Положение об обработке и защите персональных данных

  1. Общие положения
  2. Настоящее положение об обработке и защите персональных данных (далее – «Положение») Индивидуальный предприниматель ИП Шишкова Е.Ю. (ОГРНИП 320784700036851; ИНН: 761021989970) (далее – «Оператор») является локальным нормативным актом, принятым с учетом требований, вчастности, гл.14 Трудового кодекса Российской Федерации и Федерального закона от 27.07.2006№ 152-ФЗ«О персональных данных» (далее – «Закон о персональных данных»).
  3. В Положении используются термины и определения в соответствии с их значениями, определенными в Законе о персональных данных. Основные понятия, используемые в Положении:
  4. Оператор – ИП Шишкова Е.Ю. (ОГРНИП 320784700036851; ИНН: 761021989970)
  5. Клиент – физическое лицо, юридическое лицо, индивидуальный предприниматель, приобретатель услуг Оператора, субъект персональных данных;
  6. Представитель Контрагента – физическое лицо, являющееся представителем юридического лица и / или индивидуального предпринимателя, приобретающего или желающего приобрести услуги Оператором, субъект персональных данных;
  7. Контрагент – физическое лицо, юридическое лицо, которого Оператор привлекает для выполнения определённых услуг, субъект персональных данных;
  8. Услуги –действия Оператора, обусловленные условиями заключенного с Клиентом или Контрагентом договора или иных договоров, связанных с деятельностью Оператора;
  9. Персональные данные – информация, сохранённая в любом формате, относящаяся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных), которая сама по себе или в сочетании с другой информацией,имеющейся в распоряжении Оператора,позволяет идентифицировать личность Клиента, Представителя контрагента, Контрагента и Посетителя сайта);
  10. Информационная система персональных данных –информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
  11. Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение, передачу, обезличивание, блокирование, уничтожение персональных данных;
  12. Передача персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц;
  13. Распространение персональных данных –действия, направленные на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
  14. Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
  15. Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
  16. Защита персональных данных – комплекс мер технического, организационного и организационно- технического, правового характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных);
  17. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  18. Обезличивание персональных данных -действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  19. Информация- сведения(сообщения,данные),независимо от формы их представления;
  20. Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель;
  21. Основной целью положения является защита персональных данных Контрагентов, Представителей контрагентов, Клиентов и Посетителей сайта Оператора от несанкционированного доступа, неправомерного их использования или утраты, а также установление ответственности лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
  22. Настоящее Положение утверждается ИП Шишкова Е.Ю. и действует до его отмены приказом или до введения нового Положения.
  23. Внесение изменений в Положение производится Приказом ИП Шишкова Е.Ю. Изменения вступают в силу с момента подписания соответствующего приказа.

  1. Категории субъектов персональных данных К субъектам, персональные данные которых обрабатываются Оператором в соответствии с Положением, относятся:
  • контрагенты Оператора;
  • клиенты Оператора;
  • представители контрагентов Оператора;
  • посетители сайта
  • иные лица,персональные данные которых Оператор обязан обрабатывать в соответствии с законодательством Российской Федерации.

  1. Цели обработки персональных данных Целямио бработки персональных данных Оператором являются:
  • выполнение требований законодательства по определению порядка обработки и защиты данных физических лиц, являющихся Клиентами, Посетителями сайта, Представителями Контрагентов или Контрагентами Оператора;
  • продвижение товаров, работ,услуг на рынке;
  • осуществление прав и законных интересов Оператора в рамках осуществления хозяйственной деятельности;
  • подготовка,заключение и исполнение договоров с контрагентами и клиентами.
  1. Персональные данные Клиентов и Посетителей Сайта обрабатываются в целях предоставления Оператором услуг в соответствии с условиями заключенного с Клиентом договора или иных договоров, связанных с деятельностью Оператора; хранения данных Клиентов и Посетителей Сайта; предоставления консультаций,иной информации о деятельности и услугах Оператора по запросам Клиента или Посетителя сайта,
исполнения иных договорных обязательств, одной из сторон которых является Клиент или Посетитель сайта. Оператор собирает данные только в объеме, необходимом для достижения названных целей.
  1. Персональные данные Контрагентов и Представителей Контрагентов обрабатываются в целях исполнения договора гражданско-правового характера.Оператор собирает данные только в объеме,необходимом для достижения названной цели.
  2. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.

  1. Состав и получение персональных данных Клиентов, Представителей Клиентов,Контрагентов

  1. Сведения о персональных данных Клиентов, Представителей Контрагентов, Контрагентов и Посетителей сайта являются конфиденциальными.
  2. К персональным данным относятся:


Персональные данные клиента и посетителя сайта

фамилия,имя, отчество;

адрес электронной почты; номер телефона

Персональные данные контрагента и представителей контрагента, клиента

фамилия, имя, отчество;

год рождения;

месяц рождения;

дата рождения;

место рождения;

адрес электронной почты;

адрес места жительства;

адрес регистрации;

номер телефона;

ИНН;

данные документа, удостоверяющего личность;

реквизиты банковской карты;

номер расчетного счета;

должность


  1. Все персональные данные Клиентов и Посетителей сайта Оператор получает непосредственно от субъектов персональных данных – Клиентов и Посетителей сайта с их согласия. Персональные данные Контрагентов и Представителей контрагентов также получаются непосредственно от них самих.
  2. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.

  1. Порядок и условия обработки персональных данных До начала обработки персональных данных Оператор обязан уведомить Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций о намерении осуществлять обработку персональных данных.
  2. Правовым основанием обработки персональных данных являются Трудовой кодекс РФ, иные нормативные правовые акты, а также Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  3. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением.
  4. Обработка персональных данных Оператором выполняется следующими способами:
- смешанная;с передачей по внутренней сети юридического лица; с передачей посети Интернет;
  1. Обработка персональных данных Оператором осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.
  2. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных. Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных.
  3. К обработке персональных данных Клиентов, Представителей Контрагентов, Контрагентов и Посетителей сайта может иметь доступ только работники Оператора и определенный круг Контрагентов по поручению от Оператора,допущенных к работе с персональными данными, ознакомленные под подпись с настоящим Положением и иными локальными актами, регулирующими обработку и защиту персональных данных.
  4. Перечень лиц, имеющих право доступа к персональным данным (далее – Перечень), определяется приказом Оператора на основании должностных обязанностей сотрудников и производственной необходимости. С указанным Перечнем сотрудники должны быть ознакомлены под подпись.
  5. Оператор не осуществляет трансграничную передачу персональных данных.
  6. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространение, предоставление, доступ), обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.
  7. Сбор, запись, систематизация, хранение, накопление и уточнение (обновление, изменение) персональных данных осуществляются посредством:
  • получения оригиналов документов либо их копий;
  • внесения сведений в учетные формы на бумажных и электронных носителях;
  • создания документов,содержащих персональные данные, на бумажных и электронных носителях;
  • внесения персональных данных в информационные системы персональных данных.
  1. Оператор использует следующие информационныес истемы:
  • корпоративная электронная почта;
  • система электронного документооборота;
  • система нормативно-справочной информации;
  • информационный портал.
  1. Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и настоящим Положением.

  1. Защита персональных данных от несанкционированного доступа
  2. Оператор обязан при обработке персональных данных принимать необходимые организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
  3. С целью защиты персональных данных соответствующими приказам и назначаются/ принимаются:
  4. работник, ответственный за организацию обработки персональных данных;
  5. форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
  6. иные локальные нормативные акты, принятые в соответствии с требованиями законодательства в области персональных данных.
  7. Для эффективной защиты персональных данных Оператором предпринимаются следующие меры:
  8. Оператор и его сотрудники соблюдают порядок получения, учета и хранения материальных носителей персональных данных;
  9. Применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных;
  10. Оператором определяются угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
  11. Работники Оператора, ответственные за обработку персональных данных, а также сотрудники, чьи обязанности связаны с получением, обработкой и защитой персональных данных должны быть ознакомлены настоящим Положением под подпись. Кроме того, перечисленные сотрудники должны быть ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, иными локальными актами Оператора в отношении обработки персональных данных, и проходят соответствующий инструктаж и/или обучение;
  12. Работники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной ответственности;
  13. Допуск работника Оператора, не прошедшего инструктаж, к персональным данным Представителей Клиентов запрещается.
  14. Защита доступа к электронным базам данных, содержащим персональные данные Клиентов, Представителей Контрагентов, Контрагентов и Посетителей сайта, обеспечивается:
  15. использованием антивирусного программного обеспечения;
  16. использованием информационных систем, имеющих дополнительную систему защиты данных;
  17. предоставлением доступа к персональной информации, содержащейся в информационных системах Оператора, с помощью индивидуальных паролей. Предоставление доступа к учетной записи иным лицам не допускается;
  18. ведением учета материальных носителей информации;
  19. выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
  20. разработкой и установлением правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
  21. сохранностью носителей персональных данных и средств защиты информации
  22. Копировать и делать выписки персональных данных разрешается исключительно в служебных целях.
  23. При работе с персональными данными порученным контрагентом Оператора следует соблюдать меры, предупреждающие и ограничивающие доступ к указанной информации не уполномоченных на ее получение лиц. В том числе:
  24. не передавать свой пароль от входа в информационную систему третьим лицам;
  25. не допускать хранения в открытом доступе документов, содержащих конфиденциальную информацию;
  26. после истечения, установленного нормативно-правовыми актами Российской Федерации, срока хранения документы уничтожаются вручную, либо с использование специального оборудования, о чем составляется соответствующий акт.
  27. Нарушение данных обязанностей считается совершенным, когда сведения, содержащие персональные данные и другую конфиденциальную информацию, стали известны лицам, которые не должны располагать такой информацией.
  28. По разрешению Оператора раскрытие конфиденциальной информации (персональных данных) третьим лицам возможно в случае привлечения их к деятельности, требующей знания такой информации, и только в том объеме, который необходим для реализации целей и задач, а также при условии принятия ими на себя обязательства не разглашать полученные сведения.
  29. В случаях, установленных законодательством Российской Федерации, раскрытие конфиденциальной информации возможно сотрудникам правоохранительных органов, при наличии законных оснований и надлежащим образом оформленных документов, подтверждающих такие основания.

носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Оператора, обрабатывающие персональные данные.
  1. Уничтожение персональных данных осуществляет лицо, ответственное за обработку персональных данных в соответствии с Приказом о назначении лица, ответственного за обработку персональных данных.
  2. Лицо, ответственное за обработку персональных данных, составляет акт с указанием документов,иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
  3. Персональные данные на бумажных носителях уничтожаются с использованием шредера.
  4. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а так же путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
  5. Непосредственно после уничтожения персональных данных оформляется акт об их уничтожении.


  1. Процедура, направленная на выявление и предотвращение нарушений законодательства в сфере персональных данных К процедурам, направленным на выявление и предотвращение нарушений законодательства в сфере персональных данных и устранение таких последствий, относятся:
  2. реализация мер, направленных на обеспечение выполнения Оператором своих обязанностей;
  3. выполнение предусмотренных законодательством обязанностей, возложенных на Оператора;
  4. обеспечение личной ответственности сотрудников, осуществляющих обработку либо доступ к персональным данным;
  5. организация рассмотрения запросов субъектов персональных данных или их представителей и ответов на такие запросы;
  6. организация внутреннего контроля соответствия обработки персональных данных требованиям к защите, установленным действующим законодательством и локальными актами;
  7. сокращение объема обрабатываемых данных;
  8. стандартизация операций, осуществляемых с персональными данными;
  9. определение порядка доступа сотрудников в помещения,в которых ведется обработка персональных данных;
  10. проведение необходимых мероприятий по обеспечению безопасности персональных данных и носителей персональных данных;
  11. проведение периодических проверок условий обработки персональных данных;
  12. повышение осведомленности сотрудников, имеющих доступ к персональным данным, путем ознакомления с положениями законодательства Российской Федерации, локальными актами и организации обучения;
  13. блокирование, внесение изменений и уничтожение персональных данных в предусмотренных действующим законодательством случаях;
  14. оповещение субъектов персональных данных в предусмотренных действующим законодательством случаях;
  15. разъяснение прав субъектам персональных данных в вопросах обработки и обеспечения безопасности персональных данных;
  16. публикация и обеспечение доступа неограниченному кругу лиц документов, определяющих политику в отношении обработки персональных данных.
  17. Указанный перечень процедур может дополняться.

  1. Внутренний контроль соблюдения требований Положения Оператором проводятся внутренние расследования в следующих ситуациях:
  • при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
  • в иных случаях, предусмотренных законодательством в области персональных данных.
  1. Ответственный за организацию обработки персональных данных осуществляет внутренний контроль:
  • за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов;
  • за соответствием указанных актов, требованиям законодательства в области персональных данных.
  1. Внутренний контроль проходит в виде внутренних проверок.
  2. Внутренние плановые проверки осуществляются на основании приказа Оператора не реже 1 раза в год.
  3. Внутренние внеплановые проверки осуществляются по решению работника, ответственного за организацию обработки персональных данных. Основанием для них служит информация о нарушении законодательства в области персональных данных, поступившая в устном или письменном виде.
  4. По итогам внутренней проверки оформляется докладная записка. В случае выявления нарушений в документе приводятся перечень мероприятий по их устранению и соответствующие сроки.
  5. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент).
  6. В случае инцидента Оператор в течение 24 часов уведомляет Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор):
  • об инциденте;
  • его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;
  • принятых мерах по устранению последствий инцидента;
  • представителе Оператора, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.
  1. В течение 72 часов Оператор обязан:
  • уведомить Роскомнадзор о результатах внутреннего расследования;
  • предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).
  1. В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней. Оператор уведомляет в письменном виде субъекта персональных данных (его представителя) о внесенных изменениях и сообщает (по электронной почте) о них третьим лицам, которым были переданы персональные данные.
  2. Оператор уведомляет субъекта персональных данных (его представителя)об устранении нарушений в части неправомерной обработки персональных данных.
  3. В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Оператор уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде. Оператор уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.

  1. Доступ к персональным данным Право доступа к персональным данным имеют: лично Оператор и Контрагенты по поручению от Оператора.
  2. Субъект персональных данных имеет право:
  3. получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные Клиентов и Представителей Клиентов.
  4. требовать от Оператора уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для Клиентов и Представителей Клиентов персональных данных.
  5. получать от Оператора:
  • перечень обрабатываемых персональных данных и источник их получения;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
11.3. Передача информации третьей стороне возможна только при письменном согласия субъекта персональных данных.

  1. Ответственность за нарушение норм, регулирующих обработку персональных данных Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами. Кроме того, они привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
  2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.