Политика обработки персональных данных
Ган Елена Игоревна
(ИНН 7707083893)
1. Общие положения
1.1. Настоящая политика обработки персональных данных разработана в соответствии с положениями Конституции Российской Федерации, Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) и иными нормативными правовыми актами в области защиты и обработки персональных данных, действующими на территории Российской Федерации.
1.2. В настоящей политике обработки персональных данных используются следующие понятия:
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- оператор - Ган Елена Игоревна (ИНН 7707083893) является оператором персональных данных клиентов, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- клиент – субъект персональных данных, физическое лицо, заключившее с оператором договор информационно-консультационных услуг.
1.3. Настоящая политика обработки персональных данных устанавливает цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, правовое основание обработки персональных данных, перечень действий с персональными данными клиентов, действует в отношении всей информации, которую оператор может получить от клиентов:
- при подготовке, заключении и исполнении гражданско-правового договора;
- при организации взаимодействия между оператором и субъектом персональных данных посредством направления сообщений, уведомлений, документов и информационных материалов;
- при организации процесса обмена информацией между оператором и субъектом персональных данных, включая обработку обращений, жалоб, претензий, запросов, заявлений и иных видов сообщений.
1.4. Все персональные данные о клиентах оператор может получить только от них самих.
Если клиент не желает передавать свои персональные данные, ему следует воздержаться от их предоставления оператору.
1.5. Персональные данные клиентов являются конфиденциальной информацией и не могут быть использованы оператором или любым иным лицом в личных целях, оператор обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
1.6. Оператор обеспечивает субъектам персональных данных свободный, бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных законодательством.
1.7. Оператор разрабатывает меры защиты персональных данных субъектов персональных данных.
1.8. Настоящая политика обработки персональных данных разработана в целях обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.9. Ответственным за обработку персональных данных является оператор.
1.10. Настоящая политика обработки персональных данных размещается и находится в свободном доступе на сайте по интернет-адресу: https://nutriciologkhab.ru/politika-klienty. Доступ к политике обработки персональных данных не ограничен и есть у всех клиентов.
1.11. Субъекты персональных данных: клиенты принимают решение о предоставлении их персональных данных и дают согласие оператору на их обработку свободно, своей волей и в своем интересе.
Предоставляя свои персональные данные оператору субъект персональных данных подтверждает, что ознакомлен с настоящей политикой обработки персональных данных, положения настоящей политики обработки персональных данных ясны и понятны, субъект персональных данных соглашается с условиями настоящей политики обработки персональных данных, дает предметное, информированное, осознанное и однозначное согласие на обработку персональных данных. Согласие на обработку персональных данных может быть дано субъектом персональных данных в любой из перечисленных форм, позволяющих подтвердить факт его получения:
- заключение с оператором договора;
- совершение иных однозначных действий, свидетельствующих о согласии (включая переписку с оператором).
1.12. При возникновении любых вопросов, касающихся положений настоящей политики обработки персональных данных и вопросов, касающихся обработки персональных данных субъект персональных данных всегда может обратиться за разъяснениями и задать вопросы оператору по адресу электронной почты: lenuss77@mail.ru, кроме того, запросы и жалобы субъект персональных данных также может направить оператору на данный адрес электронной почты. Все поступившие от субъекта персональных данных вопросы, предложения, запросы и жалобы оператор рассматривает в срок, не превышающий 10 (десяти) рабочих дней с даты их поступления оператору.
1.13. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в любой момент. Для этого необходимо направить оператору письменное уведомление об отзыве согласия по адресу электронной почты: lenuss77@mail.ru. В случае отзыва согласия на обработку персональных данных оператор принимает меры, предусмотренные действующим законодательством Российской Федерации.
1.14. Оператор осуществляет обработку персональных данных с использованием баз данных, находящихся на территории Российской Федерации.
1.15. Оператор не осуществляет трансграничную передачу персональных данных.
2. Правила обработки персональных данных клиентов
2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Цели обработки персональных данных происходят, в том числе, из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, а также деятельности, которая предусмотрена учредительными документами оператора, и конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных.
2.3. Содержание и объем обрабатываемых персональных данных должен соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
2.4. Оператор определяет цель обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, правовое основание обработки персональных данных, перечень действий с персональными данными:
1 цель обработки персональных данных:
подготовка, заключение и исполнение гражданско-правового договора
категория персональных данных:
фамилия, имя, отчество; адрес электронной почты; номер телефона; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; адрес места жительства; адрес регистрации; учетные записи (аккаунты) в мессенджерах и социальных сетях, содержащиеся в переписке (включая сообщения в мессенджерах, электронной почте, чатах и иных средствах коммуникации) сведения, позволяющие прямо или косвенно идентифицировать субъекта персональных данных, рост вес, окружности тела
категории субъектов, персональные данные которых обрабатываются:
клиенты
способы обработки персональных данных:
смешанная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет
сроки обработки и хранения:
до получения от субъекта персональных данных требования о прекращении обработки/отзыва согласия либо на срок действия договорных отношений и 3 (три) года после окончания таких договорных отношений
порядок уничтожения персональных данных:
персональные данные уничтожаются лицом ответственным за обработку персональных данных, основанием является истечение установленного срока хранения (3 года) после исполнения/расторжения договора либо получение требования субъекта об удалении данных (если нет законных оснований для дальнейшей обработки), принятие решения оператором о прекращении обработки либо при достижении цели обработки
правовое основание обработки персональных данных:
обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных
перечень действий с персональными данными:
сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
2 цель обработки персональных данных:
организация взаимодействия между оператором и субъектом персональных данных посредством направления сообщений, уведомлений, документов и информационных материалов
категория персональных данных:
фамилия, имя, отчество; адрес электронной почты; номер телефона; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; адрес места жительства; адрес регистрации; учетные записи (аккаунты) в мессенджерах и социальных сетях, содержащиеся в переписке (включая сообщения в мессенджерах, электронной почте, чатах и иных средствах коммуникации) сведения, позволяющие прямо или косвенно идентифицировать субъекта персональных данных
категории субъектов, персональные данные которых обрабатываются:
физические лица, запрашивающие консультационную поддержку по товарам, путем направления текстовых сообщений, уведомлений, документов и справочных материалов
способы обработки персональных данных:
смешанная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет
сроки обработки и хранения:
до получения от субъекта персональных данных требования о прекращении обработки/отзыва согласия либо 3 (три) года
порядок уничтожения персональных данных:
персональные данные уничтожаются лицом ответственным за обработку персональных данных, основанием является истечение установленного срока хранения (3 года) либо получение требования субъекта об удалении данных (если нет законных оснований для дальнейшей обработки), принятие решения оператором о прекращении обработки либо при достижении цели обработки
правовое основание обработки персональных данных:
обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных
перечень действий с персональными данными:
сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
3 цель обработки персональных данных:
организация процесса обмена информацией между оператором и субъектом персональных данных, включая обработку обращений, жалоб, претензий, запросов, заявлений и иных видов сообщений
категория персональных данных:
фамилия, имя, отчество; адрес электронной почты; номер телефона; адрес места жительства; адрес регистрации; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; учетные записи (аккаунты) в мессенджерах и социальных сетях, содержащиеся в переписке (включая сообщения в мессенджерах, электронной почте, чатах и иных средствах коммуникации) сведения, позволяющие прямо или косвенно идентифицировать субъекта персональных данных
категории субъектов, персональные данные которых обрабатываются:
субъекты персональных данных, направляющие оператору обращения, жалобы, претензии, запросы, заявления и иные виды сообщений
способы обработки персональных данных:
смешанная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет
сроки обработки и хранения:
до получения от субъекта персональных данных требования о прекращении обработки/отзыва согласия либо 3 (три) года
порядок уничтожения персональных данных:
персональные данные уничтожаются лицом ответственным за обработку персональных данных, основанием является истечение установленного срока хранения (3 года) либо получение требования субъекта об удалении данных (если нет законных оснований для дальнейшей обработки), принятие решения оператором о прекращении обработки либо при достижении цели обработки
правовое основание обработки персональных данных:
обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы
перечень действий с персональными данными:
сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
2.5. Персональные данные клиентов хранятся в электронном виде в информационной системе персональных данных у оператора, а также в архивных копиях баз данных оператора.
Персональные данные клиентов оператор может обрабатывать с помощью средств автоматизации, так и без использования средств автоматизации.
2.6. При хранении персональных данных клиентов соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним.
2.7. Срок обработки оператором персональных данных субъекта персональных данных зависит от цели обработки, соответственно оператор обрабатывает персональные данные столько времени, сколько необходимо для достижения определенной цели.
2.8. После истечения срока нормативного хранения документов, которые содержат персональные данные субъекта персональных данных, документы подлежат уничтожению. Для этого оператор создает экспертную комиссию и проводит экспертизу ценности документов. В ходе проведения экспертизы комиссия отбирает дела с истекшими сроками хранения и по итогам отбора составляет акт о выделении к уничтожению дел, не подлежащих хранению. После чего документы уничтожаются в шредере. Персональные данные в электронном виде стираются с информационных носителей, либо физически уничтожаются сами носители, на которых хранится информация.
3. Передача и распространение персональных данных
3.1. Оператор имеет право передавать персональные данные субъекта персональных данных третьим лицам в виде доступа и предоставления в следующих случаях:
- при наличии прямого согласия субъекта персональных данных;
- если передача необходима для исполнения запроса клиента (оказания услуги);
- для исполнения обязательств по договору или соглашению, заключённому между субъектом персональных данных и оператором.
3.2. Оператор вправе передать информацию, которая относится к персональным данным, без согласия субъекта персональных данных, если такие сведения нужно передать по запросу государственных органов, в порядке, установленном законодательством.
3.3. Оператор не вправе распространять персональные данные третьим лицам без согласия субъекта персональных данных на передачу таких данных.
3.4. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
3.5. В случае если из предоставленного субъектом персональных данных согласия на распространение персональных данных не следует, что он согласился с распространением персональных данных, такие персональные данные обрабатываются оператором без права распространения.
3.6. В случае если из предоставленного субъектом персональных данных согласия на передачу персональных данных не следует, что он не установил запреты и условия на обработку персональных данных или не указал категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, оператор обрабатывает такие персональные данные без возможности передачи (распространения, предоставления, доступа) неограниченному кругу лиц.
3.7. Согласие на распространение персональных данных может быть предоставлено оператору:
• непосредственно;
• с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
3.8. В согласии на распространение персональных данных субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператору неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператором в установлении субъектом персональных данных запретов и условий не допускается.
3.9. Оператор обязан в срок не позднее трех рабочих дней с момента получения согласия субъекта персональных данных на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных субъекта для распространения.
3.10. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта, а также перечень персональных данных, обработка которых подлежит прекращению.
3.11. Действие согласия субъекта персональных данных на распространение персональных данных прекращается с момента поступления оператору требования, указанного в пункте 3.10 настоящей политики обработки персональных данных.
3.12. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений Федерального закона от 27.07.2006 № 152-ФЗ или обратиться с таким требованием в суд. Оператор или третье лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования или в срок, указанный во вступившем в законную силу решении суда. Если такой срок в решении суда не указан, то оператор или третье лицо обязаны прекратить передачу персональных данных в течение трех рабочих дней с момента вступления решения суда в законную силу.
4. Основные права и обязанности оператора
4.1. Оператор имеет право:
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Федеральным законом «О персональных данных» или другими федеральными законами;
- поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных», соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
- в случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральным законом «О персональных данных».
4.2. Оператор обязан:
- организовывать обработку персональных данных в соответствии с требованиями Федерального закона «О персональных данных»;
- отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Федерального закона«О персональных данных»;
- сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого оператору необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
- в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.
4.3. Оператор не осуществляет проверку достоверности предоставляемых персональных данных субъектами, полагая, что они действуют добросовестно и поддерживают информацию о своих персональных данных в актуальном состоянии.
4.4. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.
5. Основные права и обязанности субъекта персональных данных
5.1. Субъект персональных данных имеет право:
- получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Федеральным законом «О персональных данных»;
- требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;
- обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие оператора при обработке его персональных данных.
5.2. Субъект персональных данных обязан заботиться о достоверности предоставленной информации, о своевременности внесения изменений в предоставленную информацию, ее актуализации, в противном случае оператор не несет ответственности за неисполнение обязательств, любые убытки, вред или потери.
6. Меры, принимаемые оператором по защите персональных данных
6.1. Оператор при обработке персональных данных обеспечивает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.2. Оператором реализованы следующие меры по защите персональных данных:
- назначено ответственное лицо по работе с персональными данными, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением оператором требований к защите персональных данных;
- принята и применяется политика обработки персональных данных, регламентирующая порядок обработки персональных данных, устанавливающий для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований;
- осуществляется внутренний контроль соответствия обработки персональных данных требованиям законодательства;
- проводится оценка возможного вреда при обработке персональных данных и принимаются меры по его минимизации;
- оператор, непосредственно осуществляющий обработку персональных данных, ознакомлен с положениями законодательства Российской Федерации о персональных данных, в том числе, с требованиями к защите персональных данных, политикой обработки персональных данных, проходит обучение;
- регистрируются и учитываются все действия с персональными данными в информационных системах;
- перед вводом в эксплуатацию информационной системы проводится оценка средств защиты информации и эффективности мер безопасности;
- для доступа к компьютерам, на которых хранятся персональные данные, используется парольная защита;
- установлено и регулярно обновляется антивирусное программное обеспечение;
- осуществляется мониторинг и фиксация фактов несанкционированного доступа к персональным данным;
- принимаются меры по восстановлению персональных данных в случае их несанкционированного уничтожения или повреждения;
- работа с персональными данными ведется в закрытых помещениях с ограниченным доступом посторонних лиц;
- осуществляется внутренний контроль и аудит;
- определяется тип угроз безопасности и уровней защищенности персональных данных, которые хранятся в информационных системах.
6.3. Оператор регулярно проверяет эффективность применяемых мер защиты и при необходимости совершенствует систему безопасности персональных данных в соответствии с изменениями законодательства и актуальными угрозами.
6.4. Несмотря на применение оператором всех предусмотренных законодательством и внутренними регламентами мер защиты, абсолютная защита от потенциальных угроз, включая несанкционированный доступ третьих лиц, перехват данных при передаче через интернет-каналы, не может быть гарантирована в полной мере в силу объективных технологических ограничений современных систем защиты информации.
6.5. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор уведомит уполномоченный орган по защите прав субъектов персональных данных:
- в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставит сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
- в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставит сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
7. Изменение политики обработки персональных данных
7.1. Настоящая политика обработки персональных данных может быть изменена или прекращена оператором в одностороннем порядке без предварительного уведомления субъекта персональных данных. Новая редакция политики обработки персональных данных вступает в силу с момента ее размещения на сайте по интернет-адресу: https://nutriciologkhab.ru/politika-klienty.
7.2. Действующая редакция политики обработки персональных данных размещена и находится в свободном доступе на сайте по интернет-адресу: https://nutriciologkhab.ru/politika-klienty.
Дата публикации политики обработки персональных данных 13.06.2025г.