Положение об обработке персональных данных

ВВЕДЕНИЕ

1.1. Настоящее Положение определяет политику Индивидуального предпринимателя Пилявского Максима Константиновича (далее – Индивидуальный предприниматель) в отношении обработки персональных данных (далее — ПДн).

1.2. Настоящее Положение разработано в соответствии с действующим законодательством Российской Федерации о персональных данных и нормативными документами исполнительных органов государственной власти по вопросам безопасности ПДн, в том числе при их обработке в информационных системах ПДн.

1.3. Цель Положения — определение порядка обработки и обеспечения безопасности (защиты) персональных данных Индивидуального предпринимателя и иных субъектов, персональные данные которых подлежат обработке; обеспечение защиты прав и свобод человека и гражданина, в том числе Индивидуального предпринимателя, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности лица, имеющего доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.4. Действие настоящего Положения распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению персональных данных, осуществляемых с использованием средств автоматизации и без использования таких средств.

1.5. Настоящее Положение подлежит публикации на сайте https://brainbox-marketing.ru/, с целью обеспечения неограниченного доступа к документу.

1.6. Термины и определения, используемые в настоящем Положении, приведены в разделе 2 «Термины и определения».

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

2.1. Для целей настоящего Положения используются следующие основные термины:

2.1.1. Персональные данные (ПДн) — любая информация, относящаяся к определенному или определяемому физическому лицу (субъекту ПДн).

2.1.2. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

2.1.3. Конфиденциальность персональных данных — обязательное для выполнения лицом, получившего доступ к ПДн, требование не допускать их распространения без согласия субъекта ПДн или иного законного основания.

2.1.4. Распространение персональных данных — действия, направленные на раскрытие ПДн неопределенному кругу лиц.

2.1.5. Предоставление персональных данных — действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

2.1.6. Блокирование персональных данных — временное прекращение Обработки ПДн.

2.1.7. Уничтожение персональных данных — действия, в результате которых становится невозможно восстановить содержание ПДн в информационной системе персональных данных физических лиц или в результате которых уничтожаются материальные носители ПДн.

2.1.8. Обезличивание персональных данных — действия, в результате которых невозможно без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

2.1.9. Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

3. ОБЩИЕ ПОЛОЖЕНИЯ

3.1. Индивидуальный предприниматель является оператором ПДн.

3.2. Обработка ПДн Индивидуальным предпринимателем осуществляется посредством заполнения и отправки клиентами форм «Согласия на обработку персональных данных» на сайте https://brainbox-marketing.ru/. После отправки форм ПДн клиентов автоматически передаются в закрытый чат приложения Telegram, доступ к которому имеет только Индивидуальный предприниматель. Доступ к чату защищён стандартными средствами авторизации Telegram (логин и пароль).

3.3. Виды обрабатываемых ПДн, субъекты, которым принадлежат обрабатываемые ПДн приведены в Приложение №1 к настоящему Положению.

3.4. При обработке ПДн Индивидуальный предприниматель руководствуется принципами:

3.4.1. обеспечения законности целей и способов обработки ПДн;

3.4.2. соответствия целей обработки ПДн целям, заранее определённым и заявленным при сборе ПДн;

3.4.3. соответствия объема и характера обрабатываемых ПДн, а также способов обработки ПДн целям обработки ПДн;

3.4.4. отсутствия избыточных ПДн по отношению к заявленным при сборе ПДн целям;

3.4.5. использования раздельных баз данных ИСПДн для несовместных целей обработки ПД;

3.5. Индивидуальный предприниматель не осуществляет обработку специальных категорий ПДн.

3.6. Индивидуальный предприниматель не осуществляет обработку биометрических ПДн.

3.7. Индивидуальный предприниматель не осуществляет трансграничную передачу ПДн.

3.8. Порядок ввода в действие и изменения настоящего Положения.

3.8.1. Настоящее Положение вступает в силу с момента его утверждения Индивидуальным предпринимателем и действует бессрочно, до замены его новым Положением.

3.8.2. Все изменения в Положение вносятся приказом.

3.8.3. Индивидуальный предприниматель должен быть ознакомлен с настоящим Положением под роспись.

3.8.4. Настоящее Положение является обязательным для исполнения Индивидуальным предпринимателем имеющим доступ к персональным данным.

4. ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Индивидуальный предприниматель осуществляет обработку ПДн на основании:

4.1.1. требований Федеральных законов, в которых установлена цель обработки ПДн, условия получения ПДн и круг субъектов, ПДн которых подлежат обработке, а также определены полномочия оператора;

4.1.2. договоров (соглашений), определяющих цели обработки ПДн, одной из сторон которых является субъект ПДн (в роли субъектов ПДн в данном случае выступает Индивидуальный предприниматель и (или) клиенты Индивидуального предпринимателя).

4.2. Полный перечень целей обработки ПДн и действий с ПДн приведены в Приложение №2 к настоящему Положению.

4.3. Доказательством получения форм согласия субъектов ПДн на обработку их персональных данных является заполнение и отправка клиентами форм «Согласия на обработку персональных данных» на сайте https://brainbox-marketing.ru/.

5. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка ПДн у Индивидуального предпринимателя должна осуществляться с учетом требований, указанных в пунктах 5.1.1-5.1.6. настоящего Положения.

5.1.1. Обработка ПДн субъектов ПДн должна осуществляться с соблюдением требований Федерального закона 152-ФЗ «О защите персональных данных», а также требований постановления Правительства от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации» и иных нормативных правовых актов.

5.1.2. При определении объёма и содержания обрабатываемых ПДн субъектов ПДн Индивидуальный предприниматель обязан руководствоваться Конституцией Российской Федерации и иными Федеральными законами.

5.1.3. ПДн следует получать только у самого субъекта ПДн.

5.1.4. Индивидуальный предприниматель не имеет права получать и обрабатывать ПДн субъекта ПДн о его политических, религиозных, иных убеждениях, состоянии здоровья и частной жизни. В случаях, непосредственно связанных с вопросами договорных отношений, данные о частной жизни субъекта ПДн (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны Индивидуальным предпринимателем только с его письменного согласия.

5.1.5. Индивидуальный предприниматель не имеет право получать и обрабатывать ПДн субъекта ПДн о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Федеральным законом.

5.1.6. Индивидуальный предприниматель не имеет право запрашивать информацию о состоянии здоровья субъекта ПДн, за исключением тех сведений, которые относятся к вопросу о возможности выполнения субъектом ПДн трудовой функции.

5.2. Специально уполномоченные лица осуществляют обработку ПДн субъектов ПДн в объёмах и целях, предусмотренных законодательством Российской Федерации и нормативными документами Индивидуального предпринимателя, а также обеспечивают их защиту от неправомерного использования, утраты и несанкционированного уничтожения.

5.3. При принятии решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, Индивидуальный предприниматель не имеет права основываться на персональных данных субъекта ПДн, полученных исключительно в результате их автоматизированной обработки, кроме согласия субъекта ПДн в письменной форме.

5.4. Защита ПДн субъектов ПДн от неправомерного их использования или утраты обеспечивается Индивидуальным предпринимателем за счёт собственных средств в порядке, установленном действующим законодательством РФ в области защиты ПДн.

5.5. При обработке ПДн должны быть приняты все необходимые организационные и технические меры по обеспечению их конфиденциальности в соответствии с действующим законодательством РФ в области защиты ПДн.

5.6. ПДн хранятся:

• в электронном виде в чат- боте закрытого приложения Telegram. По достижении целей обработки ПДн персональные данные субъектов ПДн уничтожаются Индивидуальным предпринимателем из чата — бота приложения Telegram, за исключением подачи субъектом ПДн отзыва на Согласие на обработку его персональных данных.

5.7. Право доступа к электронным базам данных, содержащим ПДн, обеспечивается Индивидуальным предпринимателем через чат-бот закрытого приложения Telegram. Доступ к чату защищён стандартными средствами авторизации Telegram (логин и пароль).

5.8. Индивидуальный предприниматель, имеющий доступ к ПДн в связи с исполнением трудовых обязанностей:

• обеспечивает сохранность и целостность информации, содержащей ПДн;
• предотвращает возможность несанкционированного доступа к информации, содержащей ПДн.

5.9. Субъект ПДн имеет право в любое время отозвать свое Согласие на обработку его персональных данных.

6. ОРГАНИЗАЦИЯ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ

6.1. Защита ПДн у Индивидуального предпринимателя предусматривает ограничение к ним доступа.

6.2. Доступ к ПДн имеет только Индивидуальный предприниматель, которому ПДн необходимы в связи с исполнением им обязательств по Оферте на оказание услуг рекламы.

6.3. Процедура оформления доступа к ПДн включает в себя:

• ознакомление Индивидуального предпринимателя под роспись с настоящим Положением;
• получения у субъекта ПДн согласия на обработку ПДн путем заполнения и отправки субъектами ПДн форм «Согласия на обработку персональных данных» на сайте https://brainbox-marketing.ru/.

6.4. Индивидуальный предприниматель, имеющий доступ к ПДн субъектов ПДн, имеет право получать только те ПДн, которые необходимы ему для исполнения Оферты на оказание услуг рекламы.

6.5. Передача ПДн третьим лицам осуществляется только при условии письменного согласия субъектов ПДн.

6.6. Предоставление ПДн государственным органам производится в соответствии с требованиями действующего законодательства и настоящего Положения.

7. ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Защита и конфиденциальность ПДн от неправомерного использования или утраты обеспечивается Индивидуальным предпринимателем.

7.2. Общую организацию защиты ПДн осуществляет Индивидуальный предприниматель.

7.3. Индивидуальный предприниматель обеспечивает:

• ознакомление Индивидуального предпринимателя под роспись с настоящим Положением;
• заполнения Индивидуальным предпринимателем письменного обязательства о соблюдении конфиденциальности ПДн и соблюдении правил обработки ПДн;
• общий контроль над соблюдением Индивидуальным предпринимателем  мер по защите ПДн субъектов.

7.4. Защите подлежит:

информация о ПДн;

ПДн, содержащиеся на электронных носителях.

7.5. Защита ПДн, хранящихся в чат-боте закрытого приложения Telegram, полученные через сайт https://brainbox-marketing.ru/ от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается Индивидуальным предпринимателем разграничением прав доступа с использованием учетной записи и системой паролей.

8. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ЗАКОНОДАТЕЛЬСТВА

8.1. Персональная ответственность одно из главных требований к организации функционирования системы защиты ПДн и обязательное условие обеспечения эффективности функционирования данной системы.

8.2. Индивидуальный предприниматель несёт ответственность:

• за нарушение требований законодательства РФ по обработке и защите ПДн;
• за нарушение конфиденциальности обрабатываемых ПДн;
• за нарушение требований регулирующих организаций по обработке и защите ПДн.

8.3. Индивидуальный предприниматель, в соответствии со своими полномочиями имеющий доступ к ПДн, получающий и использующий их, несет ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования ПДн.

8.4. Индивидуальный предприниматель, получающий для работы конфиденциальную информацию или документ, несёт единоличную ответственность за сохранность носителя и/или конфиденциальность полученной информации.

8.6. Индивидуальный предприниматель в нарушении норм, регулирующих получение, обработку и защиту ПДн субъекта ПДн несет административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

8.6.1. Индивидуальный предприниматель, в обязанность которого входит обработка ПДн субъекта ПДн, обязан обеспечить возможность ознакомления с документами и материалами, непосредственно затрагивающими права и свободы субъекта ПДн, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации — влечет наложение административного штрафа на Индивидуального предпринимателя в размере, определяемом Кодексом об административных правонарушениях.

8.6.2. В соответствии с Гражданским Кодексом лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на Индивидуального предпринимателя.

8.6.3. Уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо лишением свободы в соответствии с УК РФ

8.7. Неправомерность деятельности органов государственной власти, организаций и Индивидуального предпринимателя по сбору и использованию ПДн может быть установлена в судебном порядке.

9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

9.1. Индивидуальный предприниматель, виновный в нарушении норм, регулирующих получение, обработку и защиту ПДн, может быть привлечен к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами РФ.

Виды обрабатываемых ПДн

Индивидуальным предпринимателем осуществляется обработка ПДн следующего вида:

Общедоступные персональные данные: Ф.И.О, адрес электронной почты, номер телефона с согласия субъекта.

Перечень целей обработки ПДн

Целью обработки персональных данных у Индивидуального предпринимателя является получение формы «Согласия на обработку персональных данных» от клиентов путем заполнения и отправки форм  на сайте https://brainbox-marketing.ru/personality/ посредством которого клиенты попадают в чат-бот закрытого Приложения Telegram.