Политика в отношении обработки персональных данных
ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Предприниматель – ИП Коновалов Сергей Александрович, идентификационный номер налогоплательщика (ИНН): 503217648678; действующая на основании свидетельства о регистрации в качестве индивидуального предпринимателя за основным государственным регистрационным номером 317502400063282;
Защита данных – деятельность Предпринимателя по обеспечению с помощью локального регулирования порядка обработки персональных и иных данных и организационно-технических мер конфиденциальности информации.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Клиент – физическое лицо, индивидуальный предприниматель или представитель юридического лица, вступившее в договорные отношения с Предпринимателем.
Контрагент – представитель юридического лица и/ или индивидуального предпринимателя, вступивший с Предпринимателем в договорные отношения.
Конфиденциальность данных – обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор – лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
Платформа — интернет-площадка содержащая информацию о товарах/работах/услугах Предпринимателя – https://ltc-company.com и, которая предоставляет Клиентам/Контрагентам возможность реализовывать и приобретать товары/работы/услуги Предпринимателя.
1.        ОБЩИЕ ПОЛОЖЕНИЯ

• Политика «Об обработке конфиденциальных персональных данных клиентов и контрагентов» (далее по тексту – Положение/Политика) определяет политику в сфере соблюдения единый порядок обработки персональных данных Клиентов/ Контрагентов у Предпринимателя.
• Настоящее Положение разработано в соответствии с:
• Конституцией Российской Федерации;
• Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральным законом Российской Федерации от 27.07.2006 № 149-ФЗ «Об информатизации, информационных технологиях и о защите информации»;
• Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• а также нормативными правовыми актами, действующими на территории Российской Федерации в области обработки персональных данных и обеспечения информационной безопасности.
• Предприниматель предоставляет право Клиентам/ Контрагентам на ознакомление с настоящим Положением до предоставления своих персональных данных.

2.        ЦЕЛИ, СОСТАВ И СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

• Предприниматель, являясь Оператором, осуществляет обработку персональных данных Клиента/ Контрагента, исключительно в целях обеспечения соблюдения действующего законодательства Российской Федерации, и иных нормативных правовых актов, регламентирующих выполнение договорных обязательств Предпринимателя.
• Предприниматель делегирует приказом полномочия лицам (работникам Предпринимателя) по организации обработки персональных данных и реализации мероприятий по их защите (если применимо).
• Предприниматель, а также уполномоченные им представители, при обработке персональных данных Клиента/ Контрагента соблюдают следующие общие требования:
• Цели и содержание обработки персональных данных, а также перечень обрабатываемых персональных данных, подлежат регламентированию до начала их обработки.
• Предприниматель осуществляет обработку персональных данных, полученных от субъекта персональных данных, на основании его согласия в рамках Платформы и заключенного договора, за исключением случаев, предусмотренных Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных» (статья 6), когда их получение возможно только у третьей стороны.
• Предприниматель, для достижения заявленных целей, осуществляет операции: включающие сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, блокирование, удаление, уничтожение персональных данных.
• Обработка персональных данных, полученных от третьих лиц, не производится Предпринимателем.
• Предприниматель не получает и не обрабатывает персональные данные Клиента/ Контрагента о его политических, религиозных и иных убеждениях, а также частной жизни.
• Использование персональных данных в целях причинения имущественного и морального вреда Клиенту/ Контрагенту, затруднения реализации его прав и свобод, не допускается.
• Предприниматель, при принятии решений затрагивающих интересы Клиента/ Контрагента, не основывается на сведениях полученных исключительно в результате автоматизированной обработки персональных данных без письменного согласия Клиента/ Контрагента на такие действия.
• Предприниматель, при идентификации Клиента/ Контрагента, имеет право требовать предъявление документов удостоверяющих личность и подтверждающих полномочия представителя.
• При заключении договорных отношений с Клиентом/ Контрагентом, и в ходе их выполнения, может возникнуть необходимость в предоставлении Клиентом/ Контрагентом иных документов, содержащих информацию о нем, с момента предоставления которых может быть связано предоставление дополнительных гарантий и компенсаций.
• После принятия решения о заключении договора или представления документов, подтверждающих полномочия представителя, а также впоследствии, в процессе выполнения договора, содержащего персональные данные Клиента/ Контрагента, так же будут относиться:
• договор;
• приказы по основной деятельности;
• служебные записки;
• другие документы, включение в которые персональных данных Клиента или Контрагента необходимо согласно действующему законодательству Российской Федерации.
• Обработка персональных данных осуществляется Оператором, как с использованием средств автоматизации, так и без использования таких средств.

3.        ОРГАНИЗАЦИЯ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНЫХ ДАННЫХ

• Данные Клиента/ Контрагента относятся к категории конфиденциальной информации.
• Соблюдение конфиденциального режима обработки, в т.ч. предоставление доступа к информационным активам Предпринимателя, содержащим персональные данные Клиентов и Контрагентов, обеспечивается Предпринимателем и уполномоченными работниками структурных подразделений Предпринимателя (если применимо), в соответствии с распорядительными и нормативными документами Предпринимателя.
• Лица, имеющие доступ к персональным данным Клиентов/ Контрагентов, подписывают обязательство о неразглашении персональных данных.
• Защита данных Клиентов/ Контрагентов от неправомерного их использования или утраты обеспечивается Предпринимателем в порядке, установленном законодательством РФ (правовые, организационные и технические меры).
• Защите подлежат персональные данные субъекта (Клиента/ Контрагента):
• в бумажном виде — документы, содержащие персональные данные субъекта;
• в электронном виде — размещенные в информационных системах Предпринимателя и/ или на машинных носителях информации (в т.ч. отчуждаемых).
• Лица, обрабатывающие (в т.ч. хранящие) персональные данные на бумажных и отчуждаемых машинных носителях информации, обеспечивают выполнение мероприятий по их защите от несанкционированного доступа, согласно утвержденному Постановлением Правительства РФ 15.09.2008 № 687 «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
• Лица, обрабатывающие персональные данные в электронном виде (файлы, базы банных) в информационных системах персональных данных Предпринимателя, в т.ч. на машинных носителях информации, обеспечивают выполнение мероприятий по защите согласно:
• Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановления Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
• других нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти по защите персональных данных.

4.        ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

• Персональные данные Клиентов/ Контрагентов хранятся на бумажных, машинных (в электронном виде) носителях, только в служебных помещениях Предпринимателя, доступ к которым ограничен и регламентируется Предпринимателем, а также на виртуальных серверах сертифицированных хостинг провайдеров, располагающихся на территории Российской Федерации.
• Закрепление мест хранения документов содержащих персональные данные (бумажные и машинные носители, информационные активы) за конкретным структурным подразделением осуществляется установленным у Предпринимателя порядком.
• При хранении бумажных и отчуждаемых машинных носителей соблюдаются надлежащие условия по обеспечению их сохранности (используются специально оборудованные шкафы и сейфы).
• Хранение конкретных документов (на бумажных и отчуждаемых машинных носителях), содержащих персональные данные Клиентов/ Контрагентов, в т.ч. ключей от шкафов и сейфов, обеспечивается лицом ответственным за организацию процесса обработки персональных данных, в ведении которого находится данное место хранения.
• Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.
• Персональные данные, по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено законодательством Российской Федерации, уничтожаются.

5.        ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

• Предприниматель, при передаче персональных данных Клиента/ Контрагента соблюдает следующие требования:
• Осуществляет передачу персональных данных Клиента/ Контрагента в пределах своей организации в соответствии с настоящей Политикой.
• Разрешает доступ работников Предпринимателя к персональным данным Клиентов/ Контрагентов согласно утвержденного приказом перечня доступа, при этом указанные лица вправе получать только те персональные данные Клиента/ Контрагента, которые необходимы для выполнения конкретных функций.
• Предупреждает лиц, получающих персональные данные Клиента/ Контрагента, об обязанности соблюдения требования конфиденциальности, а также использования только в целях, для которых они сообщены, и требует обязательности соблюдения этих правил.
• Не запрашивает информацию о состоянии здоровья Клиента/ Контрагента, за исключением тех сведений, которые относятся к вопросу о возможности выполнения Клиентом или Контрагентов своих профессиональных функций.
• Передает персональные данные Клиента/ Контрагента его представителям в порядке, установленном законодательством РФ, и ограничивает эту информацию только теми персональными данными Клиента/ Контрагента, которые необходимы для выполнения указанными представителями их функций.
• Сообщает персональные данные Клиента/ Контрагента третьей стороне (например, в коммерческих целях) только при письменном согласии (личном или законного представителя), за исключением случаев предусмотренных федеральными законами:
• предупреждения угрозы жизни и здоровью субъекта;
• при поступлении официальных запросов в соответствии с положениями Федерального закона РФ от 12.08.1995 № 144-ФЗ «Об оперативно-розыскной деятельности»;
• при поступлении официальных запросов из налоговых органов, органов Пенсионного Фонда России, органов Федерального социального страхования, судебных органов и др.
• Предприниматель вправе отказать в предоставлении персональных данных лицу, обратившемуся с запросом в случаях:
• отсутствие полномочий на получение персональных данных Клиента/ Контрагента;
• отсутствие письменного согласия Клиента/ Контрагента на предоставление его персональных данных;
• присутствует, по мнению Предпринимателя, угроза жизни или здоровью Клиента/ Контрагента.

Предприниматель в каждом конкретном случае делает самостоятельную оценку серьезности, неминуемости, степени такой угрозы.
Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении запрашиваемых персональных данных.

• В случае, если Предпринимателю оказываются услуги юридическими или физическими лицами на основании заключенных договоров (либо иных оснований), и в силу данных договоров эти лица должны иметь доступ к персональным данным Клиентов/ Контрагентов, то необходимые персональные данные предоставляются Предпринимателем только после подписания с ними соглашения о конфиденциальности (неразглашении конфиденциальной информации). При этом Предприниматель уведомляет субъекта об обработке, или включает пункт в договор с Клиентом о возможности обработки персональных данных субъекта, лицами, не являющимися сотрудниками Предпринимателя.
• Все сведения о передаче персональных данных Клиентов/ Контрагентов регистрируются в Журнале регистрации и учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими.
• Обращения субъектов персональных данных и их законных представителей к Предпринимателю связанные с обработкой персональных данных, сроками, целями и обеспечением безопасности персональных данных отражаются в Журнале регистрации и учета обращений субъектов персональных данных. В журнале фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается, какая именно информация была передана.

6.        ОБЯЗАННОСТИ

• Клиент/ Контрагент
• Предоставить Предпринимателю полные и достоверные данные о себе (преддоговорные отношения; заключение договора).
• В случае изменения сведений, составляющих персональные данные Клиента/ Контрагента, незамедлительно, но не позднее 5 (пяти) рабочих дней, предоставить данную информацию Предпринимателю.
• Предприниматель (Оператор)
• Обеспечить обработку и защиту персональных данных субъекта в порядке, установленном законодательством РФ.
• Предоставить Клиенту/ Контрагенту или их законным представителям возможность ознакомления с настоящим Положением и его правами в области персональных данных.
• Обеспечить хранение первичной учетной документации. При этом, персональные данные подлежат хранению в соответствии с целями для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.
• Вести учет передачи персональных данных Клиента/Контрагента третьим лицам путем ведения соответствующего Журнала регистрации и учета передачи персональных данных.
• Осуществлять, в случае реорганизации или ликвидации Предпринимателя, мероприятия по учету и сохранности документов содержащих персональные данные, передаче их на государственное хранение в соответствии с правилами, предусмотренными учредительными документами и действующим законодательством Российской Федерации.
• Вести регистрацию и учет обращений субъектов персональных данных в соответствие с требованиями Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных».
• Осуществлять передачу персональных данных субъекта в соответствии с настоящим Положением и законодательством Российской Федерации.
• По требованию субъекта или его законного представителя предоставить ему полную информацию о его персональных данных и обработке этих данных.
• Оператор, при внесении изменений, уведомляет Субъекта персональных данных или его представителя, и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого Субъекта были переданы.
• Оператор, по факту получения запроса (требования) субъекта персональных данных, немедленно прекращает обработку его персональных данных.

7.        ПРАВА КЛИЕНТОВ ИЛИ КОНТРАГЕНТОВ

• Субъект персональных данных имеет право на получение информации, касающееся обработки его персональных данных (далее – сведения о персональных данных), в том числе содержащей:

1) подтверждение факта обработки персональных данных Оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые Оператором способы обработки персональных данных;
4) наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.

• Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные Клиента/ Контрагента, за исключением случаев, если предоставление персональных данных нарушает конституционные права и свободы других лиц.

Клиент может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты legal@ltc-company.ru

• Определение своих представителей для защиты своих интересов в части сохранения конфиденциальности данных.
• Требование об исключении или исправлении неверных или неполных устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для Предпринимателя персональных данных.
• Клиент/ Контрагент, при отказе Предпринимателя исключить или исправить его персональные данные, вправе заявить в письменной форме Предпринимателю о своем несогласии с соответствующим обоснованием такого несогласия.
• Требование об извещении Предпринимателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные Клиента/ Контрагента, обо всех произведенных в них исключениях, исправлениях или дополнениях.
• Обжалование в суде любых неправомерных действий или бездействия Предпринимателя при обработке его данных.

8.             ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ДАННЫХ
Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных Клиента/ Контрагента, привлекаются к ответственности в соответствии с действующим законодательством Российской Федерации.
9.             Порядок пересмотра
Положение подлежит пересмотру в случае появления/ изменения документов, влияющих на обработку персональных данных Клиентов и Контрагентов Предпринимателя.
10.          Заключительные положения
Настоящая Политика «Об обработке персональных данных Клиентов и Контрагентов» вступает в силу с даты опубликования на Площадке.