Индивидуальный предприниматель Павлова Дарья Вячеславовна

ИНН 504032635653, ОГРНИП 324774600878130

ПОЛОЖЕНИЕ

о конфиденциальности персональных данных

Настоящее Положение оператора о конфиденциальности разработано в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и Политикой в отношении обработки персональных данных, утвержденной индивидуальным предпринимателем Павловой Дарьей Вячеславовной от 01 мая 2025 г.
1. Настоящее Положение о конфиденциальности действует в отношении всех персональных данных, получаемых ИП Павловой Дарьей Вячеславовной (далее - оператор). Под персональными данными следует понимать любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу.
2. Оператор обрабатывает и хранит только ту персональную информацию, которая необходима для предоставления им услуг или исполнения соглашений и договоров с субъектом персональных данных, за исключением случаев, когда законодательством Российской Федерации предусмотрено обязательное хранение персональной информации в течение определенного законом срока.
3. Оператор, получивший доступ к персональным данным, обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
4. К субъектам персональных данных, на которых распространяется действие настоящего Положения, относятся:
4.1. Кандидаты для приема на работу к Оператору (при наличии) - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима (при наличии).
4.2. Работники и бывшие работники Оператора (при наличии) - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима (при наличии).
4.3. Клиенты (потребители) и контрагенты Оператора (физические лица) - для целей осуществления предпринимательской деятельности Оператора, в том числе заключения и исполнения договоров, а также осуществления пропускного режима (при наличии).
4.4. Члены семьи работников Оператора (при наличии) - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений.
4.5. Представители (работники) клиентов и контрагентов Оператора (юридических лиц) - для целей заключения и исполнения договоров, осуществления пропускного режима (при наличии).
5. Оператор обязан обрабатывать персональные данные для целей, указанных в настоящем Положении и Политике в отношении обработки персональных данных, утвержденной Оператором от 01 мая 2025 г. Цели обработки персональных данных указаны в Политике в отношении обработки персональных данных.
6. Оператор хранит персональные данные субъекта персональных данных в соответствии с Политикой в отношении обработки персональных данных. Оператор обязан обеспечить конфиденциальность персональных данных, не разглашать без предварительного письменного разрешения субъекта персональных данных, а также не осуществлять продажу, обмен, опубликование полученных персональных данных субъекта персональных данных.
7. Лица, привлекаемые Оператором (при наличии) и допущенные к обработке персональных данных, допускаются к работе после подписания обязательства об их неразглашении.
8. В отношении персональных данных субъекта персональных данных сохраняется их конфиденциальность, кроме случаев добровольного предоставления субъектом персональных данных информации о себе для общего доступа неограниченному кругу лиц.
9. Оператор вправе передать персональные данные субъекта персональных данных третьим лицам в случае, если передача предусмотрена законодательством Российской Федерации.
10. Обработка персональных данных субъекта персональных данных осуществляется любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств. При обработке персональных данных субъекта персональных данных оператор руководствуется Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".
11. При обработке персональных данных в информационных системах оператор соблюдает требования, установленные Постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных" и Приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
12. При обработке персональных данных без использования средств автоматизации оператор соблюдает требования, установленные Постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
13. При неправомерной или случайной передаче (предоставлении доступа, распространении) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент), оператор:
- незамедлительно информирует субъекта персональных данных об утрате или разглашении персональных данных;
- в течение 24 часов уведомляет уполномоченный орган об инциденте, причинах инцидента, вреде, причиненном правам субъекта персональных данных, принятых мерах по устранению последствий инцидента, ответственном лице, уполномоченном взаимодействовать по связанным с инцидентом вопросам;
- в течение 48 часов проводит внутреннее расследование на условиях и в порядке, установленном Политикой в отношении обработки персональных данных;
- в течение 72 часов уведомляет уполномоченный орган о результатах внутреннего расследования и лицах, действия которых привели к инциденту (при наличии).
При направлении уведомления уполномоченному органу оператор руководствуется условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 N 187.
14. При обработке персональных данных оператор принимает необходимые организационные и технические меры для защиты персональных данных субъекта персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц, в том числе:
- определение угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными Постановлением Правительства Российской Федерации от 01.11.2012 N 1119, уровни защищенности персональных данных;
- применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
- применение для уничтожения персональных данных средств защиты информации (в составе которых реализована функция уничтожения информации), прошедших в установленном порядке процедуру оценки соответствия;
- проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;
- ведение учета машинных носителей персональных данных;
- обеспечение обнаружения фактов несанкционированного доступа к персональным данным и принятие мер, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы и по реагированию на компьютерные инциденты в них;
- обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе;
- осуществление контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем.
15. Оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, в порядке и на условиях, предусмотренных законодательством в области персональных данных.

Индивидуальный предприниматель

Павлова Дарья Вячеславовна

.


Если у Вас остались дополнительные вопросы, мы с удовольствием ответим Вам по электронной почте: timeupshop@yandex.ru.