Корзина Корзина пуста

Политика конфиденциальности

П О Л И Т И К А

по защите, обработке и хранению персональных данных

 

  1. Общие положения

1.1. Настоящая Политика (далее – Политика) разработана в соответствии с требованиями  Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г., иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – Данные), которые Индивидуальный предприниматель Потапов Кирилл Вячеславович (далее – Оператор, Организация) может получить от субъектов персональных данных,  состоящих с Оператором в гражданско-правовых, трудовых и иных правоотношениях.

1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от
несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

1.3. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на официальном сайте Организации (www.shop.hcsochi.ru), если иное не предусмотрено новой редакцией Политики.

 

  1. Термины и сокращения

Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка ПД – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка ПД – обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку с помощью технических средств.

Общедоступные ПД – ПД, доступ неограниченного круга лиц к которым предоставлен субъектом ПД, либо по его просьбе.

Блокирование ПД – временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД).

Уничтожение ПД – действия, в результате которых становится невозможным восстановить содержание ПД в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Оператором является Индивидуальный предприниматель Потапов Кирилл Вячеславович, расположенный по адресу: 354054, Краснодарский край, г. Сочи, ул. Ясногорская, д.15, кв.25

 

  1. Получение и обработка персональных данных

3.1. Получение ПД.

3.1.1. Все ПД следует получать от самого субъекта ПД. Если ПД субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.

3.1.2. Субъект ПД имеет право на получение информации, касающейся обработки его ПД, в том числе содержащей:

1) правовые основания и цели обработки ПД;

2) цели и применяемые оператором способы обработки персональных данных;

3) подтверждение факта обработки персональных данных оператором;

4) наименование и место нахождение оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПД или которым могут быть раскрыты  ПД  на основании договора с оператором или на основании федерального закона;

5) обрабатываемые ПД, источник их получения;

6)  сроки обработки ПД, в том числе сроки их хранения;

7) порядок осуществления субъектом ПД  прав, предусмотренных федеральным законом «О персональных данных;

8) информацию об осуществленной или предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего

обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные федеральным законом «О персональных данных».

3.1.3. Документы, содержащие ПД, создаются путем:

– копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);

– внесения сведений в учетные формы;

– получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).

 3.2. Обработка ПД

3.2.1. Обработка персональных данных осуществляется:

– с согласия субъекта персональных данных на обработку его персональных данных;

– в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей Оператора;

– в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – ПД, сделанные общедоступными субъектом персональных данных).

 3.2.2. Цели обработки персональных данных:

 – оформление трудовых правоотношений;

– оформление гражданско-правовых отношений;

-  осуществление информационной работы с болельщиками;

-  осуществление маркетинговых и иных мероприятий и контактов;

-  ведение кадрового и бухгалтерского учета;

-  регистрация обращений граждан.

3.2.3. Категории субъектов персональных данных.

Обрабатываются ПД следующих субъектов ПД:

– физические лица, состоящие с ИП Потапов  в трудовых правоотношениях;

– физические лица, состоящие с ИП Потапов в гражданско-правовых  

   отношениях;

- физические лица, участвующие в маркетинговых и иных мероприятиях и

   контактах.

3.2.4. Персональные данные, обрабатываемые Оператором:

– данные, полученные при оформлении трудовых правоотношений;

– данные, полученные при оформлении гражданско-правовых отношений;

- данные полученные при участии в маркетинговых и иных мероприятиях и

  контактах;

- данные, полученные при ведении кадрового и бухгалтерского учета;

- данные, полученные при обращении граждан к ИП Потапов.

3.2.5. Обработка персональных данных ведется:

– с использованием средств автоматизации;

– без использования средств автоматизации.

3.3. Хранение персональных данных. 

3.3.1. ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

3.3.2. ПД, зафиксированные на бумажных носителях, хранятся в запираемых сейфах, шкафах либо в запираемых помещениях с ограниченным правом доступа.

3.3.3. ПД субъектов, обрабатываемые в разных целях, хранятся в разных папках.

3.3.4. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.

3.3.5. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.4. Уничтожение ПД

3.4.1. Уничтожение документов (носителей), содержащих ПД, производится путем сожжения и измельчения. Для уничтожения бумажных документов допускается применение шредера.

3.4.2. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.

3.4.3. Факт уничтожения ПД подтверждается документально актом об уничтожении персональных данных. 

3.5. Передача ПД

3.5.1. Оператор передает ПД третьим лицам в следующих случаях:

– выражения субъектом согласия на такие действия;

– если передача ПД предусмотрена российским или иным применимым законодательством, в порядке, установленном законодательством.

3.5.2. Перечень лиц, которым передаются ПД 

Третьи лица, которым передаются ПД:

– правоохранительные орган в случаях, установленных законодательством.

 

  1. Защита персональных данных

 

4.1. В соответствии с требованиями применимых нормативных актов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных документов, обеспечивающих функционирование СЗПД.

4.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.

4.4. Подсистема технической защиты включает в себя комплекс технических, программных средств, обеспечивающих защиту ПД.

4.5. Основными мерами защиты ПД, используемыми Оператором, являются:

4.5.1. Назначение лица, ответственного за организацию обработку ПД, которое осуществляет организацию обработки ПД, обучение, инструктаж, внутренний контроль за соответствием обработки ПД федеральному закону «О персональных данных» и политике Оператора в отношении обработки ПД, а также осуществляет контроль за соблюдением работниками Оператора требований по защите ПД.

4.5.2. Определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мероприятий по защите ПД.

4.5.3. Разработка политики в отношении обработки персональных данных.

4.5.4. Установление ограниченного доступа к персональным данным, обрабатываемым в ИСПД.

4.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их должностными обязанностями.

4.5.6. Установление надежного сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами.

4.5.7. Соблюдение условий, обеспечивающих сохранность ПД и исключающих

несанкционированный к ним доступ.

4.5.8. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.

4.5.9. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных.

4.5.10. Осуществление внутреннего контроля.

 

  1. Права субъекта ПД и обязанности Оператора

5.1. Субъект персональных данных имеет право на обжалование действий или бездействий Оператора и на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсации морального вреда в судебном порядке, если Оператор осуществляет обработку его ПД с нарушением федерального закона.

5.2. Оператор обязан:

– при сборе ПД предоставить информацию об обработке ПД;

– в случаях если ПД были получены не от субъекта ПД, уведомить субъекта;

– при отказе в предоставлении ПД субъекту разъяснить последствия такого отказа;

– опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки и защиты ПД;

– принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;

– давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.

 

П О Л И Т И К А

по защите, обработке и хранению персональных данных

 

  1. Общие положения

1.1. Настоящая Политика (далее – Политика) разработана в соответствии с требованиями  Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г., иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – Данные), которые Индивидуальный предприниматель Потапов Кирилл Вячеславович (далее – Оператор, Организация) может получить от субъектов персональных данных,  состоящих с Оператором в гражданско-правовых, трудовых и иных правоотношениях.

1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от
несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

1.3. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на официальном сайте Организации (www.shop.hcsochi.ru), если иное не предусмотрено новой редакцией Политики.

 

  1. Термины и сокращения

Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка ПД – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка ПД – обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку с помощью технических средств.

Общедоступные ПД – ПД, доступ неограниченного круга лиц к которым предоставлен субъектом ПД, либо по его просьбе.

Блокирование ПД – временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД).

Уничтожение ПД – действия, в результате которых становится невозможным восстановить содержание ПД в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Оператором является Индивидуальный предприниматель Потапов Кирилл Вячеславович, расположенный по адресу: 354054, Краснодарский край, г. Сочи, ул. Ясногорская, д.15, кв.25

 

  1. Получение и обработка персональных данных

3.1. Получение ПД.

3.1.1. Все ПД следует получать от самого субъекта ПД. Если ПД субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.

3.1.2. Субъект ПД имеет право на получение информации, касающейся обработки его ПД, в том числе содержащей:

1) правовые основания и цели обработки ПД;

2) цели и применяемые оператором способы обработки персональных данных;

3) подтверждение факта обработки персональных данных оператором;

4) наименование и место нахождение оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПД или которым могут быть раскрыты  ПД  на основании договора с оператором или на основании федерального закона;

5) обрабатываемые ПД, источник их получения;

6)  сроки обработки ПД, в том числе сроки их хранения;

7) порядок осуществления субъектом ПД  прав, предусмотренных федеральным законом «О персональных данных;

8) информацию об осуществленной или предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего

обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные федеральным законом «О персональных данных».

3.1.3. Документы, содержащие ПД, создаются путем:

– копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);

– внесения сведений в учетные формы;

– получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).

3.2. Обработка ПД

3.2.1. Обработка персональных данных осуществляется:

– с согласия субъекта персональных данных на обработку его персональных данных;

– в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей Оператора;

– в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – ПД, сделанные общедоступными субъектом персональных данных).

3.2.2. Цели обработки персональных данных:

– оформление трудовых правоотношений;

– оформление гражданско-правовых отношений;

-  осуществление информационной работы с болельщиками;

-  осуществление маркетинговых и иных мероприятий и контактов;

-  ведение кадрового и бухгалтерского учета;

-  регистрация обращений граждан. 

3.2.3. Категории субъектов персональных данных. 

Обрабатываются ПД следующих субъектов ПД:

– физические лица, состоящие с ИП Потапов  в трудовых правоотношениях;

– физические лица, состоящие с ИП Потапов в гражданско-правовых  

   отношениях;

- физические лица, участвующие в маркетинговых и иных мероприятиях и

   контактах.

 3.2.4. Персональные данные, обрабатываемые Оператором:

– данные, полученные при оформлении трудовых правоотношений;

– данные, полученные при оформлении гражданско-правовых отношений;

- данные полученные при участии в маркетинговых и иных мероприятиях и

  контактах;

- данные, полученные при ведении кадрового и бухгалтерского учета;

- данные, полученные при обращении граждан к ИП Потапов.

3.2.5. Обработка персональных данных ведется:

– с использованием средств автоматизации;

– без использования средств автоматизации.

3.3. Хранение персональных данных.

3.3.1. ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

3.3.2. ПД, зафиксированные на бумажных носителях, хранятся в запираемых сейфах, шкафах либо в запираемых помещениях с ограниченным правом доступа.

3.3.3. ПД субъектов, обрабатываемые в разных целях, хранятся в разных папках.

3.3.4. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.

3.3.5. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.4. Уничтожение ПД

3.4.1. Уничтожение документов (носителей), содержащих ПД, производится путем сожжения и измельчения. Для уничтожения бумажных документов допускается применение шредера.

3.4.2. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.

3.4.3. Факт уничтожения ПД подтверждается документально актом об уничтожении персональных данных.

3.5. Передача ПД

3.5.1. Оператор передает ПД третьим лицам в следующих случаях:

– выражения субъектом согласия на такие действия;

– если передача ПД предусмотрена российским или иным применимым законодательством, в порядке, установленном законодательством.

3.5.2. Перечень лиц, которым передаются ПД

Третьи лица, которым передаются ПД:

– правоохранительные орган в случаях, установленных законодательством.

 

  1. Защита персональных данных

 

4.1. В соответствии с требованиями применимых нормативных актов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

 4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных документов, обеспечивающих функционирование СЗПД.

 4.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.

 4.4. Подсистема технической защиты включает в себя комплекс технических, программных средств, обеспечивающих защиту ПД.

 4.5. Основными мерами защиты ПД, используемыми Оператором, являются:

 4.5.1. Назначение лица, ответственного за организацию обработку ПД, которое осуществляет организацию обработки ПД, обучение, инструктаж, внутренний контроль за соответствием обработки ПД федеральному закону «О персональных данных» и политике Оператора в отношении обработки ПД, а также осуществляет контроль за соблюдением работниками Оператора требований по защите ПД.

4.5.2. Определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мероприятий по защите ПД.

4.5.3. Разработка политики в отношении обработки персональных данных.

4.5.4. Установление ограниченного доступа к персональным данным, обрабатываемым в ИСПД.

4.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их должностными обязанностями.

4.5.6. Установление надежного сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами.

4.5.7. Соблюдение условий, обеспечивающих сохранность ПД и исключающих

несанкционированный к ним доступ.

4.5.8. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.

4.5.9. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных.

4.5.10. Осуществление внутреннего контроля.

 

  1. Права субъекта ПД и обязанности Оператора

5.1. Субъект персональных данных имеет право на обжалование действий или бездействий Оператора и на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсации морального вреда в судебном порядке, если Оператор осуществляет обработку его ПД с нарушением федерального закона.

5.2. Оператор обязан:

– при сборе ПД предоставить информацию об обработке ПД;

– в случаях если ПД были получены не от субъекта ПД, уведомить субъекта;

– при отказе в предоставлении ПД субъекту разъяснить последствия такого отказа;

– опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки и защиты ПД;

– принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;

– давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.