ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Форма организации ИП Смирнов Павел Петрович
ИНН: 503110956310

Адрес: Россия, 142435, Московская обл, р-н Ногинский, с. Кудиново, ул. Центральная, д. 3, кв. 35
Email: smirnovpavel81@mail.ru

Телефон: 8-926-556-80-59

1. Общие положения

1. Обеспечение конфиденциальности и безопасности обработки персональных данных в ИП Смирнов Павел Петрович (далее – Оператор) является одной из приоритетных задач организации.

Данная политика является основой для определения требований к организации процессов обработки и хранения персональных данных, которые выражаются во внутренних нормативных документах и обязательны для исполнения всеми работниками Оператора.

1. Обработка, хранение и обеспечение конфиденциальности и безопасности персональных данных осуществляется в соответствии с действующим законодательством Российской Федерации в сфере защиты персональных данных, и в соответствии с локальными нормативными актами Оператора.

2. Настоящая Политика определяет принципы, порядок и условия обработки персональных данных работников, соискателей, контрагентов, потребителей, посетителей сайта Оператора и иных лиц, чьи персональные данные обрабатываются Оператором, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

3. Поскольку к настоящей Политике в соответствии с ч. 2 ст. 18.1 Федерального закона № 152- ФЗ «О персональных данных» необходимо обеспечить неограниченный доступ, в ней не публикуется детальная информация о принятых мерах по защите персональных данных у Оператора, а также иная информация, использование которой неограниченным кругом лиц может нанести ущерб Оператору или субъектам персональных данных.

1. Основные понятия

Автоматизированная обработка персональных данных - обработка персональных данных с использованием средств вычислительной техники.

Авторизация – подтверждение прав пользователя на совершение действий на сайте (оплата товара, заказ доставки, ознакомление и совершение действий с информацией, отображаемой в личном кабинете и пр.) путем прохождения пользователем процедур идентификации и аутентификации.

Аутентификация - проверка подлинности пользователя путём сравнения введённого им логина и пароля с логином и паролем, сохранённым в базе данных пользовательских логинов сайта.

Безопасность – состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.

Безопасность информации – состояние защищённости информации, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность информации.

Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или её материальный носитель.

Доступ к персональным данным – возможность получения информации и её использования.

Защита персональных данных – жестко регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности Оператора.

Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информационная система – взаимосвязанная совокупность средств, методов и персонала, используемых для сбора, хранения, обработки и выдачи информации.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Контрагент – юридическое лицо, ИП, физическое лицо с которым заключён (или планируется заключение) договор на оказание услуг, поставку товаров для нужд Оператора.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Контролируемая зона - это пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому лицу (субъекту персональных данных).

Потребитель - физическое лицо, либо имеющее намерение заказать или приобрести, либо заказывающее, приобретающее или использующее товары, работы, услуги исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности.

Субъект персональных данных - физическое лицо, к которому относятся обрабатываемые персональные данные.

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных субъектов персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Уполномоченные должностные лица – работники Оператора, которым предоставлен доступ к персональным данным субъектов персональных данных для выполнения функциональных обязанностей.

Настоящая Политика применяется к информации, получаемой при использовании сайта https://condtrol.ru/ (далее — «Сервис»).

1. Правовые основания обработки персональных данных

1. Обработка персональных данных осуществляется на основании следующих правовых оснований:

   • Согласие субъекта персональных данных на обработку его персональных данных.

• Исполнение договоров, стороной которых является субъект персональных данных, или договоров, заключённых по инициативе субъекта.

• Обработка персональных данных, сделанных общедоступными субъектом персональных данных (ст. 8, 10 Федерального закона № 152-ФЗ).

• Осуществление законных интересов оператора или третьих лиц, если при этом не нарушаются права и свободы субъекта персональных данных.

• Обработка, необходимая для осуществления статистических или иных исследований, при условии обязательного обезличивания персональных данных.

1. Согласие на обработку персональных данных может быть отозвано субъектом в любое время путём направления заявления на smirnovpavel81@mail.ru.

1. Принципы и особые режимы обработки

1. Принципы обработки персональных данных

Обработка персональных данных Оператором осуществляется в соответствии со статьёй 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и основана на следующих принципах: законность и справедливость; ограничение обработки достижением конкретных, заранее определённых целей; недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; соответствие объёма и содержания обрабатываемых персональных данных заявленным целям обработки; достоверность и актуальность персональных данных; хранение персональных данных не дольше, чем этого требуют цели обработки; уничтожение или обезличивание персональных данных по достижении целей обработки или при утрате необходимости в достижении этих целей.

4.6. Обработка и хранение персональных данных осуществляются на территории Российской Федерации в соответствии с требованиями статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

4.7. В настоящее время трансграничная передача персональных данных не осуществляется.

1. Цели обработки ПДн

1. Обработка персональных данных осуществляется на основаниях, предусмотренных статьёй

6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Цели обработки персональных данных указаны ниже. Конкретный состав обрабатываемых персональных

данных определяется в зависимости от соответствующей цели обработки.

1. Исполнение договора:

• Заключение и исполнение договора с субъектом персональных данных;

• Обработка заказов, платежей и исполнение обязательств по договору;

• Обработка заявок, претензий, возвратов и иных обращений субъекта;

1. Коммуникация:

• Информирование субъекта персональных данных о деятельности Оператора;

• Обеспечение обратной связи и технической поддержки;

• Регистрация, аутентификация и управление учётной записью субъекта;

1. Маркетинг:

• Информирование о товарах, услугах и акциях Оператора;

• Проведение маркетинговых и рекламных рассылок (при наличии согласия субъекта);

1. Безопасность:

• Обеспечение безопасности информационных систем и защита от несанкционированного доступа;

• Предотвращение неправомерного доступа к данным и мошенничества;

• Верификация личности субъекта при необходимости в рамках оказания услуг;

1. Соблюдение законодательства:

• Исполнение обязанностей, предусмотренных законодательством Российской Федерации;

• Хранение и представление документов по требованию уполномоченных государственных органов;

• Ведение обязательной отчётности в соответствии с законодательством РФ;

1. Категории и объем обрабатываемых ПДн

1. Состав и объём собираемых Оператором персональных данных соответствуют заявленным целям обработки (раздел 5 настоящей Политики) и определяются в зависимости от характера взаимодействия субъекта персональных данных с Оператором. Обрабатываться могут следующие категории персональных данных (в объёме, необходимом для достижения соответствующих целей):

2. Идентификационные данные:

• Имя, фамилия, отчество;

1. Контактные данные:

• Адрес электронной почты;

• Номер телефона;

• Адрес доставки;

• Учётные записи (логины) в информационных системах и сервисах;

1. Финансовые данные:

• Платёжные данные (реквизиты банковской карты, счёта);

• История платежей и заказов;

• При проведении платежей Оператор может использовать платёжных агрегаторов; в этом случае обработка платёжных данных осуществляется в соответствии с правилами и политикой соответствующего агрегатора.

1. Технические данные:

• Данные о подключении и используемом устройстве (IP-адрес, файлы cookie, идентификатор устройства);

• Данные о местоположении;

1. Хранение

1. Срок хранения персональных данных:

В отношении персональных данных, обработка которых осуществляется на основании согласия субъекта (п. 1 ч. 1 ст. 6 Федерального закона № 152-ФЗ), срок хранения ограничен периодом до отзыва субъектом согласия на обработку, если иное не предусмотрено договором или законодательством.

1. Место хранения персональных данных:

• Собственные серверы компании;

• Серверы в дата-центре (колокация);

• Облачные сервисы;

• Хостинг-провайдер;

• Локальные компьютеры сотрудников;

• Системы CRM/ERP/HRM;

• Сторонние сервисы (почтовые сервисы, таск-трекеры и др.);

• Смешанное хранение (часть локально, часть в облаке);

1. Территория хранения персональных данных:

Запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации осуществляются с использованием баз данных, находящихся на территории Российской Федерации (ч. 5 ст. 18.1 Федерального закона № 152-ФЗ). Хранение персональных данных осуществляется на территории Российской Федерации.

1. Ответственные за хранение и защиту данных:

Оператор несёт ответственность за соблюдение требований законодательства о персональных данных независимо от привлечения третьих лиц. Лица, осуществляющие обработку персональных данных по поручению оператора, действуют на основании договора поручения (п. 3 ст. 6 Федерального закона № 152-ФЗ).

• Внутренний IT-отдел;

• Хостинг-провайдер / облачный провайдер;

1. Методы хранения и защиты данных:

Меры защиты персональных данных при хранении соответствуют требованиям статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

• Ограничение доступа по ролям;

• Антивирусное ПО и системы защиты;

• Логирование и аудит действий;

• Физическая защита серверов (контроль доступа, видеонаблюдение);

1. Уничтожение и обезличивание данных:

При наступлении оснований, предусмотренных статьями 5 и 21 Федерального закона № 152-ФЗ (истечение срока хранения, достижение целей обработки, отзыв согласия субъекта и т.д.), персональные данные подлежат уничтожению или обезличиванию.

• Ручное удаление администратором;

1. Передача третьим лицам

1. Предоставление персональных данных третьим лицам. Персональные данные могут предоставляться следующим категориям получателей:

   • партнёрам по оказанию услуг (доставка, оплата, колл-центр);

• подрядчикам (исполнение по поручению оператора);

• государственным органам по основаниям, предусмотренным законодательством РФ;

• внутригрупповым компаниям (филиалы, дочерние общества);

• поставщикам облачных сервисов и хостинга (исполнение по поручению оператора);

• банкам и платёжным системам;

Предоставление персональных данных третьим лицам осуществляется на следующих основаниях:

• согласие субъекта персональных данных;

• исполнение договора, стороной которого является субъект ПД;

• исполнение требований законодательства РФ или запрос уполномоченного государственного органа;

• осуществление прав и законных интересов оператора или третьих лиц (п. 7 ч. 1 ст. 6 Федерального закона № 152-ФЗ);

Основным документом, оформляющим передачу персональных данных при поручении обработки, является договор, заключаемый в соответствии с частью 3 статьи 6 Федерального закона № 152-ФЗ и содержащий обязательства лица, осуществляющего обработку по поручению оператора, по обеспечению конфиденциальности и безопасности персональных данных. Соглашения о конфиденциальности (NDA) не являются достаточным оформлением передачи персональных данных.

• договор, заключаемый в соответствии с частью 3 статьи 6 Федерального закона № 152-ФЗ, содержащий обязанности по обеспечению конфиденциальности и безопасности персональных данных;

• внутренние регламенты Оператора;

• соглашения о конфиденциальности (дополнительно к договору поручения обработки; сами по себе не являются достаточным оформлением передачи персональных данных);

1. Поручение обработки персональных данных:

Оператор вправе поручить обработку персональных данных лицу, с которым заключён договор в соответствии с частью 3 статьи 6 Федерального закона № 152-ФЗ, содержащий обязательства по обеспечению конфиденциальности и безопасности персональных данных. Оператор несёт ответственность за действия лица, которому поручена обработка персональных данных (ч. 3 ст. 6 Федерального закона № 152-ФЗ).

1. Ограничения при передаче данных:

• третья сторона обеспечивает уровень защиты персональных данных не ниже установленного оператором;

1. Права субъекта ПДн

   1. В соответствии с законодательством Российской Федерации о персональных данных, каждый субъект персональных данных обладает определенными правами, направленными на защиту его частной жизни и контроль над обработкой его персональных данных. Организация обеспечивает реализацию этих прав и предоставляет необходимые механизмы для их осуществления.

   2. Субъект персональных данных имеет следующие права:

• отзывать согласие на обработку персональных данных;

1. Для реализации своих прав субъект персональных данных может обратиться в организацию по контактным данным, указанным в заголовке настоящей Политики.

1. Порядок подачи и рассмотрения запросов

1. Субъекты персональных данных могут обращаться по следующим каналам:

• Email ответственного лица / отдела;

1. Контактная информация для обращений: smirnovpavel81@mail.ru

1. Запрос субъекта персональных данных может быть подан следующими способами:

• Письменно (в свободной форме);

1. Для рассмотрения запроса Оператор вправе запросить подтверждение личности заявителя одним из следующих способов:

• Подтверждение через аккаунт;

• Проверка email/телефона;

1. Срок рассмотрения запроса субъекта персональных данных составляет:

• До 30 дней (по закону РФ);

1. Ответ заявителю предоставляется в следующих формах:

• Электронная (email);

• Устная (по телефону);

1. Результатом рассмотрения запроса может быть:

• Подтверждение выполнения (данные удалены, исправлены и т.д.);

• Обоснованный отказ (если запрос противоречит закону);

• Обоснованный отказ (если невозможен по техническим причинам);

• Другие результаты;

1. Субъект персональных данных вправе обжаловать действия или бездействие Оператора следующими способами:

• Жалоба в Роскомнадзор (для РФ);

• Направление претензии в компанию (DPO, руководство);

• Обращение в суд;

1. Сведения об Операторе

1. Реквизиты и контактные данные Оператора (наименование, ИНН, адрес, email, телефон) указаны в начале настоящей Политики.

1. Меры защиты ПДн

1. Обеспечение безопасности персональных данных является одним из ключевых приоритетов организации. Применяемые меры защиты направлены на предотвращение несанкционированного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также на иные неправомерные действия в отношении персональных данных.

2. Для защиты персональных данных применяются следующие меры безопасности:

• ограничение доступа к персональным данным;

• использование защищенных каналов передачи данных;

• регулярное обновление систем безопасности;

• антивирусная защита;

1. Безопасность персональных данных обеспечивается на основе следующих принципов: комплексный подход к защите данных; непрерывность процесса обеспечения безопасности; регулярная оценка рисков и обновление мер защиты; соответствие требованиям законодательства в сфере защиты персональных данных.

1. Заключительные положения

1. Настоящая Политика является внутренним документом Оператора и определяет порядок обработки персональных данных и меры по обеспечению их безопасности. Вопросы, не урегулированные настоящей Политикой, регулируются действующим законодательством Российской Федерации в сфере персональных данных.

2. Порядок внесения изменений в Политику:

• Оператор вправе вносить изменения в настоящую Политику;

• уведомление о внесении изменений осуществляется иными способами, определёнными Оператором;

1. Способ вступления в силу обновлений Политики:

Новая редакция Политики вступает в силу с момента её опубликования (размещения на сайте или иным способом).

Изменения в Политику могут вноситься по следующим основаниям:

• изменения в законодательстве Российской Федерации в сфере персональных данных;

• изменение внутренних процессов Оператора;

• изменение используемых технологий обработки данных;

• изменение видов деятельности или услуг Оператора;

• изменение целей или способов обработки персональных данных;

• иные основания по усмотрению Оператора;

1. Дата вступления в силу Политики: 01.09.2025.

1. Дата последнего обновления Политики: 01.09.2025.

1. Действующая редакция Политики доступна для ознакомления неограниченному кругу лиц:

   • на официальном сайте Оператора (в подвале страницы);

• в помещении Оператора (для ознакомления по запросу);

• копия направляется по запросу по электронной почте;