Политика обработки и защиты персональных данных

1. Введение

1.1. Важнейшим условием реализации целей деятельности Оператора персональных данных (далее – «Оператор», «Индивидуальный предприниматель», «ИП»), является обеспечение необходимого и достаточного уровня информационной безопасности активов, к которым, в том числе, относятся персональные данные и коммерческие процессы, в рамках которых они обрабатываются.

Обработка и обеспечение безопасности информации, отнесенной к персональным данным осуществляется Индивидуальным предпринимателем в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»; Трудовым Кодексом РФ; Законом РФ от 07.02.1992 N 2300-1 «О защите прав потребителей»; Федеральным законом от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»; Постановлением Правительства РФ от 27.09.2007 N 612 (ред. от 04.10.2012) "Об утверждении Правил продажи товаров дистанционным способом", Постановлением Правительства РФ от 19.01.1998 N 55 «Об утверждении Правил продажи отдельных видов товаров, перечня товаров длительного пользования, на которые не распространяется требование покупателя о безвозмездном предоставлении ему на период ремонта или замены аналогичного товара, и перечня непродовольственных товаров надлежащего качества, не подлежащих возврату или обмену на аналогичный товар других размера, формы, габарита, фасона, расцветки или комплектации», а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и позволяет обеспечить защиту персональных данных, обрабатываемых как в информационных системах персональных данных, т.е. в системах, целью создания которых является обработка персональных данных, так и в иных информационных системах, в которых персональные данные обрабатываются совместно с информацией, защищаемой в соответствии с требованиями, установленными для этой информации (режим защиты сведений, составляющих коммерческую тайну и др.).

1.2. Настоящая Политика определяет принципы, порядок и условия обработки и защиты персональных данных и действует в отношении всех персональных данных (далее – Данные), которые ИП может получить от субъекта персональных данных, являющегося стороной по гражданско-правовому договору, а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работник).

1.3. Персональные данные являются конфиденциальной, строго охраняемой информацией и на них распространяются все требования, установленные внутренними документами Индивидуального предпринимателя к защите конфиденциальной информации.

2. Понятие и состав персональных данных. Термины и принятые сокращения.

2.1. Перечень персональных данных, подлежащих защите ИП, формируется в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

2.2. Сведениями, составляющими персональные данные (далее – персональные данные, ПД), является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.5. Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.6. Персональные данные, сделанные общедоступными субъектом персональных данных, – ПД, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.

2.7. Блокирование персональных данных – временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.8. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПД в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.9. Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

3. Обработка персональных данных, ее цели.

3.1. Индивидуальный предприниматель осуществляет обработку персональных данных в следующих целях:

3.1.1. Осуществления Индивидуальным предпринимателем деятельности, предусмотренной его ОКВЭД, а также действующим законодательством РФ, в частности, Законом РФ от 07.02.1992 N 2300-1 «О защите прав потребителей"; Постановлением Правительства РФ от 27.09.2007 N 612 (ред. от 04.10.2012) "Об утверждении Правил продажи товаров дистанционным способом", Постановлением Правительства РФ от 19.01.1998 N 55 «Об утверждении Правил продажи отдельных видов товаров, перечня товаров длительного пользования, на которые не распространяется требование покупателя о безвозмездном предоставлении ему на период ремонта или замены аналогичного товара, и перечня непродовольственных товаров надлежащего качества, не подлежащих возврату или обмену на аналогичный товар других размера, формы, габарита, фасона, расцветки или комплектации»;

3.1.2. Осуществления гражданско-правовых отношений: заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и видами экономической деятельности, осуществляемыми Индивидуальным предпринимателем;

3.1.3. Осуществления трудовых отношений: организации кадрового учета у Индивидуального предпринимателя, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также видами экономической деятельности, осуществляемыми Индивидуальным предпринимателем.

3.1.4. Информирования о товарах, сообщения о технических нововведениях, учета предоставленной информации в базах данных, проведения маркетинговых исследований и рекламных мероприятий с помощью различных средств связи, в том числе, для продвижения товаров, работ и услуг, проведения статистических исследований, исследований, направленных на улучшение качества услуг.

3.1.5. В иных целях, не противоречащих действующему законодательству РФ.

3.2. Оператор должен сообщить субъекту о целях, способах получения ПД, характере подлежащих получению ПД, перечне действий с ПД, сроке, в течение которого действует согласие, и порядке его отзыва.

3.3. Документы, содержащие ПД, создаются путем:

• копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство, водительское удостоверение и др.);
• внесения сведений в учетные формы;
• получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).

3.4. Обработка ПД.

3.4.1. Обработка персональных данных осуществляется:

• с согласия субъекта персональных данных на обработку его персональных данных, составленного по форме Приложения № 1, и являющегося неотъемлемой частью настоящей Политики;
• в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;
• в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).

3.4.2. Категории субъектов персональных данных. Обрабатываются ПД следующих субъектов ПД:

• физические лица, состоящие с Индивидуальным предпринимателем в трудовых отношениях;
• физические лица, расторгшие трудовой договор с Индивидуальным предпринимателем;
• физические лица, являющиеся кандидатами на работу;
• физические лица, состоящие с Индивидуальным предпринимателем в гражданско-правовых отношениях, либо планирующие/способные вступить в такие правоотношения в будущем.

3.4.3. Обработка персональных данных ведется:

• с использованием средств автоматизации (автоматизированной системы управления базами данных (СУБД), а также иных программных средств, специально разработанных по поручению Оператора, объединение персональных данных в единую информационную систему. При этом используемыми способами обработки данных являются (включая, но не ограничиваясь): автоматическая сверка почтовых кодов с базой кодов, автоматическая проверка написания названий улиц/ населенных пунктов, уточнение данных путем телефонной, почтовой связи или с помощью сети Интернет, сегментация базы по заданным критериям.
• без использования средств автоматизации.

3.5. Хранение персональных данных.

3.5.1. ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

3.5.2. ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

3.5.3. ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.

3.5.4. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.

3.5.5. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.6. Уничтожение персональных данных.

3.6.1. Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

3.6.2. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.

3.6.3. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей.

3.7. Передача персональных данных.

3.7.1. Оператор передает ПД третьим лицам в следующих случаях:

• субъект выразил свое согласие на такие действия;
• передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.

3.7.2. Перечень лиц, которым передаются ПД. Третьи лица, которым передаются ПД:

• Пенсионный фонд РФ для учета (на законных основаниях);
• налоговые органы РФ (на законных основаниях);
• Фонд социального страхования РФ (на законных основаниях);
• территориальный фонд обязательного медицинского страхования (на законных основаниях);
• страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);
• банки для начисления заработной платы (на основании договора);
• органы МВД России в случаях, установленных законодательством,
• третьи лица, привлеченные Оператором для исполнения договоров, заключенных Оператором с субъектом ПД, при условии соблюдения третьими лицами условий об обеспечении конфиденциальности персональных данных и безопасности при их обработке;
• лица, которым Оператором поручена обработка ПД, а также, иные уполномоченные лица и контрагенты на законных основаниях, при условии соблюдения такими лицами требований законодательства об обеспечении конфиденциальности персональных данных и безопасности при их обработке.

4. Защита персональных данных

4.1. В соответствии с требованиями нормативных документов Оператором выполняются мероприятия по защите персональных данных правового, организационного и технического характера.

4.2. Правовые мероприятия защиты представляют собой разработку и введение комплекса правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование мероприятий по защите ПД.

4.3. Организационные мероприятия защиты включают в себя организацию структуры управления средствами защиты ПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.

4.4. Технические мероприятия защиты включают в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.

4.5. Основными мерами защиты ПД, используемыми Оператором, являются:

4.5.1. Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением ИП и его работниками требований к защите ПД.

4.5.2. Определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мер и мероприятий по защите ПД.

4.5.3. Разработка политики в отношении обработки персональных данных.

4.5.4. Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД.

4.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.

4.5.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

4.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

4.5.8. Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ.

4.5.9. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.

4.5.10. Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

4.5.11. Ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.

4.5.12. Осуществление внутреннего контроля и аудита.

5. Сроки обработки персональных данных

5.1. Сроки обработки персональных данных определяются в соответствие со сроком действия договора, заключенного Оператором с субъектом персональных данных, сроком исковой давности, а также иными требованиями законодательства РФ и локальными документами ИП.

6. Права и обязанности субъекта персональных данных и оператора

6.1. Права субъекта персональных данных. Субъект персональных данных имеет право

• требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
• требовать перечень своих персональных данных, обрабатываемых Оператором и источник их получения;
• получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
• требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
• обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
• на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6.2. ИП как оператор персональных данных, обязан:

• при сборе ПД предоставить информацию об обработке ПД;
• опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;
• принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
• давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.

6.3. ИП как оператор персональных данных, имеет право:

• отстаивать свои интересы в суде;
• предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
• отказывать в предоставлении персональных данных в случаях; предусмотренных законодательством;
• использовать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством.

7. Принципы и условия обработки персональных данных

7.1. Обработка персональных данных Оператором осуществляется на основе принципов:

• законности и справедливости целей и способов обработки персональных данных;
• соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям ИП;
• соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
• хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
• уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

7.2. Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации.

8. Заключительные положения

8.1. Настоящая Политика является внутренним документом Индивидуального предпринимателя, а также общедоступной информацией об Индивидуальном предпринимателе и подлежит размещению в Уголке Потребителя в месте осуществления деятельности ИП и/или на сайте Индивидуального предпринимателя.

8.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.

8.3. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за обеспечение безопасности персональных данных, назначенным Индивидуальным предпринимателем.

8.4. Ответственность должностных лиц- работников Индивидуального предпринимателя, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Индивидуального предпринимателя.

Согласие на обработку персональных данных

* Проставлением знака «V» на странице Анкета клиента сайта happykids.ru или подписанием Анкеты клиента на бумажном носителе я подтверждаю свое согласие с Политикой обработки и защиты персональных данных, применяемой ИП Строчковым Сергеем Евгеньевичем (адрес регистрации: 344019, г. Ростов-на-Дону, ул. Мясникова, 101, кв. 76, далее – «Оператор»), размещенной на сайте happykids.ru, и даю согласие Оператору на обработку моих персональных данных, указанных выше, а именно:

• фамилия, имя, отчество (на русском языке) ¹ и любая их часть; дата, месяц, год рождения; пол, паспортные данные (серия, номер паспорта, дата выдачи, наименование органа, выдавшего паспорт);
• адрес регистрации по месту жительства и адрес доставки товара (город, улица, дом, номер квартиры) ¹;
• номер контактного телефона ¹;
• адрес электронной почты ¹,
• информация о заказах клиента/статистика покупок,

с целью обработки моего запроса, направленного через сайт happykids.ru и коммуникации со мной в целях установления/исполнения договорных обязательств, в том числе, оформления моего заказа на приобретение товаров, доставки заказанных мной товаров, отслеживания статуса доставки заказанных мной товаров, возврата заказанных мной товаров, а также в целях учета предоставленной мной информации в базах данных Оператора для проведения опросов и исследований, направленных на улучшение качества реализуемых Оператором товаров; продвижения товаров, реализуемых на территории РФ Оператором, информирования меня о статусе доставки заказанного мной товара, о новых товарах Оператора, о специальных предложениях, предстоящих акциях и скидках на товары Оператора, на следующих условиях: сбор; запись; систематизация; накопление; хранение (в электронном виде и на бумажном носителе); уточнение (обновление, изменение); извлечение; использование; передача (распространение, предоставление, доступ); включая трансграничную передачу персональных данных, передача третьим лицам², обезличивание (действия, в результате которых невозможно определить принадлежность персональных данных), блокирование (временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи), уничтожение (действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных), обработка как без использования, так и с использованием средств автоматизации (автоматизированной системы управления базами данных), а также иных программных средств, специально разработанных по поручению Оператора, объединение персональных данных в единую информационную систему³,

Согласен(на) на получение вышеуказанной информации (проставить знак «V» в клетке ниже)

по адресу регистрации по месту жительства

и/или по номеру контактного телефона

и/или адресу e-mail

путем отправки Оператором или третьими лицами по поручению Оператора почтовых отправлений по указанному выше адресу регистрации или адресу доставки товара, интернет-сообщений по указанному выше адресу электронной почты; телефонных звонков, коротких текстовых сообщений (SMS) и мультимедийных сообщений (MMS) по указанному выше номеру телефона, посредством использования информационно-коммуникационных сервисов, таких как Viber, WhatsApp и тому подобных.

Проставлением знака «V» на странице сайта happykids.ru Анкета клиента или подписанием Анкеты клиента на бумажном носителе я подтверждаю достоверность и принадлежность мне предоставленных персональных данных, а также гарантирую, что предоставление мной вышеуказанной информации не нарушаются ни требования действующего законодательства РФ, ни права и интересы третьих лиц.

Срок действия настоящего cогласия на обработку персональных данных и получение информации по сетям электросвязи: до момента отзыва выдавшим его лицом. Я соглашаюсь с тем, что изменение адреса регистрации Оператора не является основанием для прекращения (отзыва) настоящего согласия либо изменения его условий, не относящихся к данным об адресе регистрации Оператора.

Проставлением знака «V» на странице сайта happykids.ru Анкета клиента или подписанием Анкеты клиента на бумажном носителе я подтверждаю, что я уведомлен(а) о том, что:

• я вправе получать сведения о наличии своих персональных данных у Оператора;
• я вправе ознакомиться со своими персональными данными (за исключением случаев, указанных в п. 8 ст. 14 ФЗ от 27.07.2006 г. № 152 - ФЗ «О персональных данных»);
• в случае отказа предоставить актуальные контактные данные (почтовый адрес, телефон и др.)/ указания неверных данных (адреса, телефона и др.)/ неуведомления Оператора персональных данных об изменении указанных данных, я утрачиваю возможность своевременно получать информацию о новых товарах/услугах Оператора, о проводимых им рекламных и маркетинговых акциях;
• для отзыва согласия на обработку персональных данных и получение информации, а также для исключения или исправления (дополнения) неверных или неполных персональных данных, мне необходимо представить соответствующее заявление в письменной форме по месту нахождения Оператора (344019, г. Ростов-на-Дону, ул. Мясникова, 101, кв. 76). Заявление должно содержать фамилию, имя, отчество (при наличии), телефон и E-mail заявителя, а также дату составления заявления и собственноручную подпись заявителя. Обращаем ваше внимание, что отзыв согласия на обработку персональных данных влечёт за собой удаление Вашей учётной записи с Интернет-сайта (happykids.ru), а также уничтожение записей, содержащих ваши персональные данные, в системах обработки персональных данных Оператора, что может сделать невозможным пользование интернет-сервисами Оператора. Оператор вправе отказать в прекращении обработки персональных данных в случае если в момент получения уведомления клиента об отзыве имеют место следующие обстоятельства: у клиента есть нерешенный вопрос, которым занимается служба поддержки покупателей; клиенту не доставлен/не полностью доставлен заказ; у клиента есть непогашенная задолженность перед Оператором.

¹ поля, обязательные к заполнению в случае, если потребитель планирует заказ товаров/услуг дистанционным способом.

² в соответствии с законодательством РФ Оператор вправе поручить обработку персональных данных третьим лицам на основании заключенного с ними договора, при условии письменного уведомления последних о необходимости обеспечения конфиденциальности и безопасности персональных данных при их обработке, а также соблюдения целей, для которых они были сообщены. Настоящим согласием разрешаю передачу Операторам моих персональных данных для обработки третьим лицам, в частности, курьерским службам, привлекаемым Оператором для организации доставки заказанных мной товаров, банкам, привлекаемыми Оператором для осуществления платежей за заказанные мной товары, и иным третьим лицам, привлекаемым Оператором для обеспечения исполнения обязательств по заказу, доставке, оплате, возврату товаров.

³ используемые способы обработки данных (включая, но не ограничиваясь): автоматическая сверка почтовых кодов с базой кодов, автоматическая проверка написания названий улиц/ населенных пунктов, уточнение данных путем телефонной, почтовой связи или с помощью сети Интернет, сегментация базы по заданным критериям.