Политика Индивидуального предпринимателя
Поповой Натальи Валерьевны
в отношении обработки персональных данных.
1. Назначение и область действия документа
1.1. Политика Индивидуальный предприниматель Попова Наталья Валерьевна ( ОГРНИП 324595800095301, адрес 614000, г. Пермь, ул. Луначарского, д. 66/1) (далее по тексту также — «Предприниматель») в отношении обработки персональных данных (далее по тексту также — «Политика») определяет позицию и намерения Предпринимателя в области обработки и защиты персональных данных, с целью соблюдения и защиты прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
1.2. Политика неукоснительно исполняется руководителями и работниками Предпринимателя.
1.3. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые Предпринимателем с применением средств автоматизации и без применения таких средств.
1.4. К настоящей Политике имеет доступ любой субъект персональных данных, в том числе с использованием сети «Интернет».
1.5. Предприниматель периодически актуализирует настоящую Политику и вправе в одностороннем порядке в любой момент изменять ее условия. Предприниматель рекомендует регулярно проверять содержание настоящей Политики на предмет ее возможных изменений.
Если иное не предусмотрено Политикой, все вносимые в нее изменения вступают в силу с даты, указанной в Политике.
1.6. Во всем ином, что не предусмотрено настоящей Политикой, Предприниматель руководствуется положениями действующего законодательства Российской Федерации.
2. Термины
2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). К такой информации, в частности, можно отнести: ФИО, год, месяц, дата и место рождения, адрес, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, доходах, а также другую информацию, позволяющую по совокупности определить (идентифицировать) субъекта персональных данных.
2.2. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.3. Субъект персональных данных — физическое лицо, чьи персональные данные обрабатываются.
2.4. Оператор — лицо, самостоятельно или совместно с иными лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Для целей настоящей Политики Предприниматель, обрабатывая персональные данные, является оператором, если иное прямо не указано в Политике.
2.5. Обработчик — любое лицо, которое на основании договора с оператором осуществляет обработку персональных данных по поручению такого оператора, действуя от имени и (или) в интересах последнего при обработке персональных данных. Оператор несет ответственность перед субъектом персональных данных за действия или бездействия обработчика. Обработчик несет ответственность перед оператором.
2.6. Прочие термины используются в настоящей Политике в соответствии со значениями, определяемыми действующим законодательством Российской Федерации, если иное прямо не указано в Политике.
3. Порядок и условия обработки персональных данных
3.1. Под безопасностью персональных данных Предприниматель понимает защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных и принимает необходимые правовые, организационные и технические меры для защиты персональных данных.
3.2. Обработка и обеспечение безопасности персональных данных Предпринимателем осуществляется в соответствии с требованиями Конституции Российской Федерации, Федерального закона № 152-ФЗ «О персональных данных», подзаконных актов, других определяющих случаи и особенности обработки персональных данных законов Российской Федерации, а также руководящих и методических документов Правительства Российской Федерации, Минцифры России, Роскомнадзора, ФСТЭК России и ФСБ России.
