, утвержденными Приказом Роскомнадзора от 28.10.2022 № 179, и иным действующим законодательством Российской Федерации.
1.2. Настоящее Положение является локальным нормативным актом Индивидуального предпринимателя Белоцерковской Юлии Михайловны (далее – ИП).
1.3. Настоящее Положение обязательно для соблюдения всеми сотрудниками ИП.
1.4. Настоящее Положение вступает в действие с момента утверждения его приказом руководителя ИП и действует до утверждения нового Положения.
1.5. Все изменения и дополнения к настоящему Положению должны быть утверждены приказом руководителя ИП.
1.6. Контроль за соблюдением настоящего Положения возлагается на ответственное лицо, определяемое приказом руководителя ИП.
1.7. В Положении используются термины и определения в соответствии с их значениями, определенными в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).

2. Категории субъектов персональных данных
2.1. К субъектам, персональные данные которых обрабатываются ИП в соответствии с Положением, относятся:
· кандидаты для приема на работу к ИП;
· работники ИП;
· бывшие работники ИП;
· обучающиеся ИП;
· родители, законные представители обучающихся ИП;
· клиенты и контрагенты;
· посетители сайта;
· иные лица, персональные данные которых ИП обязан обрабатывать в соответствии с трудовым законодательством и иными актами, содержащими нормы трудового права.

3. Цели обработки персональных данных, категории (перечни) обрабатываемых персональных данных
3.1. Персональные данные обрабатываются ИП в целях:

· Обеспечение соблюдения законодательства РФ в сфере образования (дополнительное образование для детей и взрослых);
Категории персональных данных
общие персональные данные
- Перечень персональных данных
Общие персональные данные
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; фото-видео изображение лица;
Специальные персональные данные
сведения о состоянии здоровья; сведения о судимости;
- Категории субъектов, персональные данные которых обрабатываются: Работники, соискатели, родственники работников, уволенные работники, посетители сайта, учащиеся, законные представители.

·Ведение кадрового и бухгалтерского учета
Категории персональных данных
общие персональные данные, специальные персональные данные, биометрические персональные данные
- Перечень персональных данных
Общие персональные данные
Фамиля, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), отношение к воинской обязанности, сведения о воинском учете, сведения об образовании, фото-видео изображение лица.
Специальные персональные данные
Сведения о состоянии здоровья, сведения о судимости.
Биометрические персональные данные
Данные изображения лица, полученные с помощью фото-видео устройств, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
- Категории субъектов, персональные данные которых обрабатываются: Работники, соискатели, уволенные работники, контрагенты, клиенты, посетители сайта.

· Обеспечение соблюдение трудового законодательства
Категории персональных данных
общие персональные данные, специальные персональные данные
- Перечень персональных данных
Общие персональные данные;
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета;
профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения об образовании; фото-видео изображение лица;
Специальные персональные данные
сведения о судимости.
Категории субъектов, персональные данные которых обрабатываются: Работники, соискатели, родственники работников, уволенные работники, контрагенты, учащиеся, законные представители;

· Обеспечение соблюдения налогового законодательства
Категории персональных данных
общие персональные данные
- Перечень персональных данных:
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета;
профессия; должность; сведения об образовании;
Категории субъектов, персональные данные которых обрабатываются: Работники, родственники работников, уволенные работники, контрагенты, учащиеся, законные представители.

· Обеспечение соблюдения пенсионного законодательства
Категории персональных данных
общие персональные данные
- Перечень персональных данных:
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; доходы; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; номер лицевого счета; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; фото-видео изображение лица;
Категории субъектов, персональные данные которых обрабатываются: Работники, уволенные работники, контрагенты;

· Обеспечение соблюдения страхового законодательства РФ
Категории персональных данных
общие персональные данные
- Перечень персональных данных:
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; номер лицевого счета; профессия; должность; отношение к воинской обязанности, сведения о воинском учете; фото-видео изображение лица;
Категории субъектов, персональные данные которых обрабатываются: Работники, уволенные работники, контрагенты;

· Обеспечение соблюдения законодательства РФ в сфере здравоохранения
Категории персональных данных
общие персональные данные, специальные персональные данные
- Перечень персональных данных
Общие персональные данные:
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; профессия; должность.
Специальные персональные данные:
сведения о состоянии здоровья.
Категории субъектов, персональные данные которых обрабатываются: Работники, уволенные работники, учащиеся.

· Обеспечение соблюдения законодательства РФ об исполнительном производстве
Категории персональных данных
общие персональные данные,
- Перечень персональных данных:
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; отношение к воинской обязанности, сведения о воинском учете; фото-видео изображение лица; Категории субъектов, персональные данные которых обрабатываются:
Работники, уволенные работники, контрагенты;

· Участие лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах
Категории персональных данных
общие персональные данные,
- Перечень персональных данных:
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные водительского удостоверения; данные документа, содержащиеся в свидетельстве о рождении; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; фото-видео изображение лица; Категории субъектов, персональные данные которых обрабатываются:
Работники, уволенные работники, контрагенты, представители контрагентов, учащиеся, законные представители.

· Подготовка, заключение и исполнение гражданско-правового договора
Категории персональных данных
общие персональные данные,
- Перечень персональных данных:
фамилия, имя, отчество; год рождения; дата рождения; место рождения; семейное положение; адрес места жительства; номер телефона; СНИЛС; ИНН; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; должность;
Категории субъектов, персональные данные которых обрабатываются: Контрагенты

· Продвижение товаров, работ, услуг на рынке
Категории персональных данных
общие персональные данные,
- Перечень персональных данных:
фамилия, имя, отчество; адрес электронной почты; номер телефона; номер лицевого счета; профессия; должность;
Категории субъектов, персональные данные которых обрабатываются: Посетители сайта, учащиеся;
Категории субъектов, персональные данные которых обрабатываются: Работники, соискатели, родственники работников, уволенные работники, контрагенты, представители контрагентов, клиенты, выгодоприобретатели по договорам, учащиеся, законные представители, иные категории субъектов персональных данных, персональные данные которых обрабатываются. Представители организаций, учреждений, политических партий, объединений, органов власти (контрольно-надзорных, ревизионных, в сфере образования, ведомственных, вышестоящих), прочие категории посетителей.

· Подбор персонала (соискателей) на вакантные должности оператора
Категории персональных данных
общие персональные данные, специальные персональные данные
- Перечень персональных данных
Общие персональные данные.
фамилия, имя, отчество; дата рождения; семейное положение; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; реквизиты банковской карты; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); фото-видео изображение лица;
специальные персональные данные
сведения о состоянии здоровья; сведения о судимости;
Категории субъектов, персональные данные которых обрабатываются: Работники, соискатели, уволенные работники;

3.2. ИП не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

4. Порядок и условия обработки персональных данных
4.1. До начала обработки персональных данных, при изменении ранее поданных персональных данных, при окончании обработки персональных данных ИП обязан уведомить Роскомнадзор в установленном порядке.
4.2. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением.
4.3. Обработка персональных данных ИП выполняется следующими способами:
· неавтоматизированная обработка персональных данных;
· автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
· смешанная обработка персональных данных.
4.4. Обработка персональных данных ИП осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.
4.5. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных.
4.6. Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Роскомнадзора.
4.7. Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных. Исключение составляют ситуации, предусмотренные ч. 2 ст. 11 Закона о персональных данных.
4.8. ИП не осуществляет трансграничную передачу персональных данных.
4.9. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.
4.10. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных ИП осуществляются посредством:
· получения оригиналов документов либо их копий;
· копирования оригиналов документов;
· внесения сведений в учетные формы на бумажных и электронных носителях;
· создания документов, содержащих персональные данные, на бумажных и электронных носителях;
· внесения персональных данных в информационные системы персональных данных.
4.11. ИП используются следующие информационные системы:
- корпоративная электронная почта;
- система электронного документооборота и управления;
- официальный сайт Оператора https://brightwe.ru и/или https://brightwe.online
4.12. Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Положением.

5. Сроки обработки и хранения персональных данных
5.1. Обработка персональных данных ИП прекращается в следующих случаях:
- при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение трех рабочих дней с даты выявления такого факта;
- при достижении целей их обработки (за некоторыми исключениями);
- по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
- при обращении субъекта персональных данных ИП с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки - не более 10 рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).
5.2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.
5.3. Персональные данные на бумажных носителях хранятся ИП в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации»).
5.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

6. Блокировка и уничтожение персональных данных
6.1. ИП блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных
6.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение предусматривается федеральным законодательством.
6.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
6.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления факта неправомерной обработки.
6.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и ИП либо если ИП не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
6.6. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.
6.7. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку.
Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иное соглашение между ним и ИП. Кроме того, персональные данные уничтожаются в указанный срок, если ИП не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
6.8. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляет лицо, уполномоченное на обработку персональных данных.
6.9. Уничтожение персональных данных осуществляет комиссия, созданная приказом руководителя ИП.
6.10. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
6.11. Персональные данные на бумажных носителях уничтожаются с использованием шредера.
6.12. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
6.13. Комиссия подтверждает уничтожение персональных данных согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 N 179, а именно:
· актом об уничтожении персональных данных - если данные обрабатываются без использования средств автоматизации;
· актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных - если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств (форма журнала учета уничтожения носителей персональных данных Приложение№2 к настоящему положению).
6.14. Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.
6.15. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.

7. Ответственность за нарушение норм, регулирующих обработку персональных данных

7.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами. Кроме того, они привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.

7.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Приложение №3.

Защита персональных данных.

Процедуры, направленные

на предотвращение и выявление

нарушений законодательства,

устранение последствий таких нарушений

Защита персональных данных.

Процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений

Индивидуальным предпринимателем предприниматель Белоцерковской Юлией Михайловной (далее – ИП) реализуются следующие направления деятельности по защите персональных данных:
· установление ограничений по доступу персонала к личным сведениям;
· выбор ответственного за безопасность персональных данных лица;
· составление и утверждение локальных документов;
· информирование сотрудников о требованиях по работе с цифровыми или бумажными персональными данными.
В части обеспечения безопасности персональных данных, хранящихся на бумажных и электронных носителях ИП обеспечивает следующие организационно-технические и правовые мероприятия:
· установление ограничений по доступу сотрудников ИП к персональным данным;
· выбор ответственного за безопасность обработки персональных данных лица;
· составление и утверждение локальных документов;
· информирование сотрудников ИП о требованиях по работе с цифровыми или бумажными персональными данными;
· планирование правильного расположения рабочих мест;
· создание списков работников, которые могут находиться в помещениях с носителями персональных данных;
· установление порядка уничтожения конфиденциальных сведений;
· интеграция механизмов контроля, профилактики и противодействия компьютерным атакам.

В целях обеспечения конфиденциальности документы, содержащие персональные данные, оформляются, ведутся и хранятся только работником, определенным приказом руководителя ИП.

Работники ИП, допущенные к персональным данным, подписывают обязательства о неразглашении персональных данных. В противном случае до обработки персональных данных работников не допускаются.
Персональные данные хранятся на бумажных носителях (при наличии) в сейфе.
Без письменного согласия субъекта персональных данных ИП не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
Запрещено раскрывать и распространять персональные данные субъектов персональных данных по телефону.
Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ. Помещения ИП, в которых они размещаются, оборудуются запирающими устройствами. Выдача ключей от шкафов и помещений осуществляется под подпись.
Доступ к персональной информации, содержащейся в информационных системах ИП, осуществляется по индивидуальным паролям.
ИП при обработке персональных данных на электронных носителях в целях обеспечения их защиты:
· использует сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
· использует коды , пароли и шифры при работе с техническими средствами, машинами, механизмами, ПК и пр.
Работник организации, обрабатывающий персональные данные, периодически проходит обучение требованиям законодательства в области персональных данных.
В должностную инструкцию работника ИП, обрабатывающего персональные данные, включаются положения о необходимости сообщать о любых случаях несанкционированного доступа к персональным данным.

Приложение №4.

Положение о применении правовых,

организационных и технических мер

по обеспечению безопасности персональных данных

Положение

о применении правовых, организационных и технических мер по обеспечению безопасности персональных данных

1. Настоящее Положение устанавливает требования к защите персональных данных Индивидуального предпринимателя Белоцерковской Юлии Михайловны (далее - оператор) при их обработке в информационных системах персональных данных (далее - информационные системы) и уровни защищенности таких данных и разработаны в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».
3. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
4. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
5. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

идентификация и аутентификация субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
регистрация событий безопасности;
антивирусная защита;
обнаружение (предотвращение) вторжений;
контроль (анализ) защищенности персональных данных;
обеспечение целостности информационной системы и персональных данных;
обеспечение доступности персональных данных;
защита среды виртуализации;
защита технических средств;
защита информационной системы, ее средств, систем связи и передачи данных;
выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее- инциденты), и реагирование на них;
управление конфигурацией информационной системы и системы защиты персональных данных.

6. Состав и содержание мер по обеспечению безопасности персональных данных, выбираются в соответствии с уровнями защищенности персональных данных.
6.1. Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).
6.2. Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил.
6.3. Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения.
6.4. Меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных.
6.5. Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.
6.6. Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.
6.7. Меры по обнаружению (предотвращению) вторжений должны обеспечивать обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия.
6.8. Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.
6.9. Меры по обеспечению целостности информационной системы и персональных данных должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных.
6.10. Меры по обеспечению доступности персональных данных должны обеспечивать авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы.
6.11. Меры по защите среды виртуализации должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.
6.12. Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее - средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей.
6.13. Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно- телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных.
6.14. Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.
6.15. Меры по управлению конфигурацией информационной системы и системы защиты персональных данных должны обеспечивать управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений.
7. Выбор мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной системе в рамках системы защиты персональных данных, включает:
-определение базового набора мер по обеспечению безопасности персональных данных для установленного уровня защищенности персональных данных в соответствии с базовыми наборами мер по обеспечению безопасности персональных данных, приведенными в приложении к настоящему документу;
-адаптацию базового набора мер по обеспечению безопасности персональных данных с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы(в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе);
-уточнение адаптированного базового набора мер по обеспечению безопасности персональных данных с учетом не выбранных ранее мер, приведенных в приложении к настоящему документу, в результате чего определяются меры по обеспечению безопасности персональных данных, направленные на нейтрализацию всех актуальных угроз безопасности персональных данных для конкретной информационной системы;
-дополнение уточненного адаптированного базового набора мер по обеспечению безопасности персональных данных мерами, обеспечивающими выполнение требований к защите персональных данных, установленными иными нормативными правовыми актами в области обеспечения безопасности персональных данных и защиты информации.
8. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.

Приложение №5.

Положение о внутреннем контроле

оператора при обработке персональных данных

Положение

о внутреннем контроле оператора при обработке персональных данных

1.Настоящее Положение о внутреннем контроле Индивидуального предпринимателя Белоцерковской Юлии Михайловны (далее - оператор) при обработке им персональных данных и разработано в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»
2.Внутренний контроль проводится в целях выявления и предотвращения нарушений законодательства Российской Федерации в области персональных данных.
3.Внутренний контроль подразделяется на плановый и внеплановый, осуществляется в виде проверок.
4.Плановый контроль при обработке персональных данных проводится не реже 1 раза в год на основании плана, утвержденного приказом ИП. Срок проведения планового внутреннего контроля составляет не более 10 рабочих дней.
5.Внеплановый контроль проводится на основании поступившего письменного или устного обращения от субъекта персональных данных о нарушении законодательства в области персональных данных в следующих ситуациях:
- при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
- в иных случаях, предусмотренных законодательством в области персональных данных.
6.Информация о нарушении законодательства в области персональных данных может поступать в устном или письменном виде.
7.Внеплановый внутренний контроль должен быть завершен не позднее 30 дней со дня принятия решения о его проведении. О результатах внепланового внутреннего контроля информируется заинтересованное лицо.
8.Внутренний контроль проводится комиссией. В состав комиссии входят (указать должности):
- руководитель;
- иные сотрудники ИП, назначенные приказом.
9.Внутренний контроль может осуществляться по решению работника, ответственного за организацию обработки персональных данных.
10. Работник, ответственный за организацию обработки персональных данных, осуществляет внутренний контроль:
- за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов;
- соответствием указанных актов требованиям законодательства в области персональных данных.
11. Контроль осуществляется непосредственно на месте обработки персональных данных путем опроса либо при необходимости путем осмотра рабочих мест лиц, участвующих в процессе обработки персональных данных.
12. Результаты внутреннего контроля оформляются в виде справки, подписываемой членами комиссии, или лицом, ответственным за организацию обработки персональных данных.
13. При выявлении в ходе внутреннего контроля нарушений в справке отражаются перечень мероприятий по устранению нарушений и срок их исполнения.
14. В отношении персональных данных, ставших известными в ходе проведения внутреннего контроля лицам, ответственным за проведение внутреннего контроля, соблюдается конфиденциальность и обеспечивается безопасность при их обработке.
15. Если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее-Инцидент) проводится внутреннее расследование.
16. Внутренние расследование проводится лицом (лицами), уполномоченным (ими) на его проведение приказом ИП.
17. В случае Инцидента Оператор в течение 24 часов уведомляет Роскомнадзор:
- об инциденте;
- его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;
- принятых мерах по устранению последствий инцидента;
- представителе Оператора, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.
18. При направлении уведомления нужно руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 N 187.
19. В течение 72 часов Оператор обязан сделать следующее:
- уведомить Роскомнадзор о результатах внутреннего расследования;
- предоставить сведения о лицах, действия которых стали причиной Инцидента (при наличии).
20. При направлении уведомления также необходимо руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 N 187.
21. В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней.
Оператор уведомляет в письменном виде субъекта персональных данных (его представителя) о внесенных изменениях и сообщает (по электронной почте)о них третьим лицам, которым были переданы персональные данные.
22. Оператор уведомляет субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных. Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос.
23. В случае уничтожения персональных данных, которые обрабатывались неправомерно, уведомление направляется в соответствии с требованиями Положения об обработке и защите персональных данных работников (иных лиц).
24 В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Оператор уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде.
25. Оператор уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.

Приложение №6.

Порядок оценки вреда,

который может быть причинен

субъектам персональных данных

Порядок

оценки вреда, который может быть причинен субъектам персональных данных

индивидуального предпринимателя Белоцерковской Юлии Михайловны

1.Настоящий Порядок оценки вреда, который может быть причинен субъектам персональных данных разработан в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных».

2.Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных, осуществляется ответственным за

организацию обработки персональных данных либо комиссией, образуемой Индивидуальным предпринимателем Белоцерковской Юлией Михайловной (далее - Оператор).

3.Оператор для целей оценки вреда определяет одну из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения законодательства о персональных данных:
3.1. Высокую в случаях:
- обработки сведений, характеризующих физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Оператором для установления личности субъекта персональных данных, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки биометрических персональных данных;
- обработки персональных данных несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством Российской Федерации;
- обезличивания персональных данных, в том числе с целью проведения оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также иных исследований, не предусмотренных п. 9 ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
3.2. Среднюю в случаях:
- распространения персональных данных на официальном сайте Оператора в Интернете, а равно предоставления персональных данных неограниченному кругу лиц, за исключением случаев, установленных федеральными законами, предусматривающими цели,порядок и условия такой обработки персональных данных;
- обработки персональных данных в дополнительных целях, отличных от первоначальной цели сбора;
- получения согласия на обработку персональных данных посредством реализации на официальном сайте в Интернете функционала, не предполагающего дальнейшей идентификации и/или аутентификации субъекта персональных данных;
- осуществления деятельности по обработке персональных данных, предполагающей получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и/или неопределенному кругу лиц в целях, не совместимых между собой.
3.3. Низкую в случаях:
- ведения общедоступных источников персональных данных, сформированных в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;
4. Результаты оценки вреда оформляются актом оценки вреда..
5. Акт оценки вреда должен содержать:
а) наименование или фамилию, имя, отчество (при наличии) и адрес Оператора;
б) дату издания акта оценки вреда; в) дату проведения оценки вреда;
г) фамилию, имя, отчество(при наличии), должность лиц (лица) (при наличии), проводивших оценку вреда, а также их (его) подпись;
д) степень вреда, которая может быть причинена субъекту персональных данных
6.Акт оценки вреда в электронной форме, подписанный в соответствии с федеральным законом и локальными нормативными актами Оператора электронной подписью, признается электронным документом, равнозначным акту оценки вреда на бумажном носителе, подписанному собственноручной подписью.
7.Если по итогам проведенной оценки вреда установлено, что в рамках деятельности по обработке персональных данных субъекту персональных данных могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.

Приложение № 7.

Положение об ознакомлении работников оператора,

непосредственно осуществляющих обработку персональных данных,

с положениями законодательства Российской Федерации

о персональных данных, в том числе требованиями

к защите персональных данных, документами,

определяющими политику оператора

в отношении обработки персональных данных,

локальными актами по вопросам обработки

персональных данных, и (или) обучение указанных работников

Положение

об ознакомлении работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников

1. Настоящее Положение ознакомления с документами работников Индивидуального предпринимателя Белоцерковской Юлии Михайловны (далее - Оператор), непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников (далее - Положение), устанавливает правила ознакомления работников Оператора, непосредственно осуществляющих обработку персональных данных.
2. Работники Оператора, непосредственно осуществляющие обработку персональных данных (далее - Работники), имеют право на ознакомление со следующими нормативными правовыми актами, регулирующими правоотношения в части обработки и защиты персональных данных:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
- Иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора;
- Политика в отношении обработки персональных данных;
- Локальные акты Оператора;
- Приказы Оператора.
3. Работники ознакомлены с документами, указанными в п.2., в день наделения их полномочиями по обработке персональных данных приказом руководителя Оператора под личную подпись.

Лист ознакомления

№ п/п	Структурное подразделение, наименование должности	Ф.И.О. работника	Дата ознакомления	Подпись работника

Приложение № 8.

Политика в отношении

обработки персональных данных на сайте

Политика в отношении обработки персональных данных на официальном сайте

1. Общие положения
Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. № 152-ФЗ «О персональных данных»(далее — Закон о персональных данных) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые ИП Белоцерковской Ю.М. (далее — Оператор).
1.1. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Настоящая политика Оператора в отношении обработки персональных данных (далее — Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта Оператора https://brightwe.ru и/или https://brightwe.online
2. Основные понятия, используемые в Политике
2.1. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
2.2. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.3. Веб-сайт — совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://brightwe.ru и/или https://brightwe.online
2.4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.
2.6. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.7. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.8. Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта Оператора.
2.9. Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее — персональные данные, разрешенные для распространения).
2.10. Пользователь — любой посетитель веб-сайта.
2.11. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.12. Распространение персональных данных — любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
2.13. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
2.14. Уничтожение персональных данных — любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и/или уничтожаются материальные носители персональных данных.
3. Основные права и обязанности Оператора
3.1. Оператор имеет право:
— получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
— в случае отзыва субъектом персональных данных согласия на обработку персональных данных, а также, направления обращения с требованием о прекращении обработки персональных данных, Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных;
— самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.
3.2. Оператор обязан:
— предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
— организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;
— отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
— сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 дней с даты получения такого запроса;
— публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных;
— принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
— прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и в случаях, предусмотренных Законом о персональных данных;
— исполнять иные обязанности, предусмотренные Законом о персональных данных.
4. Основные права и обязанности субъектов персональных данных
4.1. Субъекты персональных данных имеют право:
— получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
— требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
— выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг;
— на отзыв согласия на обработку персональных данных, а также, на направление требования о прекращении обработки персональных данных;
— обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;
— на осуществление иных прав, предусмотренных законодательством РФ.
4.2. Субъекты персональных данных обязаны:
— предоставлять Оператору достоверные данные о себе;
— сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.
4.3. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.
5. Принципы обработки персональных данных
5.1. Обработка персональных данных осуществляется на законной и справедливой основе.
5.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
5.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
5.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.
5.6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
5.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6. Цели обработки персональных данных
Цель обработки: продвижение товаров и услуг, предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте.
Персональные данные фамилия, имя, отчество, электронный адрес, номера телефонов, год, месяц, дата и место рождения, пол и возраст посетителей сайта, IP-адрес, Данные о браузере и устройстве, Данные о посещенных страницах, Данные о действиях на сайте (клики, заполнение форм).
Правовые основания Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ
Виды обработки персональных данных Сбор, запись, систематизация, накопление, хранение, уничтожение и обезличивание персональных данных.
7. Условия обработки персональных данных
7.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
7.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
7.3. Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.
7.4. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
7.5. Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
7.6. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — общедоступные персональные данные).
7.7. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
8. Сайт Оператора использует сервис веб-аналитики Яндекс Метрика, предоставляемый компанией ООО «ЯНДЕКС», 119021, Россия, Москва, ул. Л. Толстого, 16 (далее — Яндекс). Сервис Яндекс Метрика использует технологию «cookie». Собранная при помощи cookie информация не может идентифицировать пользователя, однако помогает улучшить работу сайта. Информация об использовании пользователями сайта передается и хранится на сервере Яндекса в Российской Федерации. Яндекс обрабатывает эту информацию с целью анализа пользовательской активности.
9. Порядок сбора, хранения, передачи и других видов обработки персональных данных Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается
путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.
9.1. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
9.2. Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства либо в случае, если субъектом персональных данных дано согласие Оператору на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договору.
9.3. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора на сайте https://brightwe.ru и/или https://brightwe.online c пометкой «Актуализация персональных данных».
9.4. Срок обработки персональных данных определяется достижением целей, для которых были собраны персональные данные, если иной срок не предусмотрен договором или действующим законодательством.
Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора с пометкой «Отзыв согласия на обработку персональных данных».
9.5. Вся информация, которая собирается сторонними сервисами, в том числе платежными системами, средствами связи и другими поставщиками услуг, хранится и обрабатывается указанными лицами (Операторами) в соответствии с их Пользовательским соглашением и Политикой конфиденциальности. Субъект персональных данных и/или с указанными документами. Оператор не несет ответственность за действия третьих лиц, в том числе указанных в настоящем пункте поставщиков услуг.
9.6. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных для распространения, не действуют в случаях обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством РФ.
9.7. Оператор при обработке персональных данных обеспечивает конфиденциальность персональных данных.
9.8. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
9.9. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия субъекта персональных данных, отзыв согласия субъектом персональных данных или требование о прекращении обработки персональных данных, а также выявление неправомерной обработки персональных данных.
10. Перечень действий, производимых Оператором с полученными персональными данными
10.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
10.2. Оператор осуществляет автоматизированную обработку персональных данных с получением и/или передачей полученной информации по информационно- телекоммуникационным сетям или без таковой.
11. Трансграничная передача персональных данных оператором не осуществляется.
12. Конфиденциальность персональных данных
Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
13. Заключительные положения
13.1. Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты
13.2. В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно до замены ее новой версией.
13.3. Актуальная версия Политики в свободном доступе расположена в сети Интернет