Политика конфиденциальности

УТВЕРЖДЕНО

Индивидуальным предпринимателем

Лубниным Дмитрием Михайловичем

Редакция от 01.07.2025 

Город Москва, 2025 год

 

 

ПОЛИТИКА

обработки и защиты персональных данных

Индивидуальным предпринимателем Лубниным Дмитрием Михайловичем

1. ОБЩИЕ ПОЛОЖЕНИЯ

• Настоящий документ определяет политику и положения Индивидуального предпринимателя Лубнина Дмитрия Михайловича (ОГРНИП 324774600124185) (далее – Оператор) в отношении обработки персональных данных (далее – Политика / Положение).

• Оператор осуществляет обработку персональных данных, обеспечивает защиту прав и свобод субъектов при обработке их персональных данных и принимает меры для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 Nº 152-Ф3 «О персональных данных» (далее — «Закон Nº 152-ФЗ») и принятыми в соответствии с ним нормативными правовыми актами.

• Настоящая Политика применяется ко всем видам обработки персональных данных, осуществляемой Оператором с использованием любых средств, включая автоматизированные, неавтоматизированные, смешанные способы обработки, а также в информационно-телекоммуникационных сетях, в том числе в сети «Интернет».

• Действие настоящей Политики распространяется на все подразделения Оператора, все информационные системы персональных данных, а также на всех работников и контрагентов Оператора, участвующих в обработке персональных данных.

• Оператор обеспечивает режим конфиденциальности в отношении всех обрабатываемых персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.

• Обработка персональных данных организована на принципах:

• законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
• ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;
• соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
• недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
• обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных;
• хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

• Настоящая Политика подлежит размещению на сайте Оператора https://lubnindoc.ru/, https://taplink.cc/dmitrylubnin, https://sovetginekologa.ru/#, а также иных информационных сервисах Оператора (в том числе приложения, мобильные приложения и т.п.).

• Положения и требования настоящей Политики являются обязательными для исполнения всеми работниками (сотрудниками) Оператора, имеющими доступ к персональным данным.

• Локальные акты и другие документы, регламентирующие обработку персональных данных Оператором, разрабатываются с учетом положений настоящей Политики.

• В Положении используются следующие термины, определения и понятия:

• персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
• субъект персональных данных — физическое лицо, которое прямо или косвенно определено, или определяемо с помощью персональных данных;
• оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В данном Положении под оператором понимается Оператор.
• обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
• автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
• распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
• врачебная тайна — сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении;
• Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека (в том числе изображение лица), на основании которых возможно установить его личность, и которые используются Оператором для идентификации личности субъекта персональных данных.

• Правовыми основаниями обработки Оператором персональных данных для целей, указанных в разделе 2 настоящей Политики, являются Гражданский кодекс Российской Федерации, Трудовой кодекс Российской Федерации, Налоговый кодекс Российской Федерации, Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», Федеральный закон от 27.07.2006 Nº 152-Ф3 «О персональных данных», договоры, заключаемые между Оператором и субъектами персональных данных, согласия субъектов персональных данных на обработку их персональных данных, иные нормативны-правовые акты Российской Федерации, а также внутренние (локальные) нормативные акты Оператора.

2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

• Ведение кадрового делопроизводства, рекрутинг (поиск, найм) персонала, осуществление Оператором прав и исполнение обязательств по трудовому законодательству.

(Под указанной целью понимается, в том числе: ведение личных дел работников; предоставление работникам отпусков и направление их в командировки; поощрение работников и привлечение их к дисциплинарной ответственности; предоставление работникам (бывшим работникам) и членам их семей гарантий и компенсаций, предусмотренных законодательством и локальными нормативными актами Оператора; организация деятельности работников Оператора в информационных системах Оператора / с использованием информационно-сетевой инфраструктуры Оператора, а также администрированием информационных систем Оператора / информационно-сетевой инфраструктуры Оператора; осуществление учета информации об использовании услуг корпоративной стационарной и мобильной связи работниками Оператора; пропуск субъекта персональных данных на территорию, на которой находится оператор; размещение во внутрикорпоративных справочниках и внутрикорпоративном сайте Оператора; обеспечение сохранности имущества работника и работодателя; обеспечение личной безопасности; контроль количества и качества выполняемой работы; обучение и продвижение по службе; оценка квалификации работника; предоставление информации работникам о подходящих по медицинским показаниям и квалификации вакансиях, существующих у Оператора.)

• Категория субъектов персональных данных:
  • Кандидаты для приема на работу

Перечень персональных данных:

• фамилия, имя, отчество
• число, месяц, год рождения
• место рождения
• сведения о гражданстве
• вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование органа, выдавшего его
• адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания
• номера телефонов, адреса электронной почты, сведения о других способах связи
• сведения о регистрации в системе индивидуального (персонифицированного) учета
• сведения о трудовой деятельности
• сведения об образовании, квалификации, наличии специальных знаний
• сведения о профессиональной переподготовке и (или) повышении квалификации
• сведения о воинском учете
• фотография

Способ обработки персональных данных:

• С использованием средств автоматизации
• Без использования средств автоматизации
• С передачей по сети интернет и без таковой

Сроки обработки персональных данных:

• Срок, в течение которого действует согласие субъекта персональных данных
• Сроки, установленные в нормативных правовых актах
• До отзыва согласия

• Категория субъектов персональных данных:
  • Работники
  • Бывшие работники
• Перечень персональных данных:
  • фамилия, имя, отчество
  • число, месяц, год рождения
  • место рождения
  • сведения о гражданстве
  • вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование органа, выдавшего его
  • адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания
  • номера телефонов, адреса электронной почты, сведения о других способах связи
  • сведения о регистрации в системе индивидуального (персонифицированного) учета
  • сведения о трудовой деятельности
  • сведения об образовании, квалификации, наличии специальных знаний
  • сведения о профессиональной переподготовке и (или) повышении квалификации
  • сведения о воинском учете
  • фотография
  • сведения об обязательном социальном, пенсионном и медицинском страховании;
  • идентификационный номер налогоплательщика
  • сведения о семейном положении, браке, составе семьи и близких родственниках, обрабатываемые в соответствии с законодательством Российской Федерации
  • сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому договору
  • сведения о заключении, изменении, прекращении трудового договора
  • сведения о ежегодных оплачиваемых отпусках, отпусках работников, совмещающих работу с обучением (учебных отпусках), и отпусках без сохранения заработной платы
  • сведения о заработной плате, реквизиты банковского счета для перечисления заработной платы и социальных выплат
  • сведения о поощрении, применении дисциплинарных взысканий

Способ обработки персональных данных:

• С использованием средств автоматизации
• Без использования средств автоматизации
• С передачей по сети интернет и без таковой

Сроки обработки персональных данных:

• Срок, в течение которого действует согласие субъекта персональных данных
• Сроки, установленные в нормативных правовых актах
• До отзыва согласия

• Категория субъектов персональных данных:
  • Родственники работников

Перечень персональных данных:

• фамилия, имя, отчество
• число, месяц, год рождения
• реквизиты документа, удостоверяющего личность (серия, номер, кем выдан, дата выдачи)
• адрес и дата регистрации по месту жительства (месту пребывания)
• реквизиты банковского счета для перечисления сумм алиментов, социальных и иных выплат

Способ обработки персональных данных:

• С использованием средств автоматизации
• Без использования средств автоматизации
• С передачей по сети интернет и без таковой

Сроки обработки персональных данных:

• Срок, в течение которого действует согласие субъекта персональных данных
• Сроки, установленные в нормативных правовых актах
• До отзыва согласия

• Подготовка, заключение, изменение, исполнение и прекращение договоров на, в том числе оказание консультационных услуг.

• Категории субъектов персональных данных:
  • Контрагенты / заказчики / клиенты и их представители

Перечень персональных данных:

• фамилия, имя, отчество
• реквизиты документа, удостоверяющего личность (серия, номер, кем выдан, дата выдачи)
• адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания
• номера телефонов, адреса электронной почты, сведения о других способах связи
• сведения о регистрации в качестве индивидуального предпринимателя, самозанятого гражданина, о наличии статуса нотариуса, адвоката и т.п.
• сведения о применяемом режиме налогообложения
• индивидуальный номер налогоплательщика
• сведения, содержащиеся в договорах, дополнительных соглашениях к договорам
• сведения о заключении, изменении, прекращении, а также об исполнении договоров
• реквизиты банковского счета
• данные платежных средств

Способ обработки персональных данных:

• С использованием средств автоматизации
• Без использования средств автоматизации
• С передачей по сети интернет и без таковой

Сроки обработки персональных данных:

• Срок, в течение которого действует согласие субъекта персональных данных
• Сроки, установленные в нормативных правовых актах
• До отзыва согласия

• Реализация функциональных модулей сайта и иных информационных сервисов Оператора (включая мобильные приложения), сбор статистики о посещаемости сайта и иных информационных сервисов Оператора (в том числе переписка и обмен информацией посредством мессенджеров, приложений, иных информационных сервисов).

• Категории субъектов персональных данных:
  • Пользователи сайта Оператора и иных информационных сервисов Оператора

Перечень персональных данных:

• фамилия, имя, отчество
• дата рождения
• пол
• данные из ЕСИА (в случае авторизации посредством ЕСИА)
• реквизиты документа, удостоверяющего личность (серия, номер, кем выдан, дата выдачи)
• сведения о факте обращения за медицинской помощью
• сведения, содержащиеся в договоре оказания услуг, заключенных с Оператором
• сведения, содержащиеся в договоре оказания медицинских услуг, дополнительных соглашениях к договорам
• сведения о заключении, изменении, прекращении, а также об исполнении договора оказания медицинских услуг
• сведения о состоянии здоровья
• сведения о планируемых или оказанных медицинских услугах (помощи), медицинских вмешательствах
• номера телефонов, адреса электронной почты, сведения о других способах связи
• техническая информация об используемых устройствах, активности посетителя на сайте
• данные платежных средств

Способ обработки персональных данных:

• С использованием средств автоматизации
• Без использования средств автоматизации
• С передачей по сети интернет и без таковой

Сроки обработки персональных данных:

• Срок, в течение которого действует согласие субъекта персональных данных
• Сроки, установленные в нормативных правовых актах
• До отзыва согласия

• Организация и проведение мероприятий, направленных на повышение узнаваемости и лояльности в отношении Оператора, а также продвижение (в том числе рекламное) услуг Оператора.

• Категории субъектов персональных данных:
  • Контрагенты / заказчики / клиенты и их представители

Перечень персональных данных:

• фамилия, имя, отчество
• дата рождения
• пол
• сведения о факте обращения за медицинской помощью
• сведения, содержащиеся в договоре оказания услуг, заключенных с Оператором
• сведения, содержащиеся в договоре оказания медицинских услуг, дополнительных соглашениях к договорам
• сведения о заключении, изменении, прекращении, а также об исполнении договора оказания медицинских услуг
• сведения о состоянии здоровья
• сведения о планируемых или оказанных медицинских услугах (помощи), медицинских вмешательствах
• номера телефонов, адреса электронной почты, сведения о других способах связи
• техническая информация об используемых устройствах, активности посетителя на сайте
• данные платежных средств

Способ обработки персональных данных:

• С использованием средств автоматизации
• Без использования средств автоматизации
• С передачей по сети интернет и без таковой

Сроки обработки персональных данных:

• Срок, в течение которого действует согласие субъекта персональных данных
• Сроки, установленные в нормативных правовых актах
• До отзыва согласия

• Категории субъектов персональных данных:
  • Работники / сотрудники

Перечень персональных данных:

• Фамилия, имя, отчество;
• Должность;
• Трудовой стаж;
• Ученая степень, ученое звание;
• Фотография;
• Сведения о квалификации (образования, стажировки, обучение)

Способ обработки персональных данных:

• С использованием средств автоматизации
• Без использования средств автоматизации
• С передачей по сети интернет и без таковой

Сроки обработки персональных данных:

• Срок, в течение которого действует согласие субъекта персональных данных
• Сроки, установленные в нормативных правовых актах
• До отзыва согласия
• До момента прекращения трудовых или иных отношений с Оператором

• Обеспечение административно-хозяйственной деятельности Оператора, а также правовой (юридической) поддержки Оператора, повышение качества обслуживания Оператором.

• Категории субъектов персональных данных:
  • Контрагенты / заказчики / клиенты и их представители

Перечень персональных данных:

• фамилия, имя, отчество
• дата рождения
• реквизиты документа, удостоверяющего личность (серия, номер, кем выдан, дата выдачи)
• адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания
• номера телефонов, адреса электронной почты, сведения о других способах связи
• сведения о регистрации в качестве индивидуального предпринимателя, самозанятого гражданина, о наличии статуса нотариуса, адвоката и т.п.
• сведения о применяемом режиме налогообложения
• индивидуальный номер налогоплательщика
• сведения, содержащиеся в договорах, дополнительных соглашениях к договорам
• сведения о заключении, изменении, прекращении, а также об исполнении договоров
• реквизиты банковского счета
• данные платежных средств
• сведения о состоянии здоровья
• сведения о планируемых или оказанных медицинских услугах (помощи), медицинских вмешательствах

Способ обработки персональных данных:

• С использованием средств автоматизации
• Без использования средств автоматизации
• С передачей по сети интернет и без таковой

Сроки обработки персональных данных:

• Срок, в течение которого действует согласие субъекта персональных данных
• Сроки, установленные в нормативных правовых актах
• До отзыва согласия

 

• Организация и обеспечение оказания медицинских услуг (медицинской помощи), иных услуг (в том числе на льготных условиях) в компаниях-партнерах Оператора (в том числе медицинских организациях).

 

Категории субъектов персональных данных:

• Контрагенты / заказчики / клиенты и их представители

Перечень персональных данных:

• фамилия, имя, отчество
• дата рождения
• реквизиты документа, удостоверяющего личность (серия, номер, кем выдан, дата выдачи)
• адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания
• номера телефонов, адреса электронной почты, сведения о других способах связи
• сведения о регистрации в качестве индивидуального предпринимателя, самозанятого гражданина, о наличии статуса нотариуса, адвоката и т.п.
• сведения о применяемом режиме налогообложения
• индивидуальный номер налогоплательщика
• сведения, содержащиеся в договорах, дополнительных соглашениях к договорам
• сведения о заключении, изменении, прекращении, а также об исполнении договоров
• реквизиты банковского счета
• данные платежных средств
• сведения о состоянии здоровья
• сведения о планируемых или оказанных медицинских услугах (помощи), медицинских вмешательствах

Способ обработки персональных данных:

• С использованием средств автоматизации
• Без использования средств автоматизации
• С передачей по сети интернет и без таковой

Сроки обработки персональных данных:

• Срок, в течение которого действует согласие субъекта персональных данных
• Сроки, установленные в нормативных правовых актах
• До отзыва согласия

 

3. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

• Обработка персональных данных, несовместимая с целями, указанными выше, не допускается.

• Для достижения Целей, указанных в пункте 2.5, 2.6 настоящего Положения, Оператор, в том числе, осуществляет передачу (предоставление, доступ) персональных данных в организации, которые указываются в подписываемых согласиях на обработку персональных данных и иных соответствующих (релевантных) документах.

• Все персональные данные субъекта получаются у него самого или его законного представителя. Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие, либо должны быть иные установленные законодательством основания для обработки персональных данных субъекта. До сбора персональных данных Оператор должно сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.

• При сборе персональных данных с использованием информационно-телекоммуникационных сетей, в том числе сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации осуществляется с использованием баз данных, находящихся на территории Российской Федерации.

• Оператор вправе обрабатывать персональные данные субъекта только с его письменного согласия, либо в случаях, когда:

• обработка персональных данных осуществляется на основании ТК РФ в рамках трудовых отношений между Оператором и субъектом;
• обработка персональных данных осуществляется в целях исполнения договора, по которому субъект является стороной, выгодоприобретателем или поручителем;
• обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия невозможно;
• в иных предусмотренных федеральными законами случаях.

• Письменное согласие субъекта на обработку персональных данных дается в соответствии с Законом № 152-ФЗ.

• Форма согласия может модифицироваться/дополняться в целях индивидуализации обработки персональных данных для разных категорий субъектов/для индивидуализации целей обработки персональных данных.

• Обработка персональных данных работников должна соответствовать требованиям статьи 86 ТК РФ.

• Запрещается собирать и обрабатывать персональные данные, не предусмотренные разделом 2 Положения, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений субъектов персональных данных.

• Все работники, допущенные к обработке персональных данных:

• проходят вводный инструктаж и обучение по вопросам обработки и защиты персональных данных при приеме на работу;
• проходят плановое обучение не реже одного раза в год;
• сдают проверку знаний, подтверждающую освоение требований законодательства о персональных данных.

Факт обучения и проверки знаний фиксируется в учетных документах, хранящихся у ответственного за организацию обработки персональных данных.

• Обработка персональных данных включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

• Персональные данные субъектов могут собираться, обрабатываться и храниться как в бумажном виде, так и в электронном виде в информационных системах персональных данных Оператора.

• Передача персональных данных третьим лицам (в том числе трансграничная передача) допускается с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации. Предоставление персональных данных государственным и муниципальным органам власти (в т.ч. путем внесения сведений в государственные и муниципальные информационные системы), допускается без согласия субъекта в случаях, предусмотренных нормативными правовыми актами.

• Оператор передает персональные данные третьим лицам только при наличии: а) законных оснований; б) заключённого письменного договора с обязательствами по соблюдению законодательства о персональных данных; в) оценки достаточности мер защиты у контрагента.

• Оператор при передаче персональных данных третьим лицам в рамках договоров поручения обработки ПДн обеспечивает наличие обязательств таких лиц:

• соблюдать требования законодательства о ПДн;
• использовать данные только для целей обработки, определенных в договоре;
• соблюдать режим конфиденциальности;
• принимать организационные и технические меры защиты данных;
• обеспечить допуск к ПДн только уполномоченным лицам;
• обеспечить уничтожение данных после выполнения целей обработки.

• Оператор не осуществляет трансграничную передачу персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных. В случае возникновения трансграничной передачи персональных данных Оператор обязуется соблюдать требования ст. 12 Федерального закона «О персональных данных».

• При передаче персональных данных Оператор обязан:

• не сообщать персональные данные субъекта третьей стороне без согласия субъекта персональных данных, за исключением случаев, когда это допускается Законом № 152-ФЗ;
• не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия. Обработка персональных данных субъекта в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия;
• предупредить лиц, получивших персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
• уведомить лиц, получивших персональные данные субъекта, о необходимости соблюдать режим секретности (конфиденциальности), и требовать от этих лиц соблюдения данного режима.

• Решения, порождающие юридические последствия для субъекта персональных данных, могут приниматься только при наличии письменного согласия субъекта или в случаях, прямо предусмотренных федеральными законами.

• Сроки обработки персональных данных регламентированы в соответствии с положениями настоящей Политики и законодательства Российской Федерации.

• Оператор осуществляет систематический контроль и выделение документов и иных носителей информации, содержащих персональные данные с истекшими сроками хранения и подлежащих уничтожению.

• Персональные данные подлежат уничтожению в следующих случаях:

• при достижении целей их обработки;
• по истечении установленных законодательством сроков хранения;
• при выявлении фактов их неправомерной обработки;
• при отзыве субъектом персональных данных согласия на их обработку, если отсутствуют иные законные основания для их обработки;
• по предписанию уполномоченного органа или решению суда.

• Уничтожение персональных данных осуществляется с соблюдением следующих процедур:

• формируется комиссия по уничтожению персональных данных, состав которой утверждается приказом Оператора (иным распоряжением Оператора), либо Оператор самостоятельно уничтожает такие персональные данные;
• осуществляется экспертиза ценности документов и носителей информации;
• оформляется акт об уничтожении персональных данных с указанием состава, даты и способа уничтожения;
• уничтожение бумажных носителей осуществляется путем физического измельчения шредером до уровня, исключающего возможность восстановления информации;
• уничтожение электронных носителей производится с использованием сертифицированных программных средств гарантированного удаления информации либо физического разрушения носителя.

• Уничтожение по окончании срока обработки персональных данных на бумажных носителях производится путем их измельчения с применением бумагорезательной машины (шредера).

• Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем удаления (стирания) с электронных носителей методами и средствами гарантированного удаления остаточной информации.

• По окончании процедуры уничтожения документов и иных носителей, содержащих персональные данные, ответственным за организацию обработки персональных данных или созданной им комиссией составляется акт об уничтожении.

4. ВНУТРЕННИЙ КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ТРЕБОВАНИЙ К ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

• Оператором осуществляется внутренний контроль соответствия обработки персональных данных требованиям к обработке и защите персональных данных.

• Внутренний контроль осуществляет работник, ответственный за организацию обработки персональных данных.

• В целях осуществления внутреннего контроля ответственный за организацию обработки персональных данных имеет право:

• запрашивать у работников Оператора и получить информацию и (или) документы, необходимые для осуществления внутреннего контроля, в том числе для контроля выполнения мер, направленных на устранение выявленных в ходе проверок нарушений, защиту и восстановление нарушенных прав субъектов персональных данных;
• требовать от работников Оператора устранения выявленных нарушений.

• Ответственный вправе инициировать проведение внутреннего аудита соблюдения законодательства о персональных данных, в том числе с привлечением внешних аудиторов, обладающих необходимой квалификацией.

• Работники Оператора обязаны:

• предоставлять ответственному за организацию обработки персональных данных запрошенные в целях осуществления внутреннего контроля информацию и (или) документы;
• выполнять требования ответственного за организацию обработки персональных данных об устранении допущенных нарушений.

• Внутренний контроль осуществляется ответственным за организацию обработки персональных данных путем проведения плановых и внеплановых проверок. Основанием для проведения проверки является решение ответственного за организацию обработки персональных данных и (или) утверждённый Оператором план проверок (в случае его утверждения), который детализирует предмет проверки и сроки ее проведения.

• Плановые проверки проводятся не реже одного раза в год.

• Внеплановые проверки проводятся в любое время по решению ответственного за организацию обработки персональных данных.

• Ответственный за организацию обработки персональных данных, получивший доступ к персональным данным субъектов персональных данных в ходе проведения проверки, обеспечивает конфиденциальность персональных данных, не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных.

• Срок проведения проверки не должен превышать десяти рабочих дней с момента ее начала.

• По результатам проведения проверок ответственный за организацию обработки персональных данных обязан принимать меры, направленные на устранение выявленных нарушений, защиту и восстановление нарушенных прав субъектов персональных данных.

• Результаты проведенной проверки, а также перечень мер, которые необходимо принять по результатам проверки, фиксируются в акте внутреннего контроля за подписью ответственного за организацию обработки персональных данных.

• Ответственный за организацию обработки персональных данных в течение пяти рабочих дней после составления акта внутреннего контроля доводит до сведения Оператора информацию о результатах проверки, в том числе о выявленных нарушениях, мерах, направленных на их устранение, защиту и восстановление нарушенных прав субъектов персональных данных.

5. ОБЕСПЕЧЕНИЕ БЕЗОПАСНСОТИ ПЕРСОНАЛЬНЫХ ДАННЫХ. РЕАГИРОВАНИЕ НА ИНЦИДЕНТЫ И ВЗАИМОДЕЙСТВИЕ С РОСКОМНАДЗОРОМ

• Оператор обеспечивает безопасность персональных данных при их обработке, принимая необходимые правовые, организационные и технические меры для предотвращения:

• неправомерного или случайного доступа к персональным данным;
• уничтожения, изменения, блокирования, копирования, распространения персональных данных;
• иных неправомерных действий в отношении персональных данных.

• К числу применяемых Оператором организационных мер защиты персональных данных относятся:

• разграничение полномочий работников по доступу к персональным данным;
• установление перечня должностных лиц, допущенных к работе с персональными данными;
• заключение соглашений о конфиденциальности с работниками и контрагентами;
• проведение регулярного обучения и инструктажа работников;
• разработка и актуализация локальных нормативных актов, регламентирующих обработку и защиту персональных данных;
• контроль соблюдения установленных режимов доступа и порядка обработки персональных данных.

• К техническим мерам защиты персональных данных относятся:

• идентификация и аутентификация пользователей в информационных системах;
• разграничение прав доступа к информационным системам персональных данных;
• регистрация и учет предоставленных прав доступа, ведение реестра учетных записей пользователей информационных систем;
• регистрация и учет всех действий пользователей (журналирование);
• использование антивирусной защиты и межсетевого экранирования;
• регулярное обновление программного обеспечения и систем безопасности;
• резервное копирование информации с возможностью восстановления данных;
• физическая охрана помещений, в которых размещаются серверы и носители персональных данных;
• учет и уничтожение материальных носителей информации.

• Оператор осуществляет периодическую актуализацию оценки угроз безопасности персональных данных в своих информационных системах с целью своевременного выявления новых рисков и принятия адекватных мер защиты.

• Перед вводом в эксплуатацию новых информационных систем обработки персональных данных проводится оценка эффективности принимаемых мер по защите персональных данных.

• Оператор обеспечивает учет машинных носителей персональных данных, а также контроль за использованием средств защиты информации.

• В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) к персональным данным Оператор:

• незамедлительно инициирует внутреннее расследование причин инцидента;
• уведомляет уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о произошедшем инциденте в течение 24 часов с момента выявления инцидента;
• направляет в Роскомнадзор результаты внутреннего расследования, включая сведения о причинах, последствиях и мерах устранения выявленных нарушений, в течение 72 часов.

• Все инциденты фиксируются в реестре инцидентов безопасности персональных данных. Реестр ведется ответственным за организацию обработки персональных данных.

• По результатам каждого инцидента принимаются меры по предотвращению аналогичных нарушений в будущем, включая усиление мер защиты, обучение персонала, актуализацию локальных актов.

• Оператор обязан:

• по запросу уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзора) представлять полную информацию о принятых мерах по обеспечению защиты персональных данных;
• предоставлять документы, подтверждающие принятие мер, не позднее 10 рабочих дней с момента получения официального запроса;
• в случае объективной необходимости срок предоставления может быть продлен, но не более чем на 5 рабочих дней, с предварительным уведомлением Роскомнадзора о причинах продления.

6. ОТВЕТСТВЕННОСТЬ

• Лица, виновные в нарушении установленного порядка обработки и обеспечения безопасности персональных данных, несанкционированного доступа к персональным данным, либо раскрытия персональных данных несут административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами Российской Федерации.

• В отношении работников Оператора, нарушивших порядок обработки и обеспечения безопасности персональных данных, могут быть применены дисциплинарные взыскания в соответствии со ст. 192 ТК РФ.

• Учет и расследование фактов нарушений порядка обработки и обеспечения безопасности персональных данных, несанкционированного доступа к персональным данным, либо раскрытия персональных данных осуществляется ответственным за организацию обработки персональных данных в соответствии с разделом 5 настоящего Положения.

• В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

• течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном на взаимодействие Оператора с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
• в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

7. ИСПОЛЬЗОВАНИЕ ФАЙЛОВ COOKIES

• Cookies – небольшой фрагмент, который сайт запрашивает у браузера, используемого на компьютере или мобильном устройстве Пользователя. Cookies отражают предпочтения Пользователя или его действия на сайте, а также сведения об его оборудовании, дате и времени сессии.

• Cookies обрабатываются для совершенствования продуктов и услуг Оператора, предоставления целевой информации по продуктам и услугам Оператора.

• Пользователь может отказаться от использования cookies в настройках своего браузера. В таком случае сайт будет использовать только те cookies, которые строго необходимы для его функционирования и предлагаемых им сервисов, однако такой отказ может привести к некорректной работе сайта.

• На сайте реализован сервис веб-аналитики «Яндекс.Метрика», использующий cookies. Информация хранится на серверах Яндекса, расположенных в Российской Федерации. Файлы обрабатываются на условиях настоящей Политики, а также на условиях документов Яндекса о конфиденциальности».

8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

• Настоящее Положение вступает в силу после его утверждения Оператором.

• Положение в настоящей редакции действует до момента его изменения, дополнения или отмены в порядке, установленном Положением.

• В случае, если какое-либо положение (в том числе правило, процедура, требование или условие) настоящего Положения окажется не соответствующим действующему законодательству, то такое положение не применяется, а применяется соответствующее положение нормативного правового акта.

• Настоящая Политика размещается в открытом доступе на официальном сайте Оператора в сети Интернет, а также доступна для ознакомления в информационных сервисах Оператора.

• Ответственным за организацию обработки персональных данных Оператором по смыслу закона является Лубнин Дмитрий Михайлович, lubnin@gmail.com.