ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ИП ЩЕРБАК М.В.
1. Общие положения
1.1. Настоящая Политика о защите персональных данных клиентов, посетителей сайта, законных представителей, контрагентов-физических лиц и представителей юридических лиц, являющихся контрагентами, (далее – Политика) определяет порядок получения, обработки, хранения, передачи и любого другого использования персональных данных указанных субъектов.
1.2. Целью настоящей Политики является защита персональных данных и развитие комплекса мер, направленных на обеспечение защиты прав и свобод физических лиц при обработке их персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. Политика разработана на основании: Конституции РФ, Трудового кодекса РФ, Кодекса об административных правонарушениях РФ, Гражданского кодекса РФ, Уголовного кодекса РФ, а также Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Указа Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера», а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – Данные), которые Оператор может получить от субъекта персональных данных, потребителя или иного заказчика, являющегося стороной договорных отношений по договору об оказании услуг, контрагентов Организации, заключивших с Организацией гражданско-правовой договор, пользователей сайта https://vizitkarelia.ru(далее – «сайт»), содержащего сведения об услугах Оператора.
1.4 Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования ли утраты в соответствии с требованиями Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г.
1.5. Регистрирующий орган Оператора - Управление ФНС России по Республике Карелия, ОГРНИП 322100000017001, ИНН: 100113971461.
1.6 Настоящая Политика и изменения к ней утверждаются ИП Щербак М.В.
1.7. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения - 75 лет, если иное не определено законом.
1.8. ИП Щербак М.В. является Оператором персональных данных.
1.9. Оператор с целью обеспечения неограниченного доступа к настоящему документу, определяющему политику Оператора в отношении обработки персональных данных и в сфере реализуемых мер по защите персональных данных, размещает текст настоящего Положения на своем официальном сайте https://vizitkarelia.ru (далее – «Сайт»).
1.10. Сайт может содержать гиперссылки на другие веб-сайты, предоставленные третьими лицами. Оператор не контролирует и не несет ответственности за сайты третьих лиц, на которые пользователь может перейти по ссылкам, доступным на сайте. После того как пользователь покинул сайты, Оператор не несет ответственности за защиту и конфиденциальность любой информации, которую предоставляет пользователь как субъект персональных данных и персональной информации. Субъект персональных данных должен проявлять осторожность и знакомиться с соответствующей политикой конфиденциальности веб-сайта, который он посещает.
1.11. Оператор оставляет за собой право вносить необходимые изменения в Политику при изменении действующего законодательства РФ и условий своей деятельности.
2. Понятие и состав персональных данных
В настоящей Политике используются следующие основные понятия:
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Такой информацией, в частности, являются фамилия, имя, отчество, год, месяц, дата рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иные сведения, относящиеся к субъекту персональных данных.
Конфиденциальная персональная информация – информация, которая может обрабатываться при посещении Сайта, которая автоматически передается сервисам Сайта в процессе их использования с помощью установленного на устройстве субъекта персональных данных программного обеспечения с использованием файлов cookie (метрических программ).
Оператор – юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Общедоступные персональные данные – персональные данные, размещённые субъектом персональных данных в общедоступных источниках персональных данных (в том числе справочниках, адресных книгах), доступ к которым предоставлен неограниченному кругу лиц, либо персональные данные, размещённые в общедоступных источниках персональных данных на основании письменного согласия субъекта персональных данных.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обработка персональных данных в Организации выполняется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов персональных данных, персональные данные которых обрабатываются в Организации.
Обработка персональных данных без использования средств автоматизации может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.
Категории субъектов персональных данных, которые обрабатываются Оператором:
Клиенты – физические лица, заказчики услуг или иные физические лица, имеющие намерение заказать или заказывающие, приобретающие услуги, а также данные субъектов персональных данных, в интересах которых действуют клиенты;
Контрагенты – физические лица (субъекты персональных данных) или представители юридических лиц, являющихся контрагентами, заключающие или намеревающиеся заключить гражданско-правовой договор с Оператором
Пользователи – физические лица, пользователи Сайта Организации в информационно телекоммуникационной сети «Интернет» - физические лица, желающие получить информацию в отношении оказываемых Организацией услуг или заключить договор об оказании услуг.
2.1. Персональные данные физического лица – информация, необходимая оператору персональных данных в связи с гражданско-правовыми отношениями. Под информацией понимаются сведения о фактах, событиях и обстоятельствах жизни физического лица, позволяющие идентифицировать его личность.
2.2. В состав персональных данных клиента, обрабатываемых Оператором, входят:
- фамилия, имя, отчество;
- год рождения; месяц рождения; дата рождения;
- данные документа, содержащиеся в свидетельстве о рождении;
- данные документа, удостоверяющего личность;
- номер телефона;
- адрес электронной почты.
- сведения, собираемые посредством метрических программ;
2.4. В состав персональных данных контрагента (представителя контрагента), обрабатываемых Оператором, входят:
- фамилия, имя, отчество;
- год рождения; месяц рождения; дата рождения;
- данные документа, содержащиеся в свидетельстве о рождении;
- данные документа, удостоверяющего личность;
- номер телефона;
- адрес электронной почты.
- сведения, собираемые посредством метрических программ;
- дополнительные сведения, представленные субъектом персональных данных (контрагентом) по собственному желанию.
2.5. Документы, содержащие персональные данные, являются конфиденциальными.
3. Обработка персональных данных
Целью обработки персональных данных является продвижение товаров, работ, услуг на рынке ИП Щербак М.В.
3.1. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3.2. В целях обеспечения прав и свобод человека и гражданина Оператор персональных данных при обработке персональных данных обязан соблюдать следующие общие требования:
3.2.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, реализации клиентами и контрагентами своих прав и свобод, обеспечения личной безопасности физических лиц, контроля качества выполняемой работы и оказываемых услуг, обеспечения сохранности имущества.
3.2.2. Получение персональных данных может осуществляться как путем представления их самим субъектом, так и путем получения их из иных источников. В случае недееспособности, либо несовершеннолетия субъекта персональных данных, все персональные субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и дает письменное согласие на их обработку оператором.
3.2.3. Персональные данные следует получать у самого клиента или контрагента.
3.2.4. Оператор персональных данных не имеет права получать и обрабатывать персональные данные физического лица о его политических, религиозных и иных убеждениях и частной жизни.
3.3. Использование персональных данных возможно только в соответствии с целями, определившими их получение.
Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
3.4. Передача персональных данных субъекта персональных данных возможна только с согласия самого субъекта или в случаях, прямо предусмотренных законодательством.
3.5. При передаче персональных данных оператор персональных данных должен соблюдать следующие требования:
- не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральным законом;
- не сообщать персональные данные в коммерческих целях без письменного согласия субъекта;
- предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными в порядке, установленном федеральными законами;
- не запрашивать информацию о состоянии здоровья субъекта, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
Конфиденциальная персональная информация пользователей, обрабатываемая Оператором в целях, указанных в п. 3 настоящей Политики:
- данные, которые автоматически передаются сервисам сайта в процессе их использования с помощью установленного на устройстве пользователя программного обеспечения;
- IP-адрес;
- данные файлов cookie;
- параметры и настройки интернет-браузеров (или иных программ, с помощью которых осуществляется доступ к сервисам сайта);
- файлы журналов, технические характеристики оборудования и программного обеспечения, используемых пользователем;
- дата и время доступа к сервисам Сайта;
- адреса запрашиваемых страниц;
- истории заказов;
- информация о подписках и сообщениях в службу поддержки;
- иная подобная информация.
Конфиденциальная персональная информация пользователей, используемая для целей, установленных пунктом 3 настоящей Политики, содержится в:
- текстовых файлах, которые сайт сохраняет на компьютере пользователя с помощью браузера.
4. Получение и обработка персональных данных
4.1. Получение персональных данных:
4.1.1. Получение персональных данных, за исключением общедоступных персональных данных, осуществляется Оператором непосредственно у субъектов персональных данных, либо лиц, имеющих надлежащим образом оформленные полномочия представлять интересы субъектов персональных данных при передаче персональных данных Оператору.
4.1.2. Если персональные данные субъекта можно получить только у третьей стороны, то субъект уведомляется об этом заранее и от него должно быть получено письменное согласие. Оператор сообщает субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.
4.1.3.Оператор не имеет права получать и обрабатывать сведения о субъекте персональных данных, относящиеся в соответствии с законодательством РФ в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных Трудовым кодексом и другими федеральными законами.
4.1.4. При получении персональных данных Оператор обязан сообщить субъекту персональных данных:
- о целях получения Оператором персональных данных;
- о перечне персональных данных, запрашиваемых Оператором;
- о перечне действий, которые Оператор намерен совершать с персональными данными;
- о сроке, в течение которого действует согласие субъекта персональных данных на обработку персональных данных;
- о порядке отзыва согласия на обработку персональных данных;
- о последствиях отказа субъекта персональных данных предоставить Оператору согласие на получение и обработку персональных данных.
4.1.5. Конфиденциальная персональная информация собирается автоматически в связи с активностью пользователя на Сайте. При посещении сайта фиксируются все входы в аккаунт. Другие сведения по трафику пользователя не обрабатываются и не сохраняются. На некоторых страницах Сайта установлены коды сервиса Yandex Метрика. Эти сервисы могут получать и обрабатывать информацию исключительно о том, что пользователь посетил страницу и другую информацию, которая передается браузером пользователя. Использование указанных сервисов необходимо Оператору для оперативного анализа посещений сайта, внутренней и внешней оценки посещаемости сайта, глубины просмотров, активности пользователей. Данные, полученные от указанных сервисов, не хранятся и не обрабатываются.
4.2. Обработка персональных данных:
4.2.1.Обработка персональных данных осуществляется Оператором с соблюдением принципов и правил, предусмотренных 152-ФЗ «О персональных данных» от 27 июля 2006 г., в следующих случаях:
- с согласия субъекта персональных данных на обработку его персональных данных. Согласие на обработку персональных данных считается полученным Оператором с момента предоставления субъектом персональных данных письменного согласия на обработку персональных данных либо с момента проставления специальной отметки в соответствующем поле формы сбора персональных данных, размещенной на Сайте, а в установленных законом случаях – исключительно с момента предоставления отдельного письменного согласия на обработку персональных данных;
- обработка персональных данных необходима для подготовки, заключения, исполнения гражданско-правового договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- в случаях, когда обработка персональных данных необходима Оператору для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- сбор и обработка персональной информации с использованием cookie осуществляется с согласия пользователя Сайта.
4.2.2. Обработке подлежат только те персональные данные, которые отвечают указанным в настоящей Политике целям обработки. Персональные данные не подлежат обработке в случае несоответствия их характера и объема поставленным целям.
4.2.3.Оператор также имеет право попросить субъекта персональных данных предоставить дополнительное согласие в случае необходимости использования персональных данных и персональной информации для целей, не указанных в настоящей Политике.
4.3. Письменное согласие субъекта персональных данных на обработку персональных данных должно включать в себя, в частности, сведения, указанные в ст.9 Федерального закона от 27.07.2006 № 152-ФЗ.
4.4. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 №
152-ФЗ.
4.5. Если пользователь в силу каких-либо причин не желает, чтобы установленные на Сайте сервисы получали доступ к его персональной информации, пользователь может по собственному желанию «разлогиниться» (выйти из своего аккаунта), очистить «сookies» (через свой браузер).
5. Защита персональных данных
5.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
5.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
5.3. Для защиты персональных данных субъектов оператор персональных данных:
- за свой счет обеспечивает защиту персональных данных от неправомерного их использования или утраты в порядке, установленном законодательством РФ;
- по запросу производит ознакомление субъекта персональных данных, не являющегося работником, или в случае недееспособности либо несовершеннолетия субъекта, его законных представителей с настоящим Положением;
- осуществляет передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством РФ;
- предоставляет персональные данные субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим Положением и законодательством РФ;
- обеспечивает субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные;
- предоставляет субъекту персональных данных полную информацию о его персональных данных, порядке и способах их обработки.
5.4. Основными мерами защиты персональных данных клиентов, посетителей сайта, законных представителей, контрагентов-физических лиц и представителей юридических лиц, являющихся контрагентами, являются:
- назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж.
- определение актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных и разработка мер и мероприятий по защите персональных данных;
- установление индивидуальных паролей доступа к электронным носителям;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;
- соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- для обеспечения безопасности программного обеспечения сканирование сервисов и приложений на наличие уязвимостей с использованием комбинации статического анализа исходного кода и динамического тестирования;
- шифрование всех данных пользователей при транспортировке с использованием TLS;
- проведение на ежегодной основе независимого теста Сайта на проникновение;
- осуществление внутреннего контроля и аудита.
5.6. Оператор подписал обязательство о неразглашении персональных данных.
Согласие субъекта персональных данных на распространение персональных данных может быть предоставлено Оператору:
- непосредственно;
- с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
5.7 В согласии на распространение персональных данных субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ Оператора в установлении субъектом персональных данных запретов и условий не допускается.
5.8. Оператор обязана в срок не позднее трех рабочих дней с момента получения согласия субъекта персональных данных на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных субъекта для распространения.
5.9 Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также
перечень персональных данных, обработка которых подлежит прекращению.
5.10 Действие согласия субъекта персональных данных на распространение персональных данных прекращается с момента поступления Оператору требования, указанного в настоящей Политике.
5.11 Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений Федерального закона от 27.07.2006 № 152-ФЗ или обратиться с таким требованием в суд.
6. Отзыв согласия об обработке персональных данных
6.1 Срок действия согласия субъекта персональных данных является неограниченным, однако, субъект персональных данных вправе в любой момент отозвать согласие на обработку Оператором персональных данных в случаях, установленных законодательством, путём направления письменного уведомления по адресу местонахождения Оператора или на электронный адрес: vizitkarel@mail.ru с пометкой «Отзыв согласия на обработку персональных данных».
6.2 Отзыв согласия на обработку персональных данных влечёт за собой удаление учётной записи пользователя с Сайта, а также уничтожение записей, содержащих персональные данные, на бумажных носителях и в информационных системах обработки персональных данных Оператора и третьих лиц в срок, не превышающий 10 рабочих дней с момента получения.
7. Дополнения в связи с использованием аналитических сервисов
- Сайт https://vizitkarelia.ru использует внешние сервисы веб-аналитики:
- Яндекс.Метрика (https://metrika.yandex.ru),
- Top.Mail.ru (https://top.mail.ru).
Эти сервисы автоматически собирают техническую информацию о пользователях сайта, включая:
-
- IP-адрес,
- данные cookie,
- тип и версию браузера,
- технические характеристики устройства,
- действия на сайте (время посещения, переходы по страницам),
- адреса запрашиваемых страниц и иные сведения, передаваемые браузером пользователя.
- Указанные данные относятся к категории персональных данных, так как позволяют прямо или косвенно идентифицировать пользователя, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
- Обработка указанной информации осуществляется на основании согласия субъекта персональных данных, выраженного при первом посещении сайта через cookie-баннер.
- Пользователь имеет возможность:
- согласиться на использование всех категорий файлов cookie;
- отказаться от обработки данных настроив браузер.
- Использование сайта без изменения настроек cookie в браузере расценивается как согласие на обработку соответствующих данных.
- Пользователь может управлять настройками cookie в параметрах своего браузера.
- Политики конфиденциальности соответствующих сервисов размещены по следующим адресам:
- Политика конфиденциальности Яндекс.Метрики: https://yandex.ru/legal/confidential/
- Условия использования top.mail.ru: https://help.mail.ru/legal/terms/common/privacy/