Контакты
Часть1. Термины и определения
1.1. Посетитель – физическое лицо, принявший договор оферту интернет сайта selectrus.ru.
1.2.Федеральный закон (ФЗ) – Федеральный закон РФ № 152-ФЗ от 27.07.2006г. «О персональных данных».
1.3.Персональные данные – любая информация, относящаяся прямо или косвенно к физическому лицу (субъекту персональных данных).
1.4. Оператор – ИП Левин П.В., самостоятельно или совместно с другими лицами организующий и осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия, совершаемые с персональными данными.
1.5.Обработка персональных данных – любые действия, совершаемые с использованием средств автоматизации или без использования таковых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.6.Обработка персональных данных, осуществленная без использования средств автоматизации (неавтоматизированная) - использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляемые при непосредственном участии человека.
1.7.Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
1.8.Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.9.Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному кругу лиц.
1.10.Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.11.Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.
1.12.Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
1.13.Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.14.Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Часть 2. Общие положения
2.1.Настоящее Положение разработано в соответствии с Конституцией РФ, Гражданским кодексом РФ, действующим законодательством РФ в области защиты персональных данных .
2.2. Целями Положения являются:
- обеспечение защиты прав и свобод граждан при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
- исключение несанкционированных действий сотрудников ИП Левин П.В. и любых третьих лиц по обработке персональных данных, иных форм незаконного вмешательства в информационные ресурсы и локальную вычислительную сеть ИП Левин П.В., обеспечение правового и нормативного режима конфиденциальности информации;
- исключение разглашения персональных данных, составляющих коммерческую или иную тайну ИП Левин П.В., третьим лицам, вне зависимости от того, может ли такое разглашение нанести ИП Левин П.В., работнику ИП Левин П.В. и/или его клиенту ущерб (экономический, правовой, или иной).
2.3. Положение устанавливает порядок обработки персональных данных клиентов: действия по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению), использованию, распространению (в том числе передаче), воспроизведению, электронному копированию и передаче данных контрагентам, включая трансграничную передачу, обезличиванию, блокированию, уничтожению персональных данных, предоставленных в ИП Левин П.В., для создания информационных систем персональных данных ИП Левин П.В., в целях предоставления информации третьим лицам, которые по договору с ИП Левин П.В. осуществляют деятельность по обеспечению выполнение договора оферты , а также в любых других целях, прямо или косвенно связанных с деятельностью ИП Левин П.В., и направления клиентам информации о новых услугах ИП Левин П.В. и/или его контрагентов.
2.4. Принципы обработки персональных данных:
- обработка персональных данных должна осуществляться на законной и справедливой основе;
- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных (ИП Левин П.В. принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных);
- хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом или договором, стороной которого является клиент. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Часть 3. Юридические аспекты обработки персональных данных
3.1. Субъекты персональных данных.
ИП Левин П.В. обрабатывает персональные данные посетителей сайта selectrus.ru
3.2. Условия обработки персональных данных.
Обработка персональных данных посетителей сайта selectrus.ru осуществляется на основании Конституции РФ, Гражданского кодекса РФ, Трудового кодекса РФ, действующего законодательства РФ в области защиты персональных данных.
Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных законодательством РФ и настоящим Положением. Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия клиентов на обработку их персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения ИП Левин П.В. своих функций, полномочий и обязанностей;
3) обработка персональных данных необходима для исполнения договора, стороной которого является посетитель сайта selectrus.ru;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов клиента, если получение согласия невозможно;
5) обработка персональных данных необходима для осуществления прав и законных интересов ИП Левин П.В. или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы посетителей сайта selectrus.ru;
6) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением обработки персональных данных в целях продвижения товаров, работ и услуг на рынке путем осуществления прямых контактов с потенциальными потребителями с помощью средств связи, а также в целях политической агитации, при условии обязательного обезличивания персональных данных;
7) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);
8) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
ИП Левин П.В. вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее - поручение ИП Левина П.В.). Лицо, осуществляющее обработку персональных данных по поручению ИП Левина П.В., обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных». В поручении ИП Левина П.В. должны быть определены перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст.19 Федерального закона «О персональных данных».
Лицо, осуществляющее обработку персональных данных по поручению ИП Левина П.В., не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
В случае, если ИП Левин П.В. поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет ИП Левин П.В.. Лицо, осуществляющее обработку персональных данных по поручению ИП Левина П.В., несет ответственность перед ИП Левин П.В.
3.3. Цель обработки персональных данных.
Обработка персональных данных посетителей сайта selectrus.ru (ИП Левин П.В.) осуществляется исключительно в целях исполнения договоров, а также в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальными потребителями с помощью средств связи. Сведениями, составляющими персональные данные, в ИП Левин П.В. является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
3.4. Источники получения персональных данных.
Источником информации обо всех персональных данных клиента является непосредственно посетитель сайта selectrus.ru.
Источником информации о персональных данных клиента являются сведения, полученные вследствие предоставления ИП Левину П.В. клиенту тех или иных услуг.
Персональные данные клиентов относятся к конфиденциальной информации ограниченного доступа, и могут быть использованы для целей оказания услуг ИП Левиным П.В., защиты интересов ИП Левин П.В. и его клиентов, с обязательным исполнением требований защиты прав и свобод гражданин, неприкосновенности частной жизни, личной и семейной тайны.
Обеспечение конфиденциальности персональных данных не требуется в случае их обезличивания, а также в отношении общедоступных персональных данных.
ИП Левин П.В. не имеет права собирать и обрабатывать персональные данные клиента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, частной жизни, за исключением случаев, предусмотренных действующим законодательством.
ИП Левин П.В. не имеет права получать и обрабатывать персональные данные клиента о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
Если персональные данные можно получить только у третьей стороны, клиент должен быть заранее в письменной форме уведомлен об этом, и от него должно быть получено письменное согласие.
3.5. Способы обработки персональных данных.
Обработка персональных данных в ИП Левин П.В. может осуществляться как с использованием средств автоматизации, так и без использования таковых, если обработка без использования таких средств позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе, и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и /или доступ к таким персональным данным.
С использованием средств автоматизации могут осуществляться следующие действия с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных.
Без использования средств автоматизации (при непосредственном участии человека) могут осуществляться следующие действия с персональными данными: использование, уточнение, распространение, уничтожение персональных данных.
3.6. Права субъектов персональных данных.
Клиент имеет право на получение сведений об операторе (ИП Левин П.В.), о месте его нахождения, о наличии у ИП Левин П.В. персональных данных, относящихся к конкретному субъекту персональных данных (клиенту), а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных ч.8 ст.14 Федерального закона «О персональных данных».
Клиент имеет право на получение от оператора (ИП Левин П.В.) при личном обращении либо при получении ИП Левин П.В. письменного запроса клиента следующей информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных ИП Левин П.В.;
- правовые основания и цели обработки персональных данных;
- применяемые оператором способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников ИП Левин П.В.), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или федерального закона;
- источник получения персональных данных;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ИП Левин П.В., если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом или другими федеральными законами. Клиент имеет право:
- требовать от оператора уточнения, блокирования или уничтожения персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
- обжаловать неправомерные действия или бездействия по обработке персональных данных и требовать соответствующей компенсации в суде;
- на дополнение персональных данных оценочного характера заявлением, выражающим его собственную точку зрения;
- определять представителей для защиты своих персональных данных;
- требовать от ИП Левин П.В. уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные клиента, обо всех произведенных в них изменениях или исключениях из них.
Право клиента на доступ к своим персональным данным у ИП Левин П.В. может быть ограничено в случае, если
- доступ клиента к его персональным данным нарушает права и законные интересы третьих лиц;
- обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.
Клиент имеет право требовать от ИП Левин П.В. прекращения обработки персональных данных, которая осуществлялась в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальными потребителями с помощью средств связи.
Клиент имеет право обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке действия или бездействие ИП Левин П.В., если считает, что ИП Левин П.В. осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных», или иным образом нарушает его права и свободы.
3.7. Обязанности ИП Левин П.В.
По факту личного обращения, либо при получении письменного запроса субъекта персональных данных или его представителя, ИП Левин П.В. обязан в течение 30-ти (Тридцати) дней предоставить сведения в объеме, установленном Федеральным законом. Такие сведения должны быть предоставлены в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Все обращения субъектов персональных данных или их представителей регистрируются в Журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных. Журнал может вестись на бумажном носителе или в электронном виде, с возможностью последующей распечатки.
В случае отказа в предоставлении субъекту персональных данных информации о наличии персональных данных ИП Левин П.В. обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение ч.8 ст.14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30-ти (Тридцати) дней со дня обращения субъекта персональных данных или его представителя.
ИП Левин П.В. обязан безвозмездно предоставить субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту.
В срок, не превышающий 7 (Семи) рабочих дней с даты предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, ИП Левин П.В. должен внести в них необходимые изменения.
В срок, не превышающий 7 (Семи) рабочих дней с даты предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, ИП Левин П.В. обязан уничтожить такие персональные данные. ИП Левин П.В. обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
В случае получения запроса от уполномоченного органа по защите прав субъектов персональных данных о предоставлении информации, необходимой для осуществления деятельности указанного органа, ИП Левин П.В. обязан сообщить такую информацию в уполномоченный орган в течение 30 (Тридцати) дней с даты получения такого запроса.
В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя, либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных, ИП Левин П.В. обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению ИП Левин П.В.) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных ИП Левин П.В.на основании сведений, представленных субъектом персональных данных или его представителем, либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов, обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению ИП Левин П.В.) в течение 7 (Семи) рабочих дней со дня предоставления таких сведений и снять блокирование персональных данных.
В случае выявления неправомерной обработки персональных данных, осуществляемой ИП Левин П.В. или лицом, действующим по поручению ИП Левин П.В., ИП Левин П.В.в срок, не превышающий 3 (Трех) рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению ИП Левин П.В. . В случае, если обеспечить правомерность обработки персональных данных невозможно, ИП Левин П.В. в срок, не превышающий 10 (Десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных ИП Левин П.В. обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
В случае достижения цели обработки персональных данных ИП Левин П.В. обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению ИП Левин П.В. ) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению ИП Левин П.В. )в срок, не превышающий 30 (Тридцати) рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных, иным соглашением между ИП Левин П.В. и субъектом персональных данных.
ИП Левин П.В. обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, если обработка персональных данных осуществлялась в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальными потребителями с помощью средств связи.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
ИП Левин П.В. обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
3.8. Уведомление об обработке персональных данных.
До начала обработки персональных данных ИП Левин П.В. обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, когда ИП Левин П.В. вправе осуществлять такую обработку без уведомления уполномоченного органа:
- обрабатываются персональные данные в соответствии с трудовым законодательством (работников ИП Левин П.В. );
- данные получены ИП Левин П.В. в связи с заключением договора, стороной которого является субъект персональных данных (если персональные данные не распространяются без согласия субъекта персональных данных);
- персональные данные сделаны субъектом общедоступными;
- данные включают в себя только фамилии, имена и отчества субъектов;
- персональные данные необходимы в целях однократного пропуска субъекта на территорию, на которой находится объект ИП Левин П.В. , или в иных аналогичных целях;
- данные включены в информационные системы персональных данных, имеющие статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- данные обрабатываются без использования средств автоматизации, в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
Уведомление должно быть направлено в виде документа на бумажном носителе или в форме электронного документа и подписано уполномоченным лицом ИП Левин П.В. .
Уведомление должно содержать следующие сведения:
1) наименование и адрес ИП Левин П.В. ;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых ИП Левин П.В. способов обработки персональных данных;
7) описание мер, предусмотренных ст.18.1,19 Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
8) фамилию, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, номера их контактных телефонов, почтовые адреса и адреса электронной почты;
9) дата начала обработки персональных данных;
10) срок или условие прекращения обработки персональных данных;
11) сведения о наличии или отсутствии трансграничной передачи персональных данных в процессе их обработки;
12) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ.
13) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленных Правительством РФ.
В случае изменения сведений, указанных в уведомлении, а также в случае прекращения обработки персональных данных, ИП Левин П.В. обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о таких изменениях в течение 10 (Десяти) рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
ИП Левин П.В. обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные, в случае если получение таких данных необходимо ИП Левин П.В. для исполнения своих функций и если это не противоречит законодательству РФ.
Если персональные данные были получены ИП Левин П.В. не от субъекта персональных данных, за исключением случаев, когда персональные данные были предоставлены на основании федерального закона или если персональные данные являются общедоступными, ИП Левин П.В. до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
- наименование и адрес ИП Левин П.В. или своего представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные Федеральным законом права субъекта персональных данных.
3.9. Режим конфиденциальности персональных данных.
ИП Левин П.В. обеспечивает конфиденциальность и безопасность персональных данных при их обработке в соответствии с требованиями законодательства РФ.
ИП Левин П.В. не раскрывает третьим лицам и не распространяет персональные данные без согласия на это субъекта персональных данных, если иное не предусмотрено федеральным законом.
К документам (в том числе в электронном виде и/или базам данных на отчуждаемых носителях), содержащим сведения о персональных данных, позволяющие идентифицировать субъекта персональных данных и/или получить о нем дополнительные сведения, применяются требования по обеспечению регистрации, учета, хранения и уничтожения таких документов в соответствии с правилами, установленными в ИП Левин П.В. .
Руководители структурных подразделений, в которых осуществляется обработка персональных данных клиентов ИП Левин П.В. , обязаны принимать меры по обеспечению конфиденциальности и безопасности персональных данных при их обработке подчиненными.
Лица, осуществляющие обработку персональных данных, обязаны соблюдать требования регламентирующих документов ИП Левин П.В. (и/или договоров и соглашений с ИП Левин П.В. ) в части обеспечения конфиденциальности и безопасности персональных данных.
Часть 4. Обработка персональных данных
4.1. Перечень обрабатываемых персональных данных клиентов.
В ИП Левин П.В. обрабатываются следующие персональные данные клиентов и их представителей:
1) Фамилия, имя, отчество, дата и место рождения, пол.
2) Паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ) и гражданство.
3) Адрес места жительства (по паспорту и фактический) и дата регистрации по месту жительства или по месту пребывания.
4) Номера контактных телефонов (мобильного и домашнего).
5) Коммуникации с клиентом ИП Левин П.В. (звонки, SMS-сообщения, e-mail адрес, факсы, письма).
4.2. Лица, имеющие право доступа к персональным данным.
Правом доступа к субъектам персональных данных обладают лица, наделенные соответствующими полномочиями в соответствии со своими служебными обязанностями.
Перечень лиц, имеющих доступ к персональным данным, утверждается приказом ИП Левин П.В. .
4.3. Передача персональных данных.
При передаче персональных данных субъекта персональных данных третьей стороне должны соблюдаться следующие требования:
Персональные данные субъекта не должны сообщаться третьей стороне без его письменного согласия за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных законодательством РФ.
Передача (обмен и т.д.) персональных данных между подразделениями ИП Левин П.В. осуществляется только между работниками, имеющими доступ к персональным данным субъектов.
Не допускается передача персональных данных субъекта в коммерческих целях без его письменного согласия.
Передача персональных данных третьим лицам должна осуществляться с обязательным составлением акта приема-передачи документов (иных материальных носителей), содержащих персональные данные субъектов. Акт составляется в произвольной форме и должен содержать следующие условия:
- уведомление лица, получающего данные документы, об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена;
- предупреждение об ответственности за незаконное использование данной конфиденциальной информации в соответствии с федеральными законами.
Передача документов (иных материальных носителей), содержащих персональные данные субъектов, осуществляется при наличии у лица, уполномоченного на их получение, письма-запроса от третьего лица, которое должно включать в себя указание на основания получения доступа к запрашиваемой информации, содержащей персональные данные субъекта, её перечень, цель использования, Ф.И.О. и должность лица, которому поручается получить данную информацию.
Представителю субъекта персональных данных (в том числе адвокату) персональные данные передаются в порядке, установленном действующим законодательством и настоящим Положением. Информация передается представителю субъекта персональных данных при наличии следующих документов:
- нотариально удостоверенной доверенности представителя субъекта;
- письменного заявления субъекта.
ИП Левин П.В. по мотивированному требованию уполномоченного органа государственной власти, иного государственного органа предоставляет им на безвозмездной основе сведения, содержащие персональные данные, в объеме и на условиях, указанных в законодательстве.
Мотивированный запрос о предоставлении информации, содержащий персональные данные, должен быть подписан уполномоченным должностным лицом. Мотивированный запрос предоставляется в ИП Левин П.В. на бумажном носителе и вручается представителю ИП Левин П.В. под расписку или направляется заказным почтовым отправлением с уведомлением о вручении. Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника, за исключением случаев, когда передача персональных данных субъекта без его согласия допускается действующим законодательством РФ.
4.4. Порядок и сроки хранения персональных данных.
Персональные данные клиентов ИП Левин П.В. подлежат конфиденциальному хранению на основании заключенных договоров.
Персональные данные клиентов могут также храниться в электронных базах локальной компьютерной сети.
Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать клиента, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является клиент. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом и настоящим Положением.
После прекращения действия договоров с клиентами их персональные данные хранятся в течение 5 (Пяти) лет.
Согласие на обработку персональных данных может быть отозвано клиентом в любой момент на основании направленного в ИП Левин П.В. отзыва согласия, составленного в простой письменной форме.
4.5. Блокирование персональных данных.
Под блокированием персональных данных понимается временное прекращение операций по их обработке по требованию клиента ИП Левин П.В. при выявлении им недостоверности обрабатываемых сведений или неправомерных, по мнению субъекта, действий в отношении его данных.
ИП Левин П.В. обязан блокировать персональные данные или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению ИП Левин П.В. ), в случае:
- предоставления субъектом персональных данных сведений, подтверждающих, что персональные данные, обработку которых осуществляет ИП Левин П.В. , являются неполными, неточными, неактуальными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- выявления неправомерной обработки персональных данных ИП Левин П.В. при обращении или по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных.
Блокирование персональных данных в информационных системах ИП Левин П.В. осуществляется на основании письменного заявления субъекта персональных данных.
4.6. Уничтожение персональных данных.
Под уничтожением персональных данных понимаются действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.
Субъект персональных данных вправе требовать уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
В случае отзыва клиентом согласия на обработку его персональных данных ИП Левин П.В. обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка осуществляется другим лицом, действующим по поручению ИП Левин П.В. ) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка осуществляется другим лицом, действующим по поручению ИП Левин П.В. ) в срок, не превышающий 30 (Тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого является клиент.
В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного выше, ИП Левин П.В. осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению ИП Левин П.В. ) и обеспечивает уничтожение персональных данных в срок не более, чем 6 (Шесть) месяцев, если иной срок не установлен федеральными законами.
Уничтожение персональных данных работников и клиентов осуществляется комиссией, назначаемой приказом ИП Левин П.В. . Документом, подтверждающим уничтожение персональных данных клиентов, является Акт об уничтожении персональных данных.
Уничтожение персональных данных, хранящихся на бумажном носителе, осуществляется путем механического уничтожения.
Уничтожение персональных данных, хранящихся на электронных носителях, уничтожаются путем стирания с них информации о персональных данных.
После уничтожения персональных данных клиенту направляется уведомление об уничтожении его персональных данных.
Часть 5. Система защиты персональных данных
5.1. Меры по обеспечению безопасности персональных данных при их обработке.
ИП Левин П.В. при обработке персональных данных обязан принимать необходимые меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий.
Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
3) оценкой эффективности принимаемых мер по обеспечению безопасности;
4) учетом машинных носителей персональных данных;
5) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
6) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
7) установлением правил доступа к персональным данным, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе;
8) контролем за принимаемыми мерами по обеспечению безопасности.
Для целей настоящего Положения под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.
Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах.
5.2. Защищаемые сведения о субъекте персональных данных.
К защищаемым сведениям о субъекте персональных данных в ИП Левин П.В. относятся данные, позволяющие идентифицировать субъекта персональных данных и/или получить о нем дополнительные сведения, предусмотренные законодательством и настоящим Положением.
К защищаемым сведениям о субъекте персональных данных в ИП Левин П.В. не относятся сведения:
- являющиеся общедоступными персональными данными;
- включающие в себя только фамилии, имена и отчества субъектов персональных данных;
- необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится объект - ИП Левин П.В. , или в иных аналогичных целях.
5.3. Защищаемые объекты персональных данных.
К защищаемым объектам персональных данных ИП Левин П.В. относятся:
- объекты информатизации и технические средства автоматизированной обработки информации, содержащей персональные данные;
- информационные ресурсы (базы данных, файлы и другие), содержащие информацию об информационно-телекоммуникационных системах, в которых циркулируют персональные данные, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;
- каналы связи, которые используются для передачи персональных данных в виде информативных электрических сигналов и физических полей;
- отчуждаемые носители информации на магнитной, магнитно-оптической и иной основе, применяемые для обработки персональных данных.
Технологическая информация об информационных системах и элементах системы защиты персональных данных, подлежащая защите, включает:
- сведения о системе управления доступом на объекты информатизации, на которых осуществляется обработка персональных данных;
- управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);
- технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);
- характеристики каналов связи, которые используются для передачи персональных данных в виде информативных электрических сигналов и физических полей;
- информация о средствах защиты персональных данных, их составе и структуре, принципах и технических решениях защиты;
- служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки персональных данных.
5.4. Требования к системе защиты персональных данных.
Система защиты персональных должна соответствовать требованиям Постановления Правительства РФ № 1119 от 01.11.2012г. «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных»
Система защиты персональных данных должна обеспечивать:
- своевременное обнаружение и предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
- возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- постоянный контроль за обеспечением уровня защищенности персональных данных.
Средства защиты информации, применяемые в информационных системах, должны в установленном порядке проходить процедуру оценки соответствия.
5.5. Методы и способы защиты информации в информационных системах персональных данных.
Методы и способы защиты информации в информационных системах персональных данных должны соответствовать требованиям приказа ФСТЭК РФ № 21 от 18.02.2013г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», а также требованиям «Положения по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденного руководством Центра ФСБ России № 149/54-144 21.02.2008г. (в случае определения ИП Левин П.В. необходимости использования средств криптографической защиты информации для обеспечения безопасности персональных данных).
Основными методами и способами защиты информации в информационных системах персональных данных ИП Левин П.В. являются:
- методы и способы защиты информации от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий (далее - методы и способы защиты информации от НСД).
- методы и способы защиты речевой информации, а также информации, представленной в виде информативных электрических сигналов, физических полей, от несанкционированного доступа к персональным данным, результатом которого может стать копирование, распространение персональных данных, а также иных несанкционированных действий (далее - методы и способы защиты информации от утечки по техническим каналам).
Выбор и реализация методов и способов защиты информации в информационных системах ИП Левин П.В. осуществляется в соответствии с рекомендациями регуляторов в области защиты информации – ФСТЭК России и ФСБ России, с учетом определяемых ИП Левин П.В. угроз безопасности персональных данных (модели угроз), и в зависимости от класса информационной системы.
Выбранные и реализованные методы и способы защиты информации в информационной системе должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке в информационных системах в составе создаваемой ИП Левин П.В. системы защиты персональных данных.
5.6. Меры защиты информации, составляющей персональные данные.
Меры по охране документов, содержащих персональные данные, принимаемые ИП Левин П.В. , должны включать в себя:
- определение перечня информации, составляющей персональные данные;
- ограничение доступа к информации, содержащей персональные данные, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
- регулирование отношений по использованию информации, содержащей персональные данные, сотрудниками ИП Левин П.В. на основании трудовых договоров и контрагентами ИП Левин П.В. на основании гражданско-правовых договоров.
Меры по охране конфиденциальности информации признаются разумно достаточными, если:
- исключается доступ к персональным данным любых третьих лиц без согласия ИП Левин П.В. ;
- обеспечивается возможность использования информации, содержащей персональные данные, сотрудниками ИП Левин П.В. и передачи ее контрагентам ИП Левин П.В. без нарушения законодательства о персональных данных;
- при работе с клиентом устанавливается такой порядок действий сотрудника ИП Левин П.В. , при котором обеспечивается сохранность сведений, содержащих персональные данные клиента.
5.7. Ответственность.
Все сотрудники ИП Левин П.В. , осуществляющие обработку персональных данных, обязаны хранить тайну о сведениях, содержащих персональные данные в соответствии с Положением, иными локальными актами ИП Левин П.В. , требованиями законодательства.
Лица, виновные в нарушении требований Положения, несут предусмотренную законодательством РФ ответственность. Ответственность за соблюдение режима персональных данных по отношению к персональным данным, находящимся у сотрудников на персональных компьютерах и в документарной форме, несут данные сотрудники.
Контроль за соблюдением требований Положения в ИП Левин П.В. возлагается на ИП Левин П.В. .
Часть 6. Заключительные положения.
В случае изменения действующего законодательства РФ, внесения изменений в нормативные документы ИП Левин П.В. , Положение действует в части, не противоречащей действующему законодательству и действующим внутренним документам ИП Левин П.В. , до приведения его в соответствие с такими изменениями.