«Утверждено»
ИП КИВА КСЕНИЯ ОЛЕГОВНА ИНН 502103482201
ОГРНИП 319507400004575
Адрес места нахождения: 121467, г. Москва, ул. Молодогвардейская, д. 1, к. 2, кв. 162
фактический адрес: 121467, г. Москва, ул. Молодогвардейская, д. 1, к. 2, кв. 162
город Москва
Политика в отношении обработки персональных данныхИНДИВИДУАЛЬНЫЙ ПРЕДПРИНИМАТЕЛЬ КИВА КСЕНИЯ ОЛЕГОВНА1. Вводные положения1.1. Настоящая политика в отношении обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных.
1.2. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Настоящая Политика в отношении обработки и защиты персональных данных (далее – Политика) применяется -
ко всем сайтам: https://kivakseniya.ru/;
https://kivakseniya.ru/kivaclub;
https://kivakseniya.ru/consultation, электронной почте, используемой Исполнителем; чат -ботам: @kivagiftbot ; @kseniyakiva_club_bot ; @metodkivabot; @marafon_sdp_bot ; Телеграмм каналу @kseniyakiva; иным мессенджерам, которые содержат ссылку на данную политику, независимо от способа их использования или доступа, включая доступ с мобильных устройств.
1.2. Основные понятия1.2.1.Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
1.2.2.Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
1.2.3. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
1.2.4. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
1.2.5. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
1.2.6. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
1.2.7. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
1.2.8. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
1.2.9. Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.2.10. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
1.2.11. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
1.2.12. Cookie-файл (куки-файл)- информация, которая может содержать в себе сведения о Субъекте персональных данных: IP адрес устройства, информацию о программе, с помощью которой осуществляется доступ к интернет -сайту, геолокацию, технические характеристики оборудования и программного обеспечивания, которое использует субъект, дата и время доступа к сайту и иные подобные сведения.
1.2.13.Cубъект персональных данных- физическое лицо, которое прямо или косвено определено или определяемо с помощью персональных данных.
2.Информация об Операторе персональных данных2.1. ИП КИВА КСЕНИЯ ОЛЕГОВНА, ИНН 502103482201, ОГРНИП 319507400004575, адрес: 121467, г. Москва, ул. Молодогвардейская, д. 1, к. 2, кв. 162, e-mail Kivakseniya@yandex.ru, телефон: 89057649170.
3. Основные права субъектов персональных данных.3.1. Субъект персональных данных имеет право— на получение персональных данных, относящихся к данному субъекту, и информации, касающейся их обработки у Оператора;
3.2. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3.3. Cубъект персональных данных вправе на отзыв данного им согласия на обработку персональных данных;
3.4. Cубъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке;
3.5. Cубъект персональных данных имеет имеет право на обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
3.6. Cубъект персональных данных имеет иные права в соответствии с Федеральным законом от 27.07.2006. №152-ФЗ «О персональных данных».
4. Основные обязанности Оператора.4.1. Оператор персональных данных обязан организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных.
4.2. Оператор обязан предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных в течение 10 рабочих дней с даты обращения или получения запроса.
4.3. Оператор обязан предоставить возможность субъекту обработки персональных данных ознакомиться с его персональными данными, находящимися у Оператора, либо дать письменный отказ от предоставления такой информации в течение 10 дней с даты обращения или получения запроса.
4.4. Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные в случае, если предоставление персональных данных является обязательным в соответствии с федеральным законом.
4.5. Оператор обязан предоставить в Роскомнадзор запрошенные сведения в течение 10рабочих дней с даты обращения или получения запроса.
4.6. Оператор обязан прекратить обработку персональных данных по требованию субъекта персональных данных в течение 10 рабочих дней, начиная с даты обращения или получения запроса.
4.7. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
4.8. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении персональных данных.
4.9. Оператор обязан уведомить Роскомнадзор в течение 24 часов о факте неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов (инцидент), а также о предполагаемых причинах и вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий инцидента.
4.10. Оператор обязан уведомить Роскомнадзор в течение 72 часов о результатах внутреннего расследования по поводу инцидента и сообщать о лицах, действия которых стали причиной утечки персональных данных.
4.11. Оператор обязан соблюдать требования к Оператору, установленные ФЗ «О персональных данных».
5. Правовые основание обработки персональных данных.5.1. Оператор обрабатывает персональные данные руководствуясь:
-Конституцией РФ;
- Гражданский кодекс РФ;
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федеральный закон РФ от 27.07.2006 No 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Налоговым кодексом РФ;
- Федеральным законом от 06.04.2011 No 63 «Об электронной подписи»;
- Федеральный закон от 29.12.2012 N 273-ФЗ «Об образовании в Российской Федерации»;
- иные федеральные законы;
- Постановлением Правительства РФ от 01.11.2012 No 1119 «Об утверждении требований к защите ПДн при их обработке в информационных системах персональных данных»;
- Постановление Правительства РФ от 15.09.2008 No 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
-иные НПА;
- Настоящей Политикой;
- Договорами, которые могут заключаться между Оператором и контрагентами, когда в соответствии с такими договорами, могут предоставляться персональные данные;
- Согласиями на обработку персональных данных;
- иные внутренние локальные акты, принятые Оператором.
6.Принципы обработки персональных данных.Обработка персональных данных осуществляется на основании следующих принципов:
— законности и справедливости целей и способов обработки персональных данных;
— соответствия целей обработки персональных данных законным целям, заранее определенным и заявленным при сборе персональных данных;
— соответствия объема и содержания обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
— точности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
— недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональных данных;
— хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, или ФЗ, договор, согласие, устанавливающие срок хранения персональных данных;
— уничтожения и обезличивания персональных данных по достижении целей их обработки, в случае утраты необходимости в достижении целей обработки или по окончании срока хранения персональных данных;
— обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.
7.Цели обработки персональных данных | Цель обработки | Категории ПДн | Категория субъектов | Правовое обоснование | Перечень действий | Способы обработки |
1 | Подготовка, заключение и исполнение гражданско-правового договора | фамилия, имя, отчество; год рождения; пол; адрес электронной почты; адрес места жительства; номер телефона; реквизиты банковской карты; номер расчетного счета; номер лицевого счета. | -Контрагенты; -Представители контрагентов; -Клиенты; --Посетители сайта; -Учащиеся. | обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; | сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); передача (предоставление, доступ); блокирование; удаление; уничтожение; | Cмешанная; с передачей по внутренней сети юридического лица; без передачи по сети Интернет |
8. Порядок и условия обработки персональных данных8.1. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновление, изменение), передачи (предоставление, доступ),блокирования, удаления, уничтожения.
8.2. Оператор осуществляет смешанную обработку персональных данных.
8.3. В случае необходимости осуществления трансграничной передачи персональных данных, перед совершением такой передачи, обязано убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, а также отсутствии установленных законодательством запретов или ограничений на передачу персональных данных на территорию данного иностранного государства.
8.4.Трансграничная передача персональных данных на территорию иностранных государств не может осуществляться без уведомления Роскомнадзора, а также без получения дополнительных согласий субъектов персональных данных.
8.5. Распространение персональных данных может осуществляться только после получения согласия на распространение персональных данных, оформленного отдельно от иных согласий субъекта персональных данных на обработку его персональных данных, в котором должен быть определен перечень персональных данных, разрешенных субъектом для распространения.
8.6. Уточнение персональных данных осуществляется по запросам субъектов персональных данных, их законных представителей или в случае обращения уполномоченных органов.
8.7. Основанием для уничтожения персональных данных, обрабатываемых Оператором, является:
— достижение цели обработки персональных данных; — прекращение необходимости в достижении цели обработки персональных данных; — отзыв субъектом персональных данных согласия на обработку персональных данных, за исключением случаев, когда обработка указанных персональных данных является обязательной в соответствии с законодательством РФ или договором, либо обработка может осуществляться без согласия субъекта персональных данных; — выявление неправомерных действий с персональными данными и невозможность устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты такого выявления; — истечение срока хранения персональных данных, установленного законодательством РФ, локальными актами, договором, заключенным с субъектом персональных данных, согласием субъекта персональных данных; — предписание Роскомнадзора или иного уполномоченного органа. 8.8. Обрабатываемые персональные данные подлежат обезличиванию или уничтожению по достижении целей обработки или в случае прекращения необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.
8.9 Обезличивание персональных данных должно осуществляться следующими методами: — введения идентификаторов, путем замены части сведений на идентификаторы, с созданием таблицы соответствия идентификаторов исходным данным;
— изменения состава или семантики персональных данных путем их замены результатами статистической обработки, преобразования, обобщения или удаления части сведений;
— декомпозиции, путем разделения множества (массива) данных на несколько подмножеств с последующим раздельным хранением подмножеств;
— перемешивания, путем перестановки отдельных значений или групп значений атрибутов данных в массиве данных.
8.10. При обработке персональных данных в информационных системах персональных данных с целью обеспечения безопасности персональных данных, при наличии технической возможности, Оператор стремится:
— исключать фиксацию на одном материальном носителе персональных данных и иных видов информации, а также персональных данных, цели обработки которых заведомо несовместимы;
— для каждой категории персональных данных использовать отдельный материальный носитель.
8.11. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
8.12. Сроки обработки и хранения персональных данных для всех целей, предусмотренных настоящей Политики, определяются в соответствии с настоящей Политикой, сроками, указанными в согласиях на обработку персональных данных, договорами, заключенными с субъектами персональных данных, а также требованиями законодательства РФ.
8.13. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, согласием субъекта персональных данных.
8.14. Оператор обрабатывает персональные данные только в случае их заполнения и/или отправки Cубъектом самостоятельно.
9. Основные меры по обеспечению безопасности персональных данных9.1. Разработаны локальные акты, по вопросам обработки персональных данных. Лица, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими
политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
9.2.Назначен ответственный за организацию обработки персональных данных.
9.3.На стенде (и (или) сайте) размещен документ, определяющий политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных, данных.
9.4.Разработаны модели угроз безопасности персональным данным в информационных системах. В информационных системах установлен 3 уровень защищенности персональных данных.
Оператор обеспечивается учет машинных носителей персональных данных. Обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
9.5.Разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных.
9.6.Осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона РФ No 152 «О персональных данных» и принятым в соответствии с ним нормативно правовым актам. Исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными.
9.7.Обеспечена сохранность носителей персональных данных и средств защиты информации. Для обеспечения безопасности персональных данных применяются программно- технические средства, прошедшие в установленном порядке процедуру оценки соответствия.
10. Заключительные положения10.1. В случае изменений законодательства и иных нормативных правовых актов Российской Федерации, настоящая Политика, а также изменения к нему, применяются в части, не противоречащей вновь принятым актам.
10.3. Субъект персональных данных может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты Kivakseniya@yandex.ru, либо направив письмо на адрес регистрации Оператора.
10.4. Оператор вправе вносить изменения в настоящую Политику. Уведомление Субъектов персональных данных производится путем публикации обновленной редакции Политики на сайте, в мессенджерах, каналах и др необходимых источника.
10.5. Изменения вступают в силу со дня опубликования.
10.6. Оператор обеспечивает неограниченный доступ к Политике, копия которой размещена по адресу нахождения Оператора, а также
может размещаться на Интернет-Сайте https://kivakseniya.ru/;
https://kivakseniya.ru/kivaclub; https://kivakseniya.ru/consultation
, направляться с электронной почте, используемой Исполнителем; чат -ботам: @kivagiftbot ; @kseniyakiva_club_bot ;.@metodkivabot; @marafon_sdp_bot ; Телеграмм каналу @kseniyakiva; иным мессенджерам.