3.3. При обработке персональных данных Предприниматель придерживается следующих принципов:
- законности и справедливости;
- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
- недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
- недопущения избыточности обрабатываемых персональных данных по отношению к заявленным целям обработки;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных, а также принятия мер по удалению или уточнению неполных или неточных данных;
- прозрачности обработки персональных данных: субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
- осуществления хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
3.4. Предприниматель обрабатывает персональные данные на следующих условиях:
Цель обработки персональных данных | Категории субъектов персональных данных | Категории и перечень персональных данных |
Для осуществления Предпринимателем предпринимательской деятельности, а также иной обычной хозяйственной деятельности, в т.ч. путем рекламирования себя, своих сервисов и услуг, взаимодействия с субъектами персональных данных, контрагентами и третьими лицами, в соответствии с действующим законодательством РФ, внутренними документами и локальными нормативными актами Предпринимателя. Для заключения и исполнения договоров с участием субъектов персональных данных в качестве сторон, выгодоприобретателей по таким договорам. | - Стороны, выгодоприобретатели по договорам, включая, но не ограничиваясь, пользователей сервисов Предпринимателя, физических лиц, оказывающих услуги Предпринимателю, - Представители контрагентов, государственных органов, субъектов персональных данных и третьих лиц; - Иные субъекты персональных данных, каким-либо образом взаимодействующие с Предпринимателем в рамках заявленной цели. - Стороны, выгодоприобретатели по договорам, включая, но не ограничиваясь, физических лиц, оказывающих услуги Предпринимателю,
| - ФИО; - Пол; - Дата и место рождения; - Данные документов, удостоверяющих личность; - Адрес регистрации по месту жительства и адрес фактического проживания; - Контактная информация (номер телефона, факса, адрес электронной почты, почтовый адрес); - Реквизиты доверенностей; - ИНН, СНИЛС, ОГРНИП, идентификаторы контрагентов Предпринимателя; - Технические сведения о пользовательских устройствах и идентификаторы, в т.ч. файлы cookies, информация о пользовательском местоположении, сведения о приобретенных товарах (услугах). |
Для оформления и регулирования трудовых отношений Предпринимателя с субъектами персональных данных и иных непосредственно связанных с ними отношений, в том числе для исполнения обязательств и реализации прав сторон в рамках трудовых договоров между ними, включая, но не ограничиваясь, для расчета и выплаты заработной платы, направления субъектов персональных данных в командировки, для обеспечения безопасности субъектов персональных данных, Предпринимателя и третьих лиц, для контроля количества и качества выполняемой работы и обеспечения сохранности имущества субъектов персональных данных, Предпринимателя и третьих лиц, для получения субъектами персональных данных различных гарантий и льгот и т.д. | - Работники Предпринимателя; - Близкие родственники работников Предпринимателя; - Бывшие работники Предпринимателя; - Кандидаты на замещение вакантных должностей Предпринимателя. | - Гражданство; - ФИО; - Пол; - Дата и место рождения; - Данные документов, удостоверяющих личность; - Сведения, содержащиеся в документах миграционного учета; - Адрес регистрации по месту жительства и адрес фактического проживания; - Контактная информация (номер телефона, факса, адрес электронной почты, почтовый адрес); - Данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации и иные аналогичные данные; - Семейное положение, сведения о составе семьи и близких родственниках, которые могут понадобиться Предпринимателю, в том числе, но не ограничиваясь, для предоставления работнику льгот, предусмотренных трудовым и налоговым законодательством РФ; - Сведения о воинском учете и сведения, содержащиеся в документах воинского учета; - Сведения, содержащиеся в трудовой книжке, сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы; - ИНН, СНИЛС; - Банковские реквизиты; - Информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника у Предпринимателя; - Сведения о доходах у Предпринимателя; - Сведения о деловых и иных личных качествах, носящие оценочный характер; - Биографические сведения; - Сведения о временной нетрудоспособности и о состоянии здоровья; - Фото- и видеоизображения. |
Для соблюдения и исполнения требований действующего законодательства Российской Федерации, включая, не ограничиваясь, осуществление бухгалтерского и налогового учета, организацию документооборота и архивного хранения, направление соответствующих сведений в государственные органы, исполнение требований и предписаний государственных органов, исполнение судебных актов, рассмотрение претензий правообладателей и обращений субъектов персональных данных и т.д. | - Стороны, выгодоприобретатели или поручители по договорам, включая, но не ограничиваясь, физических лиц, оказывающих услуги Предпринимателю; - Представители контрагентов, государственных органов, субъектов персональных данных и третьих лиц; - Работники Предпринимателя; - Близкие родственники работников Предпринимателя; - Бывшие работники Предпринимателя; - Кандидаты на замещение вакантных должностей Предпринимателя; - Иные субъекты персональных данных, каким-либо образом взаимодействующие с Предпринимателем в рамках заявленной цели. | - Гражданство; - ФИО; - Пол; - Дата и место рождения; - Данные документов, удостоверяющих личность; - Сведения, содержащиеся в документах миграционного учета; - Адрес регистрации по месту жительства и адрес фактического проживания; - Контактная информация (номер телефона, факса, адрес электронной почты, почтовый адрес); - Банковские реквизиты; - Реквизиты доверенностей; - ИНН, СНИЛС, ОГРНИП, идентификаторы пользователей сервисов и продуктов Предпринимателя; - Данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации и иные аналогичные данные; - Семейное положение, сведения о составе семьи и близких родственниках, которые могут понадобиться Предпринимателю, в том числе, но не ограничиваясь, для предоставления работнику льгот, предусмотренных трудовым и налоговым законодательством РФ; - Сведения о воинском учете и сведения, содержащиеся в документах воинского учета; - Сведения, содержащиеся в трудовой книжке, сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы; - Информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника у Предпринимателя; - Сведения о доходах у Предпринимателя; Биографические сведения; - Сведения о временной нетрудоспособности и о состоянии здоровья. |
3.5. Предприниматель обрабатывает персональные данные только при наличии хотя бы одного из условий ниже в течение следующих сроков:
Правовое основание обработки персональных данных | Срок обработки и хранения персональных данных |
С согласия субъекта персональных данных на обработку его персональных данных | В течение срока, на который было дано согласие на обработку персональных данных |
При необходимости обработки персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом | В течение срока, установленного соответствующими законами |
Для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве | В течение срока, необходимо для исполнения соответствующего акта |
В связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах | В течение срока участия в соответствующем судопроизводстве, включая сроки обжалования (оспаривания) судебных актов, кроме случаев, когда более длительный срок обработки персональных данных установлен действующим законодательством Российской Федерации |
Для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем | В течение срока действия такого договора, кроме случаев, когда более длительный срок обработки персональных данных установлен действующим законодательством Российской Федерации |
Для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно | До момента, когда получение согласия субъекта персональных данных станет возможным или когда соответствующие основания, угрожающие жизни, здоровью или иным жизненно важным интересам, отпадут (в зависимости от того, какое обстоятельство наступит раньше) |
Для осуществления прав и законных интересов оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных | В течение срока, необходимого для осуществления прав и обеспечения законных интересов
Конкретный срок определяется Предпринимателем с учетом положений настоящей Политики, внутренних документов и локальных нормативных актов Предпринимателя, а также принципов обработки персональных данных и требований действующего законодательства Российской Федерации, в том числе в части прекращения обработки персональных данных при достижении конкретных, заранее определенных и законных целей такой обработки |
3.6. В случаях, установленных законодательством Российской Федерации, Предприниматель вправе осуществлять передачу персональных данных третьим лицам, в том числе без поручения таким лицам обработки персональных данных.
3.7. Если иное не предусмотрено законодательством Российской Федерации, Предприниматель прекращает обработку персональных данных (в отношении любой из заявленных выше целей) и уничтожает их в случаях:
- прекращение деятельности Предпринимателя;
- отпадения правовых оснований обработки персональных данных и/или достижения целей обработки персональных данных.
Конкретный порядок уничтожения персональных данных на носителях, содержащих персональные данные, в том числе внешних/съемных электронных носителях, бумажных носителях и в информационных системах персональных данных, определяются Предпринимателем в своих внутренних документах и локальных нормативных актах.
3.9. Предприниматель может собирать техническую информацию, когда пользователь посещает веб-сайты или использует услуги Предпринимателя. Сюда входит такая информация, как IP-адрес, тип используемого мобильного устройства, операционная система устройства и тип браузера, уникальный идентификатор устройства, адрес ссылающихся веб-сайтов, путь, по которому пользователь проходит через веб-сайты Предпринимателя, и так далее. Предприниматель может также использовать такие технологии, как файлы cookie, веб-трекинг и идентификаторы мобильных устройств, для сбора информации об использовании веб-сайтов и мобильных сервисов Предпринимателя. Файлы cookie позволяют Предпринимателю предоставлять пользователям соответствующую информацию по мере использования ими веб-сайта Предпринимателя (например, открывать и загружать соответствующие страницы). Веб-трекинг позволяет узнавать, была ли посещена определенная страница, было ли открыто электронное письмо или были ли эффективны рекламные баннеры на веб-сайтах Предпринимателя и других сайтах.
Предприниматель использует данную информацию для обеспечения работоспособности своего веб-сайта, для повышения качества оказываемых услуг, исправления ошибок и улучшения пользовательского опыта в целом. При этом Предприниматель не преследует цели идентифицировать конкретного пользователя веб-сайтов, мобильных приложений и услуг Предпринимателя.
3.10. Предприниматель при осуществлении обработки персональных данных:
- принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации, внутренних документов и локальных нормативных актов Предпринимателя в области персональных данных;
- принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- назначает лицо, ответственное за организацию обработки персональных данных у Предпринимателя;
- издает внутренние документы, определяющие политику Предпринимателя в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- осуществляет ознакомление работников Предпринимателя, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации, внутренних документов и локальных нормативных актов Предпринимателя в области персональных данных, в том числе с требованиями к защите персональных данных, и обучение указанных работников;
- проводит регулярное обязательное обучение своих работников по вопросам персональных данных;
- осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям законодательства Российской Федерации и принятым в соответствии с ним нормативным правовым актам, иным требованиям к защите персональных данных, настоящей Политике, внутренним документам и локальным нормативным актам Предпринимателя в области персональных данных;
- публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
- прекращает обработку персональных данных и уничтожает их в случаях, предусмотренных законодательством Российской Федерации;
- совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.
4. Права субъекта персональных данных
Лицо, персональные данные которого обрабатываются Предпринимателем, имеет:
- право на отзыв ранее данного им согласия на обработку персональных данных*;
- право на получение информации, касающейся обработки персональных данных;
- право требовать уточнения своих персональных данных, их блокирования или уничтожения, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки, а также требовать прекращения обработки персональных данных, если цель такой обработки достигнута Предпринимателем.
* Согласно ч. 2 ст. 9, ч. 4 и 5 ст. 21 Федерального закона «О персональных данных» Предприниматель вправе продолжить обработку персональных данных при наличии иных правовых оснований.
Если иной порядок взаимодействия Предпринимателя и субъекта персональных данных не предусмотрен соответствующим документом между ними (например, договором или текстом согласия на обработку персональных данных), для реализации указанных прав субъекту персональных данных необходимо направить Предпринимателю заявление:
- в письменной форме и подписанное собственноручной подписью — по адресу: 614000, г. Пермь, ул. Луначарского, д.66/1.
- в виде электронного документа и подписанное электронной подписью — на электронную почту info@hotel-deparis.com.
- Такое заявление должно в обязательном порядке содержать описание требований субъекта персональных данных, а также следующие сведения:
- ФИО субъекта персональных данных;
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе ЛИБО иные данные, позволяющие однозначно идентифицировать субъекта персональных данных;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Предпринимателем, ЛИБО сведения, иным способом подтверждающие факт обработки персональных данных Предпринимателям;
- подпись субъекта персональных данных или его представителя.
Субъект персональных данных также вправе обжаловать действия (бездействия) и решения Предпринимателя, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) и в суд в порядке, установленном законодательством Российской Федерации.
5. Сведения о реализуемых требованиях к защите персональных данных
Предприниматель при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Предприниматель регулярно пересматривает и актуализирует принимаемые меры для обеспечения наилучшей защищенности обрабатываемых персональных данных – такие меры описываются в настоящей Политике, внутренних документах и локальных нормативных актах Предпринимателя.
К таким мерам, в частности, относится:
- разработка моделей угроз;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
- учет машинных носителей персональных данных;
- организация пропускного и внутриобъектового режимов на территории Предпринимателя;
- размещение технических средств обработки персональных данных в пределах охраняемой территории;
- поддержание технических средств охраны, сигнализации в постоянной готовности;
- проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных.