Политика в отношении обработки персональных данных
1. Общие положения
Настоящий документ определяет Политику индивидуального предпринимателя Нефёдова Александра Юрьевича (далее – «Оператор») в отношении обработки персональных данных (далее – «Политика»).
В настоящей Политике используются термины и определения, приведённые в таблице 1. Иные термины применяются в значениях, определённых законодательством Российской Федерации, иными нормативными правовыми актами и национальными стандартами в области обработки и защиты персональных данных.
| Термин | Определение | Источник |
|---|---|---|
| Автоматизированная обработка персональных данных | Обработка персональных данных с помощью средств вычислительной техники | Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных» |
| Блокирование персональных данных | Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) | Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных» |
| Информационная система персональных данных | Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств | Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных» |
| Обезличивание персональных данных | Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных | Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных» |
| Обработка персональных данных | Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных | Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных» |
| Оператор | Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными | Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных» |
| Персональные данные | Любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных) | Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных» |
| Предоставление персональных данных | Действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц | Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных» |
| Распространение персональных данных | Действия, направленные на раскрытие персональных данных неопределённому кругу лиц | Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных» |
| Средства вычислительной техники | Совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем | ГОСТ Р 50739‑95 |
| Уничтожение персональных данных | Действия, в результате которых становится невозможным восстановить содержание персональных данных в ИСПДн и (или) в результате которых уничтожаются материальные носители персональных данных | Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных» |
| Обработка персональных данных без использования средств автоматизации | Действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, которые осуществляются при непосредственном участии человека | Постановление Правительства РФ от 15.09.2008 № 687 |
Настоящая Политика разработана на основании следующих нормативных правовых актов:
- Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных»;
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Настоящая Политика, все дополнения и изменения к ней утверждаются приказом Оператора. Политика подлежит опубликованию на официальном сайте Оператора. Положения Политики распространяются на все отношения, связанные с обработкой персональных данных у Оператора, как с использованием средств автоматизации, так и без их использования. Политика применяется ко всем работникам Оператора.
2. Цели обработки персональных данных
2.1. Целями обработки ПДн у Оператора являются:
- продвижение товаров, работ, услуг на рынке;
- презентация программного продукта расширение «Управление проектами и задачами» с целью его дальнейшей продажи.
3. Правовые основания обработки персональных данных
3.1. Основанием обработки ПДн у Оператора являются следующие нормативные акты и документы:
- Согласие субъекта персональных данных на обработку его персональных данных.
Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
4. Объём и категории, обрабатываемых персональных данных; категории субъектов
4.1. В соответствии с целями обработки персональных данных, указанными в разделе 2, у Оператора осуществляется обработка следующих категорий субъектов персональных данных:
- контрагенты;
- посетители сайта;
- соискатели;
- представители контрагентов;
- клиенты.
4.2. Для каждой цели обработки персональных данных приказами Оператора утверждаются объём, категории и перечни обрабатываемых персональных данных, категории субъектов, способы и сроки обработки и хранения, порядок уничтожения персональных данных при достижении целей обработки или при наступлении законных оснований.
4.3. На веб‑сайте optimalgroup.ru в целях продвижения товаров, работ, услуг на рынке у Оператора используется Яндекс Метрика. Состав и условия сбора обезличенных данных с использованием программного обеспечения третьих лиц (Яндекс Метрика) определяется непосредственно их правообладателями и может включать: данные браузера (тип, версия, cookie), данные устройства и место его положения, данные операционной системы (тип, версия, разрешение экрана), данные запроса (время, источник перехода, IP‑адрес). Оператор не несёт ответственность за порядок использования обезличенных данных третьими лицами (Яндекс Метрика).
5. Принципы и условия обработки персональных данных
5.1. При обработке персональных данных у Оператора соблюдаются следующие принципы:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей;
- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки; содержание и объём соответствуют заявленным целям; данные не являются избыточными;
- обеспечиваются точность, достаточность и при необходимости актуальность персональных данных; принимаются меры по удалению или уточнению неполных либо неточных данных;
- хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки, если срок не установлен законом или договором; по достижении целей данные уничтожаются или обезличиваются, если иное не предусмотрено законодательством РФ.
5.2. У Оператора осуществляется как автоматизированная обработка персональных данных, так и обработка без использования средств автоматизации. Совокупность операций включает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), удаление, уничтожение, блокирование.
5.3. При сборе персональных данных Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.
5.4. Оператор осуществляет передачу персональных данных третьим лицам в соответствии с требованиями законодательства РФ. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании договора. Обязательным условием является соблюдение конфиденциальности и обеспечение безопасности персональных данных при их обработке. В поручении определяется перечень персональных данных, действий, целей обработки, а также обязанность лица соблюдать конфиденциальность и требования статей 18, 18.1 Федерального закона № 152‑ФЗ, в том числе обязанность предоставлять по запросу Оператора документы и информацию, подтверждающие принятие мер по обеспечению безопасности.
Перечень лиц, которым поручается обработка персональных данных
- ООО «ХАНТФЛОУ», 127254, г. Москва, Огородный проезд, 16/1, стр 6, помещ 701 — подбор персонала (соискателей) на вакантные должности Оператора.
- ООО «БАНК ТОЧКА», 109044, г. Москва, 3‑й Крутицкий пер., 11, помещ 7Н — продвижение товаров, работ, услуг на рынке.
- АО «ПФ «СКБ КОНТУР», 620144, г. Екатеринбург, ул. Народной воли, 19А — ведение кадрового и бухгалтерского учёта.
- ПАО АКБ «АВАНГАРД», 119180, г. Москва, ул. Большая Якиманка, 1 — продвижение товаров, работ, услуг на рынке.
- ООО «ОЗОН БАНК», 123112, г. Москва, Пресненская наб., 10 — продвижение товаров, работ, услуг на рынке.
- ООО «ХЭДХАНТЕР», 129085, г. Москва, ул. Годовикова, 9, стр 10 — подбор персонала (соискателей) на вакантные должности Оператора.
- АО «ЮНИКО», 121205, г. Москва, Большой б‑р, 42, стр 1 — продвижение товаров, работ, услуг на рынке.
- АО «РАЙФФАЙЗЕНБАНК», 119002, г. Москва, Смоленская‑Сенная пл., 28 — продвижение товаров, работ, услуг на рынке.
- ООО «ЦИФРОВЫЕ ДОКУМЕНТЫ», 248000, г. Калуга, ул. Циолковского, 10, помещ. 2 — ведение кадрового и бухгалтерского учёта.
- ООО «ЯНДЕКС», 119021, г. Москва, ул. Льва Толстого, 16 — продвижение товаров, работ, услуг на рынке.
- ООО «БЕГЕТ», 195112, г. Санкт‑Петербург, пл. Карла Фаберже, 8, офис 726А — продвижение товаров, работ, услуг на рынке.
- ООО «МАНГО ТЕЛЕКОМ», 117420, г. Москва, ул. Профсоюзная, 57 — продвижение товаров, работ, услуг на рынке.
- ООО «ПИСЬМО», 191024, г. Санкт‑Петербург, ул. Херсонская, 8, помещ. 9Н — продвижение товаров, работ, услуг на рынке.
- ООО «ОДИН», 125493, г. Москва, ул. Флотская, 5, офис 306 — обеспечение пропускного режима на территорию Оператора.
- АО «ТИЛЬДА ПАБЛИШИНГ», 107031, г. Москва, ул. Петровские Линии, 2, помещ. 4/1 — продвижение товаров, работ, услуг на рынке.
- ООО «БЛАНК БАНК», 123112, г. Москва, 1‑й Красногвардейский проезд, 22, стр 1 — продвижение товаров, работ, услуг на рынке.
- ООО «1С‑БИТРИКС», 109544, г. Москва, б‑р Энтузиастов, 2, помещ. 8/19 — продвижение товаров, работ, услуг на рынке.
- АО «ТБАНК», 127287, г. Москва, ул. Хуторская 2‑я, 38А, стр 26 — продвижение товаров, работ, услуг на рынке.
- ООО «КОМПАНИЯ «ТЕНЗОР», 150001, г. Ярославль, Московский пр‑кт, 12 — ведение кадрового и бухгалтерского учёта.
- АО «СЕЛЕКТЕЛ», 196006, г. Санкт‑Петербург, ул. Цветочная, 21 — продвижение товаров, работ, услуг на рынке.
- ООО «ФИНОЛОГ», 105094, г. Москва, ул. Гольяновская, 7А — продвижение товаров, работ, услуг на рынке.
- ООО «КЬЮСОФТ», 123007, г. Москва, ул. 5‑я Магистральная, 12, помещ. XI — продвижение товаров, работ, услуг на рынке.
- ООО «СОФТЕХНО», 127473, г. Москва, ул. Достоевского, 1/21, стр 1, помещ. 1 — продвижение товаров, работ, услуг на рынке.
- ПАО СБЕРБАНК, 117312, г. Москва, ул. Вавилова, 19 — продвижение товаров, работ, услуг на рынке.
- АО КБ «МОДУЛЬБАНК», 156005, г. Кострома, Октябрьская пл., 1 — продвижение товаров, работ, услуг на рынке.
5.5. В случаях, когда Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несёт Оператор.
5.6. Прекращение обработки персональных данных осуществляется при прекращении деятельности Оператора (ликвидация или реорганизация).
5.7. Трансграничная передача персональных данных Оператором не осуществляется.
5.8. У Оператора обеспечивается конфиденциальность персональных данных: работники Оператора, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта, если иное не предусмотрено федеральным законом.
5.9. Обработка иных категорий персональных данных осуществляется с соблюдением следующих условий:
- обработка персональных данных осуществляется с согласия субъекта персональных данных;
- обработка осуществляется в статистических или иных исследовательских целях (за исключением целей, указанных в статье 15 Федерального закона «О персональных данных»), при условии обязательного обезличивания персональных данных.
6. Реализация мер обеспечения безопасности персональных данных
6.1. Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий.
К таким мерам относятся:
- назначение лица, ответственного за организацию обработки персональных данных;
- издание локальных актов по вопросам обработки персональных данных, определяющих перечни ПДн для каждой цели, способы и сроки обработки и хранения, порядок уничтожения, а также процедур предотвращения/выявления нарушений;
- внутренний контроль соответствия обработки ПДн законодательству РФ и внутренним документам Оператора;
- оценка возможного вреда субъектам ПДн и соразмерность принимаемых мер;
- ознакомление работников с законодательством и внутренними документами по ПДн;
- применение организационных и технических мер по ст. 19 Федерального закона «О персональных данных», включая:
- определение угроз безопасности ПДн при их обработке в ИСПДн;
- реализацию мер защиты в соответствии с Постановлением Правительства РФ № 1119 и приказом ФСТЭК России № 21 с учётом категорий ПДн, уровня защищённости, актуальных угроз и возможного ущерба;
- режим безопасности помещений ИСПДн;
- учёт и сохранность машинных носителей;
- организацию доступа к ПДн в ИСПДн;
- использование средств защиты информации, прошедших оценку соответствия;
- антивирусный мониторинг и детектирование;
- применение межсетевых экранов;
- своевременное обновление ПО ИСПДн и СЗИ;
- защиту технических средств ИСПДн.
Оператор взаимодействует с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование уполномоченного органа о компьютерных инцидентах, повлёкших неправомерную передачу ПДн.
7. Обработка персональных данных без использования средств автоматизации
Персональные данные при такой обработке обособляются от иной информации (на отдельных материальных носителях, в специальных разделах или на полях форм).
Не допускается фиксация на одном носителе ПДн, цели обработки которых заведомо не совместимы. Для каждой категории ПДн используются отдельные носители. Лица, осуществляющие такую обработку, проинформированы о факте и особенностях обработки.
При использовании типовых форм документов соблюдаются условия о целях обработки, данных об Операторе и субъекте ПДн, источнике получения данных, сроках обработки, перечне действий, описании способов обработки; наличие поля для отметки о согласии (при необходимости); возможность ознакомления каждого субъекта со своими ПДн; исключение объединения несовместимых полей.
При несовместимости целей обработки на одном носителе обеспечивается раздельная обработка (в т. ч. копирование, уничтожение/блокирование части данных, удаление/вымарывание).
Уточнение ПДн производится путём обновления/изменения на носителе, фиксации сведений об изменениях или изготовления нового носителя.
Меры безопасности при неавтоматизированной обработке включают определение мест хранения и круга лиц, раздельное хранение для разных целей, а также соблюдение условий сохранности и недопущения несанкционированного доступа.
8. Актуализация, исправление, удаление и уничтожение ПДн; ответы на запросы субъектов
Права субъектов персональных данных
Право на доступ к персональным данным. Субъект имеет право на получение информации, касающейся обработки его персональных данных, включая подтверждение факта обработки, правовые основания и цели, наименование и адрес Оператора, сведения о лицах, имеющих доступ, обрабатываемые данные и их источник, сроки обработки и хранения, порядок осуществления прав, информацию о трансграничной передаче, сведения о лице, действующем по поручению Оператора, информацию о способах исполнения обязанностей Оператором и иные сведения, предусмотренные законом.
Запрашиваемая информация предоставляется в доступной форме, без данных о других субъектах (если нет законных оснований для их раскрытия). Субъект вправе требовать уточнения, блокирования или уничтожения ПДн в предусмотренных законом случаях.
Сроки и порядок предоставления информации. Информация предоставляется в течение 10 рабочих дней с момента обращения/получения запроса; срок может быть продлён до 5 рабочих дней с направлением мотивированного уведомления. Запрос содержит реквизиты документа, удостоверяющего личность, сведения, подтверждающие отношения с Оператором, либо иные сведения, подтверждающие факт обработки ПДн, и подпись (в т. ч. ЭП для электронного документа). Ответ предоставляется в форме обращения/запроса, если не указано иное.
Повторные обращения возможны не ранее чем через 30 дней, если более короткий срок не установлен актом или договором, либо ранее — при непредоставлении сведений в полном объёме с обоснованием.
Обязанности Оператора
При сборе ПДн. По просьбе субъекта Оператор предоставляет информацию согласно ч. 7 ст. 14 Федерального закона «О персональных данных». Если предоставление ПДн/получение согласия обязательно по закону, Оператор разъясняет юридические последствия отказа. Если ПДн получены не от субъекта, до начала обработки субъекту сообщаются сведения об Операторе, целях и правовом основании, перечне ПДн, предполагаемых пользователях, правах субъекта и источнике получения ПДн, за исключением случаев, предусмотренных законом.
При обращениях субъектов/запросах уполномоченного органа. Оператор сообщает наличие ПДн о субъекте и предоставляет возможность ознакомления в течение 10 рабочих дней (с возможным продлением до 5 дней с мотивировкой). При отказе — направляет мотивированный ответ в те же сроки. Изменения вносятся в срок до 7 рабочих дней с момента подтверждения неполноты/неточности; незаконно полученные или ненужные для заявленной цели ПДн уничтожаются в срок до 7 рабочих дней. О предпринятых мерах уведомляются субъект и, при необходимости, третьи лица. Запрашиваемая уполномоченным органом информация предоставляется в течение 10 рабочих дней (с возможным продлением до 5 дней).
Устранение нарушений. При выявлении неправомерной обработки — блокирование ПДн на период проверки; при подтверждении неточности — уточнение ПДн в 7‑дневный срок и снятие блокировки; прекращение неправомерной обработки в срок до 3 рабочих дней, а при невозможности обеспечения правомерности — уничтожение ПДн в срок до 10 рабочих дней с уведомлением субъекта и/или уполномоченного органа.
Инциденты безопасности. В случае неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлёкшей нарушение прав субъектов, Оператор обязан уведомить уполномоченный орган: в течение 24 часов — о факте инцидента, предполагаемых причинах и вреде, принятых мерах и контактном лице; в течение 72 часов — о результатах внутреннего расследования и лицах, действия которых стали причиной инцидента (при наличии).
Завершение обработки. При достижении цели обработки Оператор прекращает обработку и уничтожает ПДн в срок, не превышающий 30 дней (если иное не предусмотрено договором/законом). При отзыве согласия — прекращает обработку и уничтожает ПДн в срок до 30 дней (если иное не предусмотрено договором/законом). По требованию субъекта прекращение обработки — в срок до 10 рабочих дней (с возможным продлением до 5 дней с мотивированным уведомлением). При невозможности уничтожения в указанный срок — блокирование и уничтожение в срок не более 6 месяцев (если иной срок не установлен законом).
Правила рассмотрения запросов субъектов ПДн и формы их рассмотрения утверждаются приказом Оператора.
9. Ответственность
Лица, виновные в нарушении требований Федерального закона «О персональных данных», несут ответственность, предусмотренную законодательством Российской Федерации.
Моральный вред, причинённый субъекту персональных данных вследствие нарушения его прав и требований к защите ПДн, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесённых убытков.
Приложение
к приказу Оператора от № 23/2025
Перечень персональных данных, обрабатываемых в ИСПДн «optimalgroup.ru»
Цель обработки: продвижение товаров, работ, услуг на рынке.
| № | Содержание сведений (категория субъектов ПДн: перечень ПДн) | Способы обработки ПДн | Категория ПДн | Правовое основание | Срок (условия прекращения) обработки/хранения |
|---|---|---|---|---|---|
| 1 | Контрагенты: фамилия, имя, отчество, номер телефона, адрес электронной почты | смешанная | иные | Согласие субъекта персональных данных; обработка осуществляется с согласия субъекта | Ликвидация компании |
| 2 | Посетители сайта: фамилия, имя, отчество, номер телефона, адрес электронной почты | смешанная | иные | Согласие субъекта персональных данных; обработка осуществляется с согласия субъекта | Ликвидация компании |
| 3 | Соискатели: фамилия, имя, отчество, год и дата рождения, место рождения, адрес места жительства/регистрации, семейное и социальное положение, сведения об образовании, профессия, доходы, должность, номер телефона, адрес электронной почты, ИНН, СНИЛС, месяц рождения, пол, гражданство, сведения о трудовой деятельности (в т. ч. стаж, данные о текущей занятости с указанием наименования и расчётного счёта организации), отношение к воинской обязанности, сведения о воинском учёте | смешанная | иные | Согласие субъекта персональных данных; обработка осуществляется с согласия субъекта | Ликвидация компании |
Обновлено: