Политика в отношении обработки персональных данных

1.1. Настоящая Политика Индивидуального предпринимателя Курицына Дмитрия Валерьевича, ИНН 502480943592, ОГРНИП 320508100324979 (Далее — Оператор) в отношении обработки персональных данных (далее — Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.

1.2. Целью обработки персональных данных является:

1.2.1. Установления с Пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования сайта https://www.farfor.studio/, оказания услуг, обработку запросов и заявок от Пользователя.

1.2.2. Предоставления Пользователю эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием сайта https://www.farfor.studio/.

1.2.3. Предоставления Пользователю с его согласия обновлений продукции, специальных предложений, новостной рассылки и иных сведений от имени сайта https://www.farfor.studio/ или от имени партнёров сайта https://www.farfor.studio/.

1.2.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на странице Оператора на сайте https://www.farfor.studio/ и любых его поддоменах (далее — сайт).

1.2.5. Использование Пользователем сайта означает согласие с настоящей Политикой и условиями обработки персональных данных Пользователя.

1.3. Термины и определения, используемые в Положении:

1) персональные данные — любая информация, относящаяся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение.

2) персональные данные, разрешённые субъектом персональных данных для распространения — сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путём дачи согласия на обработку этих персональных данных, разрешённых им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. З Закона № 152–03).

3) оператор — Оператор, организующий и осуществляющие обработку персональных данных, а также определяющее цели и содержание обработки персональных данных;

4) обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обработку, блокирование, уничтожение персональных данных;

5) использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом, затрагивающих права и свободы субъекта персональных данных или других лиц;

6) распространение персональных данных — действия, направленные на передачу персональных данных определённому кругу лиц (передача персональных данных);

7) блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

8) обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

9) автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

10) уничтожение персональных данных действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

‍

2.1. Оператором осуществляется обработка персональных данных следующих категорий субъектов персональных данных:

1) физические лица, имеющие намерение заказать либо заказывающие и использующие услуги, оказываемые Оператором.

2) контрагенты — физические лица, заключившие с Оператором договоры на оказание услуг.

2.2. В информационных системах Оператора осуществляется обработка следующих категорий персональных данных:

категория 1: персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию;

категория 2: персональные данные, разрешённые субъектом персональных данных для распространения.

2.3. Обработка персональных данных субъектов персональных данных осуществляется с целью осуществления основной деятельности Оператора.

Состав персональных данных включает:

— фамилию, имя, отчество Пользователя;

— контактный телефон Пользователя;

— адрес электронной почты (email);

— год, месяц, дата, место рождения;

— семейное положение;

— пол;

— иная информация, обрабатываемая Оператором: данные о технических средствах (устройствах) — IP-адрес, вид операционной системы, тип браузера, географическое положение, поставщик услуг сети Интернет; сведения об использовании Сервисов; информация, автоматически получаемая при доступе к Сервисам, в том числе с использованием cookies; информация, полученная в результате действий Субъекта персональных данных, в том числе следующие сведения: о направленных запросах, отзывах и вопросах, пользовательские клики, просмотры страниц, заполнения полей, показы и просмотры баннеров и видео; данные, характеризующие аудиторные сегменты; параметры сессии; данные о времени посещения.

2.4. Обработка персональных данных контрагентов осуществляется в рамках заключённых договоров с целью исполнения договорных обязательств, обеспечения соблюдения законов и иных нормативных правовых актов, Состав персональных данных контрагентов включает: фамилию, имя, отчество; паспортные данные; адрес фактического проживания; контактный телефон; электронная почта; идентификационный номер налогоплательщика.

3.1. Субъект персональных данных имеет право на получение следующих сведений об Операторе, которое осуществляет обработку его персональных данных: о месте его нахождения, о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными.

3.2. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

3.3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

—  подтверждение факта обработки персональных данных Оператором, а также цель такой обработки;

—  способы обработки персональных данных, применяемые Оператором;

—  сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; перечень обрабатываемых персональных данных и источник их получения;

—  сроки обработки персональных данных, в том числе сроки их хранения;

—  сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

3.4. Субъект персональных данных вправе требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.1. Обработка персональных данных организована Оператором на принципах:

—  законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;

—  ограничения обработки персональных данных достижением конкретных, заранее определённых и законных целей;

—  достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

—  обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;

—  соответствия содержания и объёма обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

—  недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

—  обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

—  хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого он является. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.2. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ» О персональных данных «и настоящим Положением.

4.3. Способы обработки персональных данных:

—  с использованием средств автоматизации;

—  без использования средств автоматизации.

4.4. При обработке персональных данных должны соблюдаться следующие условия:

4.4.1. получение согласия субъекта персональных данных;

4.4.2. обработка персональных данных должна осуществляться Оператором с согласия субъектов персональных данных, за исключением следующих случаев, когда:

—  обработка персональных данных осуществляется на основании федерального закона, устанавливающего её цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора (Оператором);

—  обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

—  обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

—  обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

—  обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчётов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.

4.5. В информационных системах Оператора запрещена обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости, за исключением следующих случаев:

—  субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

—  персональные данные, разрешённые субъектом персональных данных для распространения.

4.6. Обработка специальных категорий персональных данных, осуществлявшаяся в вышеперечисленных случаях, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.

4.7. Условия поручения обработки персональных данных третьему лицу.

В случае если Оператора на основании договора поручает обработку персональных данных другому лицу, существенным условием договора должно стать условие об обязанности обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

4.8. Условия обработки персональных данных в целях продвижения товаров, работ, услуг.

Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных.

4.9. По требованию субъекта персональных данных Оператор обязан немедленно прекратить обработку его персональных данных в целях продвижения товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи.

4.10. Субъект персональных данных принимает решение о предоставлении своих персональных данных Оператору и даёт согласие на их обработку своей волей и в своих интересах, за исключением случаев, когда предоставление субъектом персональных данных своих персональных данных обязательно в силу закона, в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

5.1. Меры по обеспечению безопасности персональных данных при их обработке.

5.1.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения,

изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.1.2. Обеспечение безопасности персональных данных достигается, в частности:

—  определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

—  применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;

—  применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

—  оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

—  учётом машинных носителей персональных данных;

—  обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

—  восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

—  установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учёта всех действий, совершаемых с персональными данными в информационной системе персональных данных;

—  контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных.

5.1.3. Для целей Положения под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищённости персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определённых угроз безопасности персональных данных при их обработке в информационной системе персональных данных.

5.2. Защищаемые сведения о субъекте персональных данных.

К защищаемым сведениям о субъекте персональных данных на сайте относятся данные, позволяющие идентифицировать субъект персональных данных и/или получить о нем дополнительные сведения, предусмотренные законодательством и Положением.

5.3. Защищаемые объекты персональных данных.

5.3.1. К защищаемым объектам персональных данных на сайте относятся:

—  объекты информатизации и технические средства автоматизированной обработки информации, содержащей персональные данные;

—  информационные ресурсы (базы данных, файлы и др.), содержащие информацию об информационно-телекоммуникационных системах, в которых циркулируют персональные данные, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

—  каналы связи, которые используются для передачи персональных данных в виде информативных электрических сигналов и физических полей;

—  отчуждаемые носители информации на магнитной, магнитно-оптической и иной основе, применяемые для обработки персональных данных.

5.32. Технологическая информация об информационных системах и элементах системы защиты персональных данных, подлежащая защите, включает:

—  сведения о системе управления доступом на объекты информатизации, на которых осуществляется обработка персональных данных;

—  управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

—  технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

—  характеристики каналов связи, которые используются для передачи персональных данных в виде информативных электрических сигналов и физических полей;

—  информация о средствах защиты персональных данных, их составе и структуре, принципах и технических решениях защиты;

—  служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки персональных данных.

5.4. Требования к системе защиты персональных данных.

Система защиты персональных данных должна соответствовать требованиям постановления Правительства от 01.11.2012 № 1119 „Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных“.

5.4.1. Система защиты персональных данных должна обеспечивать:

—  своевременное обнаружение и предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

—  недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

—  возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

—  постоянный контроль за обеспечением уровня защищённости персональных данных. 5.4.2. Средства защиты информации, применяемые в информационных системах, должны в установленном порядке проходить процедуру оценки соответствия.

5.5. Методы и способы защиты информации в информационных системах персональных данных Оператора должны соответствовать требованиям приказа ФСТЭК от 18.02.2013 N'2 21 „Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных“;

5.6. Меры защиты информации, составляющей персональные данные.

5.6.1. Меры по охране баз данных, содержащих персональные данные, принимаемые Оператором, должны включать в себя:

—  определение перечня информации, составляющей персональные данные;

—  ограничение доступа к информации, содержащей персональные данные, путём установления порядка обращения с этой информацией и контроля за соблюдением такого порядка.

5.6.2 Меры по охране конфиденциальности информации признаются разумно достаточными, если:

—  исключается доступ к персональным данным любых третьих лиц без согласия Оператора;

—  обеспечивается возможность использования информации, содержащей персональные данные, без нарушения законодательства о персональных данных;

—  при работе с Пользователем устанавливается такой порядок действий Оператора, при котором обеспечивается сохранность сведений, содержащих персональные данные Пользователя.

5.7. Персональные данные не могут быть использованы в целях, противоречащих требованиям Федерального закона, защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

6.1. Хранение носителей, содержащих персональные данные, должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.

6.2. Хранение носителей информации, содержащих персональные данные, должно осуществляться при условиях, обеспечивающих сохранность и исключающих несанкционированный доступ к данным носителям.

6.3. Машинные носители информации, предусматривающие хранение персональных данных, выдаются пользователям под роспись (за исключением информационных систем персональных данных, в которых данное требование не предусмотрено). Запрещается копировать персональные данные на носители информации, не предназначенные для хранения персональных данных и не учтённые установленным порядком.

6.4. Бумажные носители информации, содержащие персональные данные, обрабатываемые в информационных системах персональных данных Оператора, должны храниться в помещениях Оператора. При возможности доступа в помещения, где осуществляется такое хранение, лиц, не имеющих права доступа к персональным данным, носители должны храниться в специально оборудованных запирающихся шкафах. Данные помещения при выходе из них работников закрываются на ключ.

Помещения, в которых производится хранение носителей персональных данных, должны быть оборудованы средствами охранно-пожарной сигнализации.

6.5. Документы, содержащие персональные данные, подлежат уничтожению в следующих случаях:

—  по достижении целей их обработки или в случае утраты необходимости в достижении этих целей в случаях, предусмотренных ч. 4 ст. 21 Закона о персональных данных;

—  по требованию субъекта персональных данных, в установленных случаях (ч. 1 ст. 14, ч. З ст. 20 Закона о персональных данных); в случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, если обеспечить правомерность обработки данных невозможно (ч. З ст. 21 Закона о персональных данных); при отзыве субъектом персональных данных согласия на их обработку в случаях, предусмотренных ч. 5 ст. 21 Закона о персональных данных.

6.6. Для уничтожения носителей персональных данных соответствующим приказом Оператора формируется экспертная комиссия, которая осуществляет мероприятия по уничтожению носителей персональных данных.

В состав экспертной комиссии должны входить председатель — Лицо, ответственное за обработку персональных данных, а также члены комиссии из числа работников Оператора. Количество членов комиссии определяется исходя из необходимости, количества, формата носителей персональных данных, особенностей обработки персональных данных на данных носителях и иных факторах, требующих наличия в составе экспертной комиссии специалиста определённого профиля.

Экспертная комиссия формирует перечень носителей персональных данных, которые подлежат уничтожению.

6.7. Способ уничтожения документов, не подлежащих хранению:

—  для физического уничтожения документов на бумажных носителях измельчение (шредирование);

—  для документов в электронной форме — стирание информации и (или) физическое уничтожение носителя информации.

7.1. Контроль и надзор за выполнением требований настоящего Положения осуществляется в соответствии с планом внутренних проверок состояния защиты персональных данных.

7.2. Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер. Он может проводиться должностным лицом, ответственным за обеспечение безопасности персональных данных, или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите конфиденциальной информации.

8.1. Сотрудник Работодателя, получивший доступ к персональным данным, обязан соблюдать режим конфиденциальности при работе с персональными данными, не передавать персональные данные другим лицам, соблюдать требования Российского законодательства о персональных данных.

8.2. Сотрудники Работодателя, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

8.3. Работодатель имеет право наложить на сотрудника, виновного в нарушение порядка обращения с персональными данными дисциплинарное взыскание в соответствие с Трудовым кодексом Российской Федерации.