Положение о защите персональных данных

клиентов/контрагентов сайта «Садик семи гномов»

1. Термины и определения



1.1. Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, адрес электронной почты, телефонный номер, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.


1.2. Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование.


1.3. Конфиденциальность персональных данных — обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта или иного законного основания.


1.4. Распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.


1.5. Использование персональных данных — действия (операции) с персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц.


1.6. Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.


1.7. Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.


1.8. Обезличивание персональных данных — действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.


1.9. Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.


1.10. Информация — сведения (сообщения, данные) независимо от формы их представления.


1.11. Клиент/Контрагент (субъект персональных данных) - физическое лицо, вступающее во взаимодействие с ИП Маматказина Марина Геннадьевна, далее «Организация».


1.12. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящего Положения Оператором признается ИП Маматказина Марина Геннадьевна.


2. Общие положения.


2.1. Настоящее Положение об обработке персональных данных (далее — Положение) разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом "Об информации, информационных технологиях и о защите информации", Федеральным законом 152-ФЗ "О персональных данных", иными федеральными законами.


2.2. Цель разработки Положения — определение порядка обработки и защиты персональных данных всех Клиентов/Контрагентов Организации, данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.


2.3. Порядок ввода в действие и изменения Положения.


2.3.1. Настоящее Положение вступает в силу с момента его утверждения Генеральным директором Организации и действует бессрочно, до замены его новым Положением.


2.3.2. Изменения в Положение вносятся на основании Приказов Генерального директора Организации.


3. Состав персональных данных.


3.1. В состав персональных данных Клиентов/Контрагентов в том числе входят: фамилия, имя, отчество, год, месяц, дата и место рождения, гражданство, документы, удостоверяющие личность, идентификационный номер налогоплательщика, номер страхового свидетельства государственного пенсионного страхования, данные из резюме и анкеты для трудоустройства, адреса фактического места проживания и регистрации по местожительству, почтовые и электронные адреса, номера телефонов, фотографии, сведения об образовании, профессии, специальности и квалификации, семейном положении и составе семьи, сведения об имущественном положении, доходах, задолженности, занимаемых ранее должностях и стаже работы, воинской обязанности; сведения, указанные в полисе ОМС, личной медицинской книжке, медицинских справках, справке об отсутствии судимости; сведения о трудовом договоре и его исполнении (занимаемые должности, существенные условия труда, сведения об аттестации, повышении квалификации и профессиональной переподготовке, поощрениях и наказаниях, видах и периодах отпуска, временной нетрудоспособности, социальных льготах, командировании, рабочем времени и проч.), а также о других договорах (индивидуальной, коллективной материальной ответственности, ученических, оказания услуг и т. п.), заключаемых при исполнении трудового договора.


3.2. В Организации могут создаваться (создаются, собираются) и хранятся следующие документы и сведения, в том числе в электронном виде, содержащие данные о Клиентах/ Контрагентах:


3.2.1. Договоры (публичная оферта) и дополнительные соглашения к ним.

3.2.2. Акты выполненных работ.

3.2.3. Копии документов, удостоверяющих личность, а также иных документов, предоставляемых Клиентом/Контрагентом, и содержащих персональные данные.

3.2.5. Документы, содержащие платежные и иные реквизиты Клиента/Контрагента.

3.2.6. Иные документы, необходимые для осуществления взаимодействия Организации с Клиентом/Контрагентом.


4. Цель обработки персональных данных.


4.1. Цель обработки персональных данных - осуществление комплекса действий, направленных на достижение цели, в том числе:


4.1.1. Оказание консультационных и информационных услуг.

4.1.2. Иные сделки, не запрещенные законодательством, а также комплекс действий с персональными данными, необходимых для исполнения вышеуказанных сделок.

4.1.3. В целях исполнения требований законодательства РФ.


4.2. Условием прекращения обработки персональных данных является ликвидация Организации, а также соответствующее требование Клиента/Контрагента.


5. Сбор, обработка и защита персональных данных.


5.1. Порядок получения (сбора) персональных данных:


5.1.1. Все персональные данные Клиента/Контрагента следует получать у него лично с его письменного согласия, кроме случаев, определенных в п. 5.1.4 и 5.1.6 настоящего Положения и иных случаях, предусмотренных законами РФ.


5.1.2. Согласие Клиента/Контрагента на использование его персональных данных хранится в Организации в бумажном и/или электронном виде.


5.1.3. Согласие субъекта на обработку персональных данных действует в течение всего срока действия договора, а также в течение 5 лет с даты прекращения действия договорных отношений Клиента/Контрагента с Организацией. По истечении указанного срока действие согласия считается продленным на каждые следующие пять лет при отсутствии сведений о его отзыве.


5.1.4. Если персональные данные Клиента/Контрагента возможно получить только у третьей стороны, Клиент/Контрагент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Третье лицо, предоставляющее персональные данные Клиента/Контрагента, должно обладать согласием субъекта на передачу персональных данных Организации. Организация обязана получить подтверждение от третьего лица, передающего персональные данные Клиента/Контрагента о том, что персональные данные передаются с его согласия. Организация обязана при взаимодействии с третьими лицами заключить с ними соглашение о конфиденциальности информации, касающейся персональных данных Клиентов/ Контрагентов.


5.1.5. Организация обязана сообщить Клиенту/Контрагенту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.


5.1.6. Обработка персональных данных Клиентов/Контрагентов без их согласия осуществляется в следующих случаях:


5.1.6.1. Персональные данные являются общедоступными.

5.1.6.2. По требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.

5.1.6.3. Обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора.

5.1.6.4. Обработка персональных данных осуществляется в целях заключения и исполнения договора, одной из сторон которого является субъект персональных данных – Клиент/ Контрагент.

5.1.6.5. Обработка персональных данных осуществляется для статистических целей при условии обязательного обезличивания персональных данных.

5.1.6.6. В иных случаях, предусмотренных законом.


5.1.7. Организация не имеет права получать и обрабатывать персональные данные Клиента/ Контрагента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.


5.2. Порядок обработки персональных данных:


5.2.1. Субъект персональных данных предоставляет Организации достоверные сведения о себе.


5.2.2. К обработке персональных данных Клиентов/Контрагентов могут иметь доступ только сотрудники Организации, допущенные к работе с персональными данными Клиента и подписавшие Соглашение о неразглашении персональных данных Клиента.


5.2.3. Право доступа к персональным данным Клиента/Контрагента в Организации имеют: – Генеральный директор Организации, – Заместитель генерального директора Организации, – Работники, ответственные за ведение финансовых расчетов, – Работники, в чьи должностные обязанности входит работа с Клиентами/Контрагентами, – Клиент/Контрагент как субъект персональных данных.


5.2.3.1. Поименный перечень сотрудников Организации, имеющих доступ к персональным данным Клиентов, определяется приказом Генерального директора Организации.


5.2.4. Обработка персональных данных Клиента/Контрагента может осуществляться исключительно в целях установленных Положением и соблюдения законов и иных нормативных правовых актов РФ.


5.2.5. При определении объема и содержания обрабатываемых персональных данных Организация руководствуется Конституцией Российской Федерации, законом о персональных данных, и иными федеральными законами.


5.3. Защита персональных данных:


5.3.1. Под защитой персональных данных Клиентов/Контрагентов понимается комплекс мер (организационно-распорядительных, технических, юридических), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных субъектов, а также от иных неправомерных действий.


5.3.2. Защита персональных данных Клиентов/Контрагентов осуществляется за счёт Организации в порядке, установленном федеральным законом РФ.


5.3.3. Общую организацию защиты персональных данных Клиентов/Контрагентов осуществляет Генеральный директор Организации.


5.3.4. Доступ к персональным данным Клиента/Контрагента имеют сотрудники Организации, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.


5.3.5. Все сотрудники, связанные с получением, обработкой и защитой персональных данных Клиентов/Контрагентов, обязаны подписать Соглашение о неразглашении персональных данных Клиентов/Контрагентов.


5.3.6. Процедура оформления доступа к персональным данным Клиента/Контрагента включает в себя:


– Ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Клиента/Контрагента, с данными актами также производится ознакомление под роспись.


– Истребование с сотрудника (за исключением Генерального директора) письменного обязательства о соблюдении конфиденциальности персональных данных Клиентов/ Контрагентов и соблюдении правил их обработки в соответствии с внутренними локальными актами Организации, регулирующих вопросы обеспечения безопасности конфиденциальной информации.


5.3.8. Сотрудник Организации, имеющий доступ к персональным данным Клиентов/ Контрагентов в связи с исполнением трудовых обязанностей:


– Обеспечивает хранение информации, содержащей персональные данные Клиента/ Контрагента, исключающее доступ к ним третьих лиц.


– В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Клиентов/Контрагентов.


– При уходе в отпуск, во время служебной командировки и в иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Клиентов/Контрагентов лицу, на которое локальным актом Общества (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.


– В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Клиентов/Контрагентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов/Контрагентов по указанию Генерального директора Организации.


– При увольнении сотрудника, имеющего доступ к персональным данным Клиентов/ Контрагентов, документы и иные носители, содержащие персональные данные Клиентов/ Контрагентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов/Контрагентов по указанию Генерального директора.


– В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией Генерального директора, доступ к персональным данным Клиента/Контрагента может быть предоставлен иному сотруднику. Допуск к персональным данным Клиента/Контрагента других сотрудников Организации, не имеющих надлежащим образом оформленного доступа, запрещается.


5.4. Хранение персональных данных:


5.4.1. Персональные данные Клиентов/Контрагентов на бумажных носителях хранятся в сейфах.


5.4.2. Персональные данные Клиентов/Контрагентов в электронном виде хранятся в локальной компьютерной сети Организации, в электронных папках и файлах в персональных компьютерах Генерального директора и сотрудников, допущенных к обработке персональных данных Клиентов/Контрагентов.



5.4.3. Документы, содержащие персональные данные Клиентов/Контрагентов, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа. В конце рабочего дня все документы, содержащие персональные данные Клиентов/ Контрагентов, помещаются в шкафы (сейфы), обеспечивающие защиту от несанкционированного доступа.


5.4.4. Защита доступа к электронным базам данных, содержащим персональные данные Клиентов/Контрагентов, обеспечивается:


– Использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный вход в локальную сеть Организации.


– Разграничением прав доступа с использованием учетной записи.


5.4.5. Копировать и делать выписки персональных данных Клиента/Контрагента разрешается исключительно в служебных целях.


5.4.6. Ответы на письменные запросы других организаций и учреждений о персональных данных Клиентов/Контрагентов даются только с письменного согласия самого Клиента/ Контрагента, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Организации, и в том объеме, который позволяет не разглашать излишний объем персональных данных Клиентов/Контрагентов.


6. Блокировка, обезличивание, уничтожение персональных данных


6.1. Порядок блокировки и разблокировки персональных данных:


6.1.1. Блокировка персональных данных Клиентов/Контрагентов осуществляется с письменного заявления Клиента/Контрагента.


6.1.2. Блокировка персональных данных подразумевает:


6.1.2.1. Запрет редактирования персональных данных.

6.1.2.2. Запрет распространения персональных данных любыми средствами (e-mail, сотовая связь, материальные носители).

6.1.2.3. Запрет использования персональных данных в массовых рассылках (sms, e-mail, почта).

6.1.2.4. Изъятие бумажных документов, относящихся к Клиенту/Контрагенту и содержащих его персональные данные из внутреннего документооборота Организации и запрет их использования.


6.1.3. Блокировка персональных данных Клиента/Контрагента может быть временно снята, если это требуется для соблюдения законодательства РФ.


6.1.4. Разблокировка персональных данных Клиента/Контрагента осуществляется с его письменного согласия (при наличии необходимости получения согласия) или заявления Клиента/Контрагента.


6.1.5. Повторное согласие Клиента/Контрагента на обработку его персональных данных (при необходимости его получения) влечет разблокирование его персональных данных.



6.2. Порядок обезличивания и уничтожения персональных данных:


6.2.1. Обезличивание персональных данных Клиента/Контрагента происходит по письменному заявлению Клиента/Контрагента, при условии, что все договорные отношения завершены и от даты окончания последнего договора прошло не менее 5 лет.


6.2.2. При обезличивании персональные данные в информационных системах заменяются набором символов, по которому невозможно определить принадлежность персональных данных к конкретному Клиенту/Контрагенту.


6.2.3. Бумажные носители документов при обезличивании персональных данных уничтожаются.


6.2.4. Организация обязана обеспечить конфиденциальность в отношении персональных данных при необходимости проведения испытаний информационных систем на территории разработчика и произвести обезличивание персональных данных в передаваемых разработчику информационных системах.


6.2.5. Уничтожение персональных данных Клиента/Контрагента подразумевает прекращение какого-либо доступа к персональным данным Клиента/Контрагента.


6.2.6. При уничтожении персональных данных Клиента/Контрагента работники Организации не могут получить доступ к персональным данным субъекта в информационных системах.


6.2.7. Бумажные носители документов при уничтожении персональных данных уничтожаются, персональные данные в информационных системах обезличиваются. Персональные данные восстановлению не подлежат.


6.2.8. Операция уничтожения персональных данных необратима.


6.2.9. Срок, после которого возможна операция уничтожения персональных данных Клиента/ Контрагента, определяется окончанием срока, указанным в пункте 7.3 настоящего Положения.


7. Передача и хранение персональных данных


7.1. Передача персональных данных:


7.1.1. Под передачей персональных данных субъекта понимается распространение информации по каналам связи и на материальных носителях.


7.1.2. При передаче персональных данных работники Организации должны соблюдать следующие требования:


7.1.2.1. Не сообщать персональные данные Клиента/Контрагента в коммерческих целях.

7.1.2.2. Не сообщать персональные данные Клиента/Контрагента третьей стороне без письменного согласия Клиента/Контрагента, за исключением случаев, установленных федеральным законом РФ.

7.1.2.3. Предупредить лиц, получающих персональные данные Клиента/Контрагента о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;

7.1.2.4. Разрешать доступ к персональным данным Клиентов/Контрагентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Клиентов/Контрагентов, которые необходимы для выполнения конкретных функций.

7.1.2.5. Осуществлять передачу персональных данных Клиента/Контрагента в пределах Организации в соответствии с настоящим Положением, нормативно-технологической документацией и должностными инструкциями.

7.1.2.6. Предоставлять доступ Клиента/Контрагента к своим персональным данным при обращении либо при получении запроса Клиента/Контрагента. Организация обязана сообщить Клиенту/Контрагенту информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение десяти рабочих дней с момента обращения.

7.1.2.7. Передавать персональные данные Клиента/Контрагента представителям Клиента/ Контрагента в порядке, установленном законодательством и нормативно-технологической документацией и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функции.



7.2. Хранение и использование персональных данных:


7.2.1. Под хранением персональных данных понимается существование записей в информационных системах и на материальных носителях.


7.2.2. Персональные данные Клиентов/Контрагентов обрабатываются и хранятся в информационных системах, а также на бумажных носителях в Организации. Персональные данные Клиентов/Контрагентов также хранятся в электронном виде: в локальной компьютерной сети Организации, в электронных папках и файлах в ПК Генерального директора и работников, допущенных к обработке персональных данных Клиентов.


7.2.3. Хранение персональных данных Клиента/Контрагента может осуществляться не дольше, чем этого требуют цели обработки, если иное не предусмотрено федеральными законами РФ.


7.3. Сроки хранения персональных данных:


7.3.1. Сроки хранения гражданско-правовых договоров, содержащих персональные данные Клиентов/Контрагентов, а также сопутствующих их заключению, исполнению документов - 5 лет с момента окончания действия договоров.


7.3.2. В течение срока хранения персональные данные не могут быть обезличены или уничтожены.


7.3.3. По истечении срока хранения персональные данные могут быть обезличены в информационных системах и уничтожены на бумажном носителе в порядке, установленном в Положении и действующем законодательстве РФ. (Приложение Акт об уничтожении персональных данных).


8. Права оператора персональных данных


Организация вправе:


8.1. Отстаивать свои интересы в суде.

8.2. Предоставлять персональные данные Клиентов/Контрагентов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.).

8.3. Отказать в предоставлении персональных данных в случаях, предусмотренных законом.

8.4. Использовать персональные данные Клиента/Контрагента без его согласия, в случаях, предусмотренных законодательством РФ.


9. Права Клиента/Контрагента


Клиент/Контрагент имеет право:


9.1. Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

9.2. Требовать перечень обрабатываемых персональных данных, имеющихся в Организации и источник их получения.

9.3. Получать информацию о сроках обработки персональных данных, в том числе о сроках их хранения.

9.4. Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

9.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.


10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных



10.1. Работники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующем законодательством Российской Федерации и внутренними локальными актами Организации.