Политика в отношении обработки и защиты персональных данных

Политика в отношении обработки и защиты персональных данных

Казань 2025

Политика в отношении обработки и защиты персональных данных
Настоящая Политика в отношении обработки персональных данных (далее –Политика) разработана в соответствии с п. 2 ст. 18.1 Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 года, действует в отношении всех персональных данных, которые самозанятый Гиниатуллин Дамир Ильдарович (далее –Оператор) может получить от субъектов персональных данных –клиентов и контрагентов Оператора в связи с осуществлением Оператором коммерческой деятельности.
Важнейшим условием реализации целей Оператора, является обеспечение необходимого и достаточного уровня информационной безопасности, к которым в том числе относятся персональные данные и технологические процессы, в рамках которых они обрабатываются.
Обеспечение безопасности персональных данных является одной из приоритетных задач Оператора.
Обработка и обеспечение безопасности информации, отнесенной к персональным данным, у Оператора осуществляется в отношении персональных данных, что позволяет обеспечить защиту персональных данных, обрабатываемых как в информационных системах персональных данных, т.е. в системах, целью создания которых является обработка персональных данных и к защите которых требования и рекомендации по обеспечению безопасности персональных данных предъявляют Федеральная служба безопасности Российской Федерации (ФСБ России), Федеральная служба по техническому и экспортному контролю (ФСТЭК России), так и в иных информационных системах, в которых персональные данные обрабатываются совместно с информацией, защищаемой в соответствии с требованиями, установленными для этой информации.
Настоящая Политика определяет принципы, порядок и условия обработки персональных данных клиентов и контрагентов Оператора, чьи персональные данные обрабатываются Оператором, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Политика определяет стратегию защиты персональных данных, обрабатываемых у Оператора, и формулирует основные принципы и механизмы защиты персональных данных.
Политика является основным руководящим документом Оператора, определяющим требования, предъявляемые к обеспечению безопасности персональных данных. Безопасность персональных данных достигается путем исключения несанкционированного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, иные несанкционированные действия. Безопасность персональных данных при их обработке обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в информационной системе информационные технологии.
Персональные данные являются конфиденциальной информацией и на них распространяются все требования о защите конфиденциальной информации.
Принципы обработки персональных данных
Обработка персональных данных у Оператора осуществляется на основе следующих принципов:
- законности и справедливости целей и способов обработки персональных данных;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
- уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
Состав персональных данных
У Оператора происходит обработка, передача, накопление и хранение информации, содержащей персональные данные и в соответствии с действующим законодательством Российской Федерации подлежащей защите. У Оператора определены следующие основания для обработки информации, содержащей персональные данные:
- Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
· Налоговый кодекс Российской Федерации: Налоговый кодекс Российской
· Федерации: часть первая от 31 июля 1998 г. №146-ФЗ и часть вторая от 5 августа 2000 г. №117-ФЗ; Федеральный закон от 7 августа 2001 г. №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
· Федеральный закон от 1 апреля 1996 г. №27-ФЗ «Об индивидуальном(персонифицированном) учете в системе обязательного пенсионного страхования»;
· Гражданский кодекс Российской Федерации: часть первая от 30 ноября 1994 г. №51-ФЗ,
· часть вторая от 26 января 1996 г. №14-ФЗ, часть третья от 26 ноября 2001 г. №146-ФЗ и часть четвертая от 18 декабря 2006 г. №230-ФЗ.
Цель обработки информации, содержащей персональные данные – осуществление Оператором своей деятельности.
Определен следующий перечень обрабатываемых персональных данных:
Оператор обрабатывает следующие категории персональных данных:
- фамилия, имя, отчество;
· образование;
· сведения о составе семьи;
· паспортные данные;
· ИНН;
· налоговый статус (резидент/нерезидент);
· адрес места жительства;
· телефон;
Для целей осуществления коммерческой деятельности Оператором обрабатываются следующие категории персональных данных клиентов и контрагентов: фамилия, имя, отчество;
· образование;
· сведения о трудовом и общем стаже;
· сведения о составе семьи;
· паспортные данные;
· адрес электронной почты;
· ИНН;· налоговый статус (резидент/нерезидент);
· сведения о доходах;
· специальность;
· занимаемая должность;
· адрес места жительства;
· телефон;
· место работы или учебы членов семьи и родственников;
· состав декларируемых сведений о наличии материальных ценностей;
· содержание декларации, подаваемой в налоговую инспекцию;
· СНИЛС;
·иные сведения указанные заявителем.
Цели сбора и обработки персональных данных
Оператор осуществляет обработку персональных данных в следующих целях:
- осуществления деятельности, предусмотренной, действующим законодательством РФ, в частности ФЗ: «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «О валютном регулировании и валютном контроле», «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных»;- заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством;
С согласия субъекта персональных данных Оператор может использовать персональные данные клиентов и контрагентов в следующих целях:
- для связи с клиентами и контрагентами в случае необходимости, в том числе для направления уведомлений, информации и запросов, связанных с оказанием услуг, а также обработки заявлений, запросов и заявок клиентов и контрагентов;
- для улучшение качества услуг, оказываемых Оператором;
- для продвижения услуг на рынке путем осуществления прямых контактов с клиентами и контрагентами;
- для проведения статистических и иных исследований на основе обезличенных персональных данных.
Передача персональных данных
Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные клиентов и контрагентов третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.
По мотивированному запросу исключительно для выполнения возложенных законодательством функций и полномочий персональные данные субъекта персональных данных без его согласия могут быть переданы:
- в судебные органы в связи с осуществлением правосудия; - в органы государственной безопасности;
- в органы прокуратуры;
- в органы полиции;
- в следственные органы;
- в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.
Сроки обработки и хранения персональных данных
Период обработки и хранения персональных данных определяется в соответствии с Законом «О персональных данных».
Обработка персональных данных начинается с момента поступления персональных данных в информационную систему персональных данных и прекращается: - в случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления, Оператор устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений Оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, уничтожает персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор уведомляет субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, Оператор уведомляет также указанный орган;
- в случае достижения цели обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, Оператор незамедлительно прекращает обработку персональных данных и уничтожает соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, и уведомляет об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, Оператор уведомляет также указанный орган;
- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает обработку персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва. Об уничтожении персональных данных Оператор уведомляет субъекта персональных данных;
- в случае прекращения деятельности Оператора в качестве самозанятого.
- Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
В случае получения согласия клиента (или контрагента) на обработку персональных данных в целях продвижения услуг Оператора на рынке путем осуществления прямых контактов с помощью средств связи, данные клиента (или контрагента) хранятся бессрочно (до отзыва субъектом персональных данных согласия на обработку его персональных).
Порядок уничтожения персональных данных
Ответственным лицом за уничтожение персональных данных является самозанятый, ответственный за организацию обработки и обеспечение безопасности персональных данных.
При наступлении любого из событий, повлекших необходимость уничтожения персональных данных, лицо ответственные за организацию обработки и обеспечение безопасности персональных данных обязано:
- принять меры к уничтожению персональных данных;
- оформить соответствующий Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) и представить;
- в случае необходимости уведомить об уничтожении персональных данных субъекта персональных данных и/или уполномоченный орган. Права субъектов персональных данных Субъект персональных данных вправе:
- требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- требовать перечень своих персональных данных, обрабатываемых Оператором и источник их получения;
- получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
Для реализации вышеуказанных прав субъект персональных данных, может в порядке, установленном ст.14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», обратиться к Оператору с соответствующим запросом. Для выполнения таких запросов Оператору может потребоваться установить личность субъекта персональных данных и запросить дополнительную информацию.
Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в порядке, предусмотренном законодательством Российской Федерации.
Меры по обеспечению защиты персональных данных
Оператор не вправе обрабатывать персональные данные субъекта персональных данных без его письменного согласия, за исключением случаев, приведенных в п. 2 ст. 6 Федерального закона №152-ФЗ «О персональных данных». Письменное согласие может быть составлено в виде отдельного документа или быть внедрено в структуру иного документа, подписываемого субъектом персональных данных.
Оператор предпринимает необходимые организационные и технические меры по защите персональных данных. Принимаемые меры основаны на требованиях ст. 18.1, ст.19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», иных нормативных актов в сфере персональных данных.
Гарантии конфиденциальности
Информация, относящаяся к персональным данным, ставшая известной в связи с с оказанием услуг клиентам Оператора и в связи с сотрудничеством с контрагентами Оператора, является конфиденциальной информацией и охраняется законом.
Лица, получившие доступ к обрабатываемым персональным данным, предупреждаются о возможной дисциплинарной, административной, гражданско–правовой или уголовной ответственности в случае нарушения норм и требований действующего законодательства, регулирующего правила обработки и защиты персональных данных.
Оператор, по вине которого произошло нарушение конфиденциальности персональных данных, создавшие предпосылки к нарушению конфиденциальности персональных данных, несет ответственность, предусмотренную действующим законодательством Российской Федерации.
Изменения настоящей Политики
Настоящая Политика является внутренним документом Оператора.
Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных. В случае внесения в настоящую Политику изменений, к ним будет обеспечен неограниченный доступ всем заинтересованным субъектам персональных данных.