Политика оператора в отношении обработки персональных данных

Редакция от 28.07.2025 г.

1. Общие положения

1.1. Политика оператора в отношении обработки персональных данных (далее – Политика) разработана в целях обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Основные понятия, используемые в Политике: 

  • персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); 
  • обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; 
  • автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники; 
  • распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц; 
  • предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; 
  • блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); 
  • уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; 
  • обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; 
  • оператор персональных данных (оператор) – Индивидуальный предприниматель Голубева Лариса Владимировна (ИНН: 330900054214, ОГРНИП: 324330000017920); 

1.3. Оператор, получивший доступ к персональным данным, обязан соблюдать конфиденциальность персональных данных – не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

2. Цели сбора персональных данных

2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.2. К целям обработки персональных данных оператора относятся: 

  • продвижение товаров, работ, услуг на рынке; 
  • заключение, исполнение и прекращение гражданско-правовых договоров; 
  • организация бухгалтерского учета; 
  • предоставление доступа субъекта к сервисам, информации и/или материалам, содержащимся на сайте (если применимо); 
  • проведение обезличенных статистических исследований.

3. Правовые основания обработки персональных данных

3.1. Правовым основанием обработки персональных данных является: 

  • согласие субъекта персональных данных на обработку его персональных данных.

3.2. Согласие на обработку персональных данных выражается субъектом посредством акцепта оферты, расположенной на сайте (если применимо), либо иным способом, предусмотренным законодательством Российской Федерации.

4. Категории и перечень обрабатываемых персональных данных, категории субъектов персональных данных

4.1. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.2. Категория обрабатываемых персональных данных: общая.

4.3. Перечень обрабатываемых персональных данных: 

  • фамилия, имя, отчество; 
  • год, месяц, дата рождения; 
  • пол; 
  • адрес электронной почты; 
  • номер телефона.

4.4. К категориям субъектов персональных данных относятся: 

  • контрагенты; 
  • представители контрагентов; 
  • клиенты; 
  • посетители сайта.
  • выгодоприобретатели по договорам; 
  • учащиеся.

5. Порядок и условия обработки персональных данных

5.1. Оператор осуществляет следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, удаление, уничтожение.

5.2. Обработка персональных данных осуществляется смешанным способом: с использованием автоматизированных средств с передачей по внутренней сети оператора и по сети Интернет.

5.3. Оператор не осуществляет трансграничную передачу персональных данных.

5.4. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.

5.5. Источник получения персональных данных: сайт (если применимо), договоры, анкеты, заявления и иные документы, предоставленные субъектами персональных данных.

5.6. Местом хранения персональных данных является база данных, расположенная по адресу: Россия, Владимирская область, Собинский район, г. Лакинск, ул. Юбилейная, д. 38.

5.7. Условием прекращения обработки персональных данных является ликвидация оператора.

5.8. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

5.9. Оператор принимает следующие меры для обеспечения безопасности персональных данных: 

  • назначено лицо, ответственное за организацию обработки персональных данных; 
  • изданы документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; 
  • применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных»; 
  • осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора и локальным актам; 
  • проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», с учетом соотношения указанного вреда и принимаемых мер; 
  • работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, включая требования к защите персональных данных, документами оператора и прошли обучение; 
  • определены угрозы безопасности персональных данных при их обработке в информационных системах, применяются модели актуальных угроз и меры по их нейтрализации; 
  • обеспечен учет машинных носителей персональных данных; 
  • осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем; 
  • ограничен доступ посторонних лиц в помещения, предназначенные для обработки персональных данных; 
  • используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации (КС1); 
  • шифровальные (криптографические) средства не используются.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

6.1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона «О персональных данных», субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта или его представителя либо в течение десяти рабочих дней с даты получения запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней, в случае направления оператором мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

6.2. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту. В срок, не превышающий семи рабочих дней со дня предоставления субъектом или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести необходимые изменения. В срок, не превышающий семи рабочих дней со дня предоставления сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

6.3. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных, его представителем, уполномоченным органом по защите прав субъектов персональных данных или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

6.4. Оператор обязан прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, действующим по поручению оператора: 

  • в случае выявления неправомерной обработки персональных данных в срок, не превышающий трех рабочих дней с даты выявления; 
  • в случае отзыва субъектом персональных данных согласия на обработку его персональных данных; 
  • в случае достижения цели обработки персональных данных и уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты достижения цели обработки. В случае отсутствия возможности уничтожения персональных данных в указанный срок оператор осуществляет блокирование таких персональных данных и обеспечивает их уничтожение в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

6.5. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента уведомить уполномоченный орган по защите прав субъектов персональных данных: 

  • в течение двадцати четырех часов о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов, предполагаемом вреде, принятых мерах по устранению последствий, а также предоставить сведения о лице, уполномоченном на взаимодействие с уполномоченным органом; 
  • в течение семидесяти двух часов о результатах внутреннего расследования инцидента и о лицах, действия которых стали причиной инцидента (при наличии).

6.6. В случае обращения субъекта персональных данных с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения требования, прекратить обработку или обеспечить ее прекращение, за исключением случаев, предусмотренных Федеральным законом «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней, в случае направления мотивированного уведомления с указанием причин.

6.7. После истечения срока нормативного хранения документов, содержащих персональные данные субъекта, или при наступлении иных законных оснований документы подлежат уничтожению.

6.8. Оператор для этих целей создает экспертную комиссию и проводит экспертизу ценности документов.

6.9. По результатам экспертизы документы, содержащие персональные данные субъекта и подлежащие уничтожению: 

  • в электронном виде – стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация