Политика в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее — Политика) разработана и применяется Индивидуальным предпринимателем Назар Аркадием Витальевичем (ОГРНИП 321366800070638, ИНН 366238577240, место нахождения: 426052, Удмуртская Республика, г. Ижевск, ул. 3-я Тверская, д. 5, кв. 56) (далее — Оператор) в соответствии с положениями Конституции Российской Федерации, Гражданского кодекса Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных), Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также иными нормативными правовыми актами, регулирующими порядок обработки и защиты персональных данных.

1.2. Настоящая Политика определяет правовые основания, цели, принципы, порядок и условия обработки персональных данных, а также меры по защите персональных данных, реализуемые Оператором, и устанавливает обязательства Оператора и права субъектов персональных данных в рамках обработки таких данных.

1.3. Оператор рассматривает обеспечение законности обработки и конфиденциальности персональных данных как приоритетную задачу в рамках своей деятельности, в том числе при использовании цифровых каналов взаимодействия с субъектами персональных данных (сайт, формы обратной связи, мессенджеры, электронная почта, телефонные каналы связи и иные средства коммуникации).

1.4. Настоящая Политика применяется ко всем процессам обработки персональных данных, осуществляемым Оператором как с использованием средств автоматизации, так и без их использования, включая, но не ограничиваясь: сбором, систематизацией, накоплением, хранением, уточнением, использованием, передачей, обезличиванием, блокированием, удалением и уничтожением персональных данных.

1.5. Под действие настоящей Политики подпадают любые сведения, прямо или косвенно относящиеся к определённому или определяемому физическому лицу (субъекту персональных данных), полученные Оператором от таких лиц в рамках осуществления предпринимательской деятельности, включая:

* при регистрации и/или заполнении форм на сайте Оператора;
* при взаимодействии через мессенджеры, электронную почту и телефонную связь;
* при заключении гражданско-правовых договоров, включая договоры-оферты;
* при участии в рекламных, информационных, консультационных и иных инициативах Оператора.

1.6. Настоящая Политика является публичным документом, обязательным к размещению в открытом доступе в информационно-телекоммуникационной сети «Интернет» и подлежит обязательному ознакомлению субъектами персональных данных до момента предоставления своих персональных данных Оператору.

1.7. Оператор обеспечивает защиту персональных данных, обрабатываемых в соответствии с Политикой, посредством реализации комплекса правовых, организационных и технических мер, направленных на предотвращение несанкционированного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также иных неправомерных действий в отношении таких данных.

1.8. Действие настоящей Политики распространяется на все структурные единицы и сотрудников Оператора, а также на всех физических и юридических лиц, с которыми Оператор взаимодействует в рамках договорных отношений, если такое взаимодействие предполагает получение ими доступа к персональным данным.

1.9. Настоящая Политика действует бессрочно до момента её замены новой редакцией. Любые изменения в настоящую Политику вносятся по решению Оператора и вступают в силу с момента размещения новой редакции в открытом доступе, если иное не предусмотрено в самой редакции.

1.10. Актуальная версия Политики размещается по адресу https://vtorutilizator.ru/, и доступна для ознакомления в любое время без необходимости специального запроса.


 2. Правовая основа обработки персональных данных

2.1. Обработка персональных данных Оператором осуществляется в строгом соответствии с положениями действующего законодательства Российской Федерации, включая, но не ограничиваясь:

* статьями 23 и 24 Конституции Российской Федерации, закрепляющими право каждого на неприкосновенность частной жизни, личную и семейную тайну, а также необходимость получения согласия гражданина на сбор, хранение, использование и распространение информации о нём;
* Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных);
* Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
* Федеральным законом от 13.03.2006 № 38-ФЗ «О рекламе» — в части получения предварительного согласия субъекта персональных данных на получение рекламных сообщений;
* иными нормативными правовыми актами, регулирующими отношения, связанные с обработкой и защитой персональных данных на территории Российской Федерации.

2.2. Правовыми основаниями обработки персональных данных являются следующие условия, предусмотренные частью 1 статьи 6 Закона о персональных данных:

1. наличие согласия субъекта персональных данных на обработку его персональных данных, выраженного в любой форме, позволяющей подтвердить факт его получения, включая электронную форму (в том числе путём акцепта оферты, отправки формы на сайте, мессенджере или иным аналогичным способом);

2. необходимость обработки персональных данных для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления возложенных на Оператора законодательством Российской Федерации функций, полномочий и обязанностей;

3. необходимость обработки персональных данных для исполнения договора, стороной которого является субъект персональных данных, либо для заключения договора по инициативе субъекта персональных данных;

4. осуществление обработки персональных данных в целях реализации законных интересов Оператора, при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

5. иные предусмотренные законодательством Российской Федерации основания, включая случаи, прямо предусмотренные статьёй 6 и статьёй 22 Закона о персональных данных.

2.3. В случае обработки персональных данных в целях информирования субъекта персональных данных о новостях, услугах, рекламных и иных коммерческих предложениях, такая обработка осуществляется исключительно при наличии предварительного выраженного согласия субъекта персональных данных в соответствии с частью 1 статьи 18 Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе». Факт предоставления согласия подтверждается техническими средствами, фиксирующими факт его выражения в момент заполнения формы, подписки или иного действия, дающего право Оператору направлять такие сообщения.

2.4. В случае отказа субъекта персональных данных от получения информационных или рекламных сообщений, Оператор обязан незамедлительно прекратить такую обработку персональных данных, за исключением случаев, когда иное предусмотрено законом или договором с субъектом персональных данных.

2.5. Обработка персональных данных, включающих специальные категории, касающиеся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, а также биометрических персональных данных, Оператором не осуществляется, за исключением случаев, прямо предусмотренных статьёй 10 и статьёй 11 Закона о персональных данных, и только при наличии законных оснований и письменного согласия субъекта персональных данных.

2.6. В случае если обработка персональных данных осуществляется на основании согласия субъекта, Оператор гарантирует, что в любой момент субъект вправе отозвать такое согласие, направив соответствующее уведомление Оператору в порядке, предусмотренном настоящей Политикой. Оператор прекращает обработку таких данных немедленно, если не имеется иных законных оснований для продолжения обработки.

 3. Категории обрабатываемых персональных данных

3.1. Оператор осуществляет обработку исключительно тех персональных данных, которые предоставляются субъектами персональных данных добровольно, в объёме, необходимом и достаточном для достижения целей, определённых настоящей Политикой, договорами с субъектами персональных данных, а также иными правовыми основаниями, предусмотренными законодательством Российской Федерации.

3.2. Обрабатываемые Оператором персональные данные не относятся к специальным или биометрическим категориям, за исключением случаев, когда обработка таких данных осуществляется на основании прямого указания закона и/или с письменного согласия субъекта персональных данных в порядке, установленном статьями 10 и 11 Закона о персональных данных.

3.3. К персональным данным, обрабатываемым Оператором, относятся:

 3.3.1. Общие персональные данные, предоставляемые субъектом персональных данных:

* фамилия, имя, отчество (при наличии);
* контактный номер телефона;
* адрес электронной почты;
* город или населённый пункт проживания (в том числе как часть географических или маркетинговых данных);
* иные идентификаторы, указываемые субъектом при заполнении форм, заключении договоров или в процессе общения с Оператором.

 3.3.2. Технические данные, получаемые Оператором при использовании субъектом интернет-ресурсов Оператора:

* IP-адрес устройства субъекта персональных данных;
* дата и время доступа;
* информация о браузере, устройстве, операционной системе;
* реферер (источник перехода);
* данные cookie-файлов, при условии уведомления субъекта и получения согласия (в случае, если cookies позволяют идентифицировать субъектов).

 3.3.3. Данные, предоставляемые субъектом персональных данных добровольно, в том числе в текстах обращений, формах обратной связи, сообщениях в мессенджерах, анкетах, а также иных материалах, передаваемых субъектом при взаимодействии с Оператором по собственной инициативе.

3.4. Оператор не собирает и не обрабатывает персональные данные, прямо не относящиеся к целям обработки, а также не осуществляет обработку персональных данных несовершеннолетних лиц без получения согласия их законных представителей, если только такое требование не установлено федеральным законом.

3.5. В случае, если персональные данные субъекта персональных данных оказались у Оператора по ошибке, в том числе в результате технической пересылки, ошибочного ввода или действий третьих лиц, Оператор незамедлительно принимает меры по уничтожению таких данных, если отсутствуют законные основания для их обработки.

3.6. Персональные данные, обрабатываемые Оператором, не подлежат избыточному объёму, объединению с иными базами данных, несовместимыми по целям обработки, либо обработке в целях, не указанных в настоящей Политике или не совместимых с первоначальными целями сбора.


 4. Принципы обработки персональных данных

4.1. Оператор осуществляет обработку персональных данных в строгом соответствии с принципами, установленными статьёй 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон), с соблюдением требований иных нормативных правовых актов Российской Федерации, обеспечивая при этом соблюдение прав и законных интересов субъектов персональных данных.

4.2. Обработка персональных данных осуществляется на законной и справедливой основе, с предварительным информированием субъекта персональных данных либо получением от него согласия в форме, соответствующей требованиям Закона, за исключением случаев, когда такая обработка допускается без согласия субъекта персональных данных в силу закона.

4.3. Цели обработки персональных данных должны быть конкретными, заранее определёнными и законными. Не допускается обработка персональных данных в целях, не совместимых с изначально заявленными целями сбора.

4.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой, в том числе в случае передачи персональных данных третьим лицам в отсутствие правовых оснований, предусмотренных Законом.

4.5. Оператор обеспечивает соответствие содержания и объёма обрабатываемых персональных данных заявленным целям их обработки. Не допускается обработка персональных данных, избыточных по отношению к целям их обработки.

4.6. Оператор принимает меры по обеспечению достоверности, актуальности, полноты и достаточности обрабатываемых персональных данных, в том числе по их обновлению, уточнению или удалению по запросу субъекта персональных данных либо при выявлении соответствующих оснований.

4.7. Срок хранения персональных данных определяется исходя из целей их обработки, условий договоров, требований законодательства Российской Федерации, а также сроков исковой давности по потенциальным спорам. Персональные данные хранятся в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки, за исключением случаев, когда срок хранения прямо установлен законом или договором.

4.8. По достижении целей обработки, а также в случае утраты необходимости в их достижении, персональные данные подлежат уничтожению либо обезличиванию в порядке, установленном Политикой и законодательством Российской Федерации, за исключением случаев, когда их дальнейшее хранение необходимо для соблюдения требований закона, исполнения судебного акта или договора.

4.9. Обработка персональных данных осуществляется с соблюдением принципа минимизации, т.е. исключительно в объёме, необходимом для достижения конкретных и законных целей, установленных Политикой и правовыми актами.

4.10. Оператор реализует комплекс организационных, правовых и технических мер, направленных на защиту персональных данных от неправомерной или случайной обработки, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении таких данных.

4.11. При обработке персональных данных Оператор обеспечивает реализацию субъектом персональных данных всех предусмотренных законом прав, включая право на доступ к персональным данным, уточнение, блокирование, уничтожение, отзыв согласия и обжалование неправомерных действий или бездействия Оператора.


 5. Согласие субъекта на обработку персональных данных

5.1. Обработка персональных данных Оператором осуществляется в случаях и на основаниях, предусмотренных действующим законодательством Российской Федерации, в том числе на основании согласия субъекта персональных данных, предоставленного в порядке, установленном статьёй 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон).

5.2. Согласие субъекта персональных данных должно быть:

* конкретным — даваться в отношении конкретных целей и видов обработки;
* информированным — оформляться после ознакомления с настоящей Политикой;
* сознательным — выраженным путём совершаемого действия;
* добровольным — исключающим любые признаки принуждения или автоматического выбора;
* явным — выраженным в чёткой форме, позволяющей Оператору документально подтвердить факт получения согласия.

5.3. Согласие на обработку персональных данных может быть предоставлено субъектом в любой из следующих допустимых форм:

* путём заполнения веб-формы на интернет-ресурсе Оператора;
* путём проставления отметки (чекбокса) о согласии с обработкой персональных данных в форме на сайте или ином цифровом интерфейсе;
* путём совершения действия, подтверждающего намерение взаимодействовать с Оператором, при условии размещения предупреждающего уведомления (например, нажатие кнопки «Отправить заявку» при размещённой информации о согласии);
* в письменной форме, в случаях, предусмотренных законодательством (например, при трансграничной передаче ПДн или обработке специальных категорий персональных данных);
* иными способами, позволяющими достоверно подтвердить факт волеизъявления субъекта.

5.4. Отдельно от согласия на обработку персональных данных, в целях соблюдения требований статьи 18 Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе», направление субъекту персональных данных информационных и/или рекламных сообщений по сетям электросвязи (включая email, SMS, мессенджеры и т.п.) возможно исключительно при наличии предварительного, отдельного, конкретного и выраженного согласия субъекта на получение такой информации.

5.5. Указанное согласие на получение рекламных сообщений предоставляется субъектом персональных данных в отдельной форме, не совмещённой с согласием на обработку персональных данных, и не может быть сформулировано по принципу «по умолчанию».
Такое согласие оформляется:

* посредством отдельной отметки (чекбокса) на сайте, платформе, в мессенджере или иной форме сбора данных;
* с возможностью ознакомления с условиями рассылки и Политикой;
* с фиксацией факта и времени получения согласия в системах учёта Оператора.

5.6. Субъект персональных данных в любое время вправе отозвать своё согласие на обработку персональных данных или на получение рекламных сообщений, направив соответствующее уведомление:

* в электронной форме по адресу электронной почты Оператора;
* в письменной форме по адресу места нахождения Оператора;
* либо путём использования автоматических технических средств отписки (например, кнопка «Отписаться» в письме).

5.7. Отзыв согласия на получение рекламных материалов не влечёт автоматического отзыва согласия на обработку персональных данных, если иное не указано в самом уведомлении субъекта.

5.8. В случае получения от субъекта персональных данных уведомления об отзыве согласия, Оператор прекращает обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи 9 Закона, а именно:

* если обработка необходима для достижения целей, предусмотренных законом;
* если она необходима для исполнения договора;
* если она осуществляется в целях защиты прав и законных интересов Оператора.

5.9. Согласие субъекта персональных данных и согласие на получение рекламных сообщений хранятся Оператором в формах, допускающих подтверждение факта их получения, в течение всего срока обработки персональных данных и не менее трёх лет с момента завершения их обработки или отзыва согласия, в целях защиты интересов Оператора в возможных спорах.

5.10. В случае, если субъект персональных данных возражает против получения рекламной информации, но не отказывается от взаимодействия с Оператором в целом, Оператор обязуется обеспечить прекращение исключительно рекламной части взаимодействия, сохранив право на направление иных сообщений, связанных с исполнением обязательств по договору (сервисные уведомления, подтверждение заказов, техническая поддержка и т.д.).


 6. Права субъектов персональных данных

6.1. Субъект персональных данных имеет право на защиту своих прав и законных интересов, связанных с обработкой его персональных данных, включая право на получение информации, уточнение, блокирование, уничтожение и обжалование неправомерных действий или бездействия Оператора. Указанные права реализуются в объёме и порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон), а также иными нормативными правовыми актами Российской Федерации.

6.2. Субъект персональных данных вправе на основании письменного запроса (включая электронный документ, подписанный простой электронной подписью, при наличии технической возможности) получить от Оператора следующую информацию:

1. подтверждение факта обработки персональных данных Оператором;
2. правовые основания и цели обработки персональных данных;
3. цели и применяемые способы обработки персональных данных;
4. наименование и место нахождения Оператора;
5. сведения о лицах, которым могут быть раскрыты персональные данные на основании договора с Оператором или федерального закона;
6. обрабатываемые персональные данные, относящиеся к соответствующему субъекту, и источник их получения, если иной порядок предоставления таких данных не установлен федеральным законом;
7. сроки обработки персональных данных, включая сроки их хранения;
8. сведения о совершённых или предполагаемых трансграничных передачаx данных;
9. сведения об осуществляемой или предполагаемой автоматизированной обработке персональных данных;
10. иную информацию, прямо предусмотренную Законом.

6.3. Субъект персональных данных имеет право потребовать от Оператора уточнения его персональных данных, если они являются неполными, неточными, устаревшими, их блокирования или уничтожения, если они обрабатываются незаконно или не требуются для заявленной цели обработки, в порядке, установленном статьями 14 и 21 Закона.

6.4. Субъект персональных данных вправе в любое время отозвать ранее данное им согласие на обработку персональных данных, включая согласие на получение рекламных сообщений. Отзыв согласия не влияет на правомерность обработки персональных данных до момента получения уведомления об отзыве.

6.5. В случае отзыва согласия Оператор прекращает обработку персональных данных, если иное не допускается в силу положений части 2 статьи 9 Закона, в частности:

* если обработка требуется для достижения целей, предусмотренных международным договором Российской Федерации или законом;
* если она необходима для исполнения договора, стороной которого является субъект;
* если она осуществляется в целях защиты прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта.

6.6. Субъект персональных данных вправе запретить использование его персональных данных для продвижения товаров, работ и услуг, в том числе направлять отдельный запрет на получение рекламных и информационных сообщений, не отказываясь при этом от иных форм взаимодействия с Оператором.

6.7. Субъект персональных данных вправе обжаловать действия или бездействие Оператора, нарушающие его права при обработке персональных данных:

* в уполномоченный орган по защите прав субъектов персональных данных — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор);
* а также в судебном порядке в соответствии с Гражданским процессуальным кодексом Российской Федерации или Кодексом административного судопроизводства Российской Федерации.

6.8. Ответ на обращение субъекта персональных данных предоставляется Оператором в срок, не превышающий 30 календарных дней с даты поступления соответствующего запроса, если иное не предусмотрено федеральным законом.

6.9. С целью защиты интересов субъекта персональных данных и предотвращения несанкционированного вмешательства третьих лиц, Оператор вправе потребовать от субъекта персональных данных:

* подтверждения его личности;
* уточнения сведений, необходимых для идентификации обрабатываемых персональных данных.

6.10. Субъект персональных данных вправе осуществлять иные права, прямо предусмотренные законодательством Российской Федерации, в том числе предусмотренные гражданским, административным и иным процессуальным законодательством.


 7. Обязанности субъектов персональных данных и ответственность за предоставление недостоверных сведений

7.1. Субъект персональных данных обязан при предоставлении персональных данных Оператору действовать добросовестно и разумно, предоставляя достоверную, полную, актуальную и относящуюся исключительно к нему персональную информацию, необходимую для достижения целей обработки, указанных в настоящей Политике.

7.2. Субъект персональных данных обязан воздерживаться от передачи персональных данных третьих лиц без получения от этих лиц соответствующего законного и документально подтверждённого согласия, за исключением случаев, прямо предусмотренных федеральным законом.

Передача персональных данных иного субъекта без согласия последнего влечёт ответственность, предусмотренную действующим законодательством Российской Федерации, включая административную и гражданско-правовую.

7.3. В случае изменения ранее предоставленных персональных данных (включая контактные данные, Ф.И.О., место проживания, иные сведения, существенные для достижения целей обработки), субъект персональных данных обязан незамедлительно уведомить об этом Оператора и предоставить обновлённую достоверную информацию.
Непредоставление актуальных данных может повлечь:

* невозможность исполнения Оператором обязательств по договору;
* прекращение взаимодействия с субъектом;
* утрату прав, зависящих от предоставления достоверной информации.

7.4. В случае выявления Оператором факта предоставления субъектом персональных данных:

* ложных, недостоверных или неактуальных сведений, либо
* персональных данных третьего лица без его согласия,
 Оператор вправе:
* прекратить обработку таких данных;
* удалить или обезличить соответствующую информацию;
* ограничить или заблокировать доступ субъекта к функционалу, предоставляемому через интернет-ресурсы Оператора, до устранения нарушения.

7.5. Субъект персональных данных несёт самостоятельную ответственность за соблюдение положений законодательства Российской Федерации в сфере персональных данных при передаче любой информации Оператору. В случае предъявления Оператору претензий, исков или требований третьими лицами, чьи персональные данные были незаконно предоставлены субъектом, все убытки, расходы и издержки, понесённые Оператором, подлежат возмещению субъектом в полном объёме, на основании статьи 15 Гражданского кодекса Российской Федерации.

7.6. Субъект персональных данных обязан:

* не допускать злоупотребления своими правами, в том числе подачи заведомо необоснованных требований об удалении, блокировке или передаче данных;
* соблюдать обязательства, вытекающие из заключённых с Оператором договоров и публично размещённых условий обработки персональных данных;
* реализовывать свои права в рамках добросовестного и конструктивного взаимодействия с Оператором, при необходимости подтверждая свою личность и полномочия.

7.7. Субъекты персональных данных, нарушившие положения настоящей Политики и действующего законодательства в сфере защиты персональных данных, несут ответственность в порядке, предусмотренном:

* статьями 13.11–13.15 КоАП РФ — в части административной ответственности;
* статьёй 137 УК РФ — в случае неправомерного доступа к персональным данным;
* статьями 15, 1064, 1099 ГК РФ — в части гражданско-правовой ответственности, включая компенсацию вреда и морального вреда.

 8. Права и обязанности Оператора

 8.1. Права Оператора

8.1.1. Оператор вправе самостоятельно определять состав и перечень персональных данных, подлежащих обработке, цели обработки, способы обработки, срок хранения персональных данных, а также иные условия их обработки, при условии соблюдения требований действующего законодательства Российской Федерации, включая Закон о персональных данных.

8.1.2. Оператор вправе получать от субъекта персональных данных достоверную, актуальную и достаточную информацию, необходимую для достижения целей обработки, в объёме, установленном настоящей Политикой, договором или законом.

8.1.3. В случаях, прямо предусмотренных федеральным законом, либо при наличии одного из оснований, предусмотренных частями 1 и 2 статьи 6, а также статьёй 10.1 Закона о персональных данных, Оператор вправе осуществлять обработку персональных данных без получения предварительного согласия субъекта персональных данных.

8.1.4. Оператор вправе поручить обработку персональных данных другому лицу (обработчику) на основании заключённого с ним договора, при условии соблюдения последним требований статьи 6, 18 и 19 Закона, а также настоящей Политики. При этом оператор остаётся ответственным перед субъектом персональных данных за действия такого лица.

8.1.5. Оператор вправе передавать персональные данные третьим лицам, если такая передача осуществляется:

* с согласия субъекта персональных данных;
* в рамках исполнения договора, стороной которого является субъект;
* либо в иных случаях, прямо предусмотренных законодательством.

8.1.6. Оператор вправе продолжить обработку персональных данных после отзыва согласия субъекта, при наличии иного законного основания, указанного в части 2 статьи 9 Закона о персональных данных (например, исполнение договора, обязанностей по закону или защита прав Оператора).

8.1.7. Оператор вправе ограничить или приостановить взаимодействие с субъектом персональных данных, если предоставленные сведения недостоверны, предоставлены без согласия иных лиц, или нарушают положения настоящей Политики, а также в случае злоупотребления субъектом своими правами.

8.1.8. Оператор вправе осуществлять трансграничную передачу персональных данных, при условии соблюдения требований статьи 12 Закона, включая:

* наличие письменного согласия субъекта;
* передачу в государства, обеспечивающие адекватную защиту прав субъектов персональных данных;
* или наличие иных правовых оснований, установленных законом.


 8.2. Обязанности Оператора

8.2.1. Оператор обязан обрабатывать персональные данные в соответствии с принципами и требованиями законодательства Российской Федерации, включая соблюдение:

* конкретных и законных целей обработки;
* соразмерности объёма обрабатываемых данных;
* ограниченности сроков хранения;
* конфиденциальности и безопасности обработки.

8.2.2. Оператор обязан предоставлять субъекту персональных данных по его запросу сведения, предусмотренные статьёй 14 Закона, в том числе сведения о факте обработки, цели, правовых основаниях, способах, сроках и передаче персональных данных, в срок не позднее 30 календарных дней.

8.2.3. Оператор обязан по запросу субъекта обеспечить уточнение, блокирование или уничтожение персональных данных, если они являются неполными, неточными, устаревшими, незаконно полученными или не требующимися для заявленных целей обработки.

8.2.4. Оператор обязан обеспечить реализацию субъектом персональных данных всех прав, предусмотренных законодательством, включая право на отзыв согласия, на подачу жалобы, на получение информации, а также право на судебную защиту.

8.2.5. Оператор обязан принимать необходимые правовые, организационные и технические меры, направленные на обеспечение безопасности персональных данных при их обработке, в том числе:

* назначение ответственного за организацию обработки персональных данных;
* издание и соблюдение внутренних актов, регламентирующих порядок обработки и защиты персональных данных;
* идентификация угроз безопасности персональных данных;
* применение средств защиты, соответствующих уровням угроз;
* ведение учёта машинных носителей, резервное копирование, защита от несанкционированного доступа;
* аудит ИСПДн, обучение сотрудников, допущенных к работе с персональными данными.

8.2.6. Оператор обязан вести Журнал учёта обращений субъектов персональных данных, а также логировать события, связанные с реализацией прав субъектов, включая дату поступления запроса, его содержание, дату ответа, характер принятых мер и результат.

8.2.7. Оператор обязан своевременно уведомлять Роскомнадзор о начале обработки персональных данных (в случае, если обработка подлежит уведомлению), об инцидентах, затрагивающих безопасность персональных данных, в порядке, установленном законодательством.

8.2.8. Оператор обязан соблюдать требования к локализации персональных данных, установленные статьёй 18.1 Закона, обеспечивая, что при сборе персональных данных граждан Российской Федерации с использованием информационно-телекоммуникационных сетей данные в первую очередь записываются, систематизируются, хранятся на территории Российской Федерации.

 9. Цели обработки персональных данных

9.1. Обработка персональных данных Оператором осуществляется исключительно в законных, заранее определённых и явно заявленных целях, соответствующих объёму и характеру обрабатываемых персональных данных, с соблюдением принципа недопустимости их последующей обработки в целях, не совместимых с первоначальными.

9.2. В зависимости от правового основания, установленного статьёй 6 Закона, Оператор осуществляет обработку персональных данных в следующих целях:


 9.2.1. Заключение, исполнение, изменение и прекращение гражданско-правовых договоров

Основание обработки:
подп. 5 ч. 1 ст. 6 Закона — необходимость обработки для исполнения договора, стороной которого является субъект персональных данных, либо для заключения такого договора по инициативе субъекта.

Конкретные цели:

* регистрация заявок, формирование коммерческих предложений;
* подготовка, подписание, исполнение, изменение и расторжение договоров;
* выставление счетов, осуществление расчётов и ведение учёта оказанных услуг.


 9.2.2. Выполнение обязанностей, установленных законодательством Российской Федерации

Основание обработки:
подп. 2 ч. 1 ст. 6 Закона — необходимость исполнения обязанностей Оператора, установленных федеральным законом.

Конкретные цели:

* соблюдение требований налогового, гражданского, трудового, процессуального и иного законодательства;
* ведение бухгалтерского и налогового учёта;
* представление сведений в уполномоченные государственные органы по их законным запросам.


 9.2.3. Обработка обращений, заявок и запросов субъектов персональных данных

Основание обработки:
подп. 5 ч. 1 ст. 6 Закона — необходимость обработки для заключения и исполнения договора, а также реализация законных интересов Оператора (подп. 6 ч. 1 ст. 6 Закона).

Цели:

* обратная связь с субъектами;
* формирование внутренней клиентской базы;
* анализ, систематизация и хранение обращений.


 9.2.4. Информационное взаимодействие в рамках исполнения обязательств (не рекламного характера)

Основание обработки:
подп. 5 ч. 1 ст. 6 Закона.

Цели:

* уведомления о статусах заказов и оказании услуг;
* отправка сервисных сообщений, напоминаний, подтверждений;
* сопровождение исполнения обязательств Оператора перед субъектами.


 9.2.5. Направление рекламных и маркетинговых материалов

Основание обработки:
ст. 9 Закона о персональных данных (предварительное отдельное согласие субъекта) и ст. 18 Закона о рекламе.

Цели:

* информирование о новых продуктах, условиях, тарифах, акциях, скидках и предложениях;
* направление персонализированных рекламных уведомлений;
* осуществление рассылок в мессенджерах, по электронной почте, посредством СМС и иных средств связи.

Обработка в указанных целях осуществляется исключительно при наличии отдельного, конкретного, свободного и осознанного согласия субъекта, оформленного в соответствии с требованиями закона. Отказ или отзыв согласия на получение рекламы не влияет на иные формы взаимодействия с Оператором.


 9.2.6. Реализация законных интересов Оператора, не нарушающих права и свободы субъекта

Основание обработки:
подп. 6 ч. 1 ст. 6 Закона.

Цели:

* защита прав и законных интересов Оператора, включая досудебное урегулирование споров;
* обеспечение функционирования внутренних ИТ-систем, в том числе логирования действий субъектов;
* статистическая и маркетинговая аналитика без автоматизированного принятия решений;
* совершенствование работы сайта и предоставляемых сервисов;
* оценка качества оказания услуг и функционирования сервисов.


 9.2.7. Обеспечение информационной безопасности и устойчивости информационных систем

Основание обработки:
подп. 6 ч. 1 ст. 6 Закона.

Цели:

* идентификация и предотвращение инцидентов безопасности;
* регистрация и расследование технических событий и сбоев;
* аудит доступа, резервное копирование, защита от несанкционированного доступа.


9.3. Обработка персональных данных в иных целях, не предусмотренных настоящей Политикой, не допускается, за исключением случаев:

* получения нового, отдельного согласия субъекта персональных данных;
* наличия нового законного основания в соответствии с частью 1 статьи 6 Закона.

9.4. Изменение цели обработки персональных данных в процессе обработки допускается только при условии:

* наличия совместимости с первоначальной целью;
* документального закрепления оснований совместимости;
* уведомления субъекта, если такая обязанность установлена законом.

 10. Условия и порядок обработки персональных данных

10.1. Обработка персональных данных Оператором осуществляется с соблюдением принципов законности, добросовестности, целевой определённости, минимизации объёма, актуальности, ограничения сроков хранения, обеспечения безопасности и соблюдения прав субъектов, в порядке, установленном действующим законодательством Российской Федерации.

 10.2. Условия обработки

10.2.1. Обработка персональных данных осуществляется с использованием как автоматизированных, так и неавтоматизированных средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

10.2.2. Персональные данные обрабатываются в объёме, строго необходимом для достижения целей, определённых в настоящей Политике. Обработка персональных данных, избыточных по отношению к заявленным целям, не допускается.

10.2.3. Обработка осуществляется Оператором как самостоятельно, так и с привлечением третьих лиц (обработчиков), с которыми заключены договоры на обработку персональных данных в соответствии с требованиями ст. 6 и 18 Закона. Такие лица обязаны соблюдать режим конфиденциальности и обеспечивать защиту персональных данных.

10.2.4. Обработка персональных данных осуществляется с соблюдением режима конфиденциальности, за исключением случаев, когда данные являются общедоступными, либо обязаны быть раскрыты в силу закона.

10.2.5. Оператор обеспечивает локализацию персональных данных, осуществляя сбор, запись, систематизацию, накопление и хранение персональных данных граждан Российской Федерации с использованием баз данных, расположенных на территории Российской Федерации (в соответствии с требованиями статьи 18.1 Закона).

10.2.6. Оператор ведёт учёт всех процессов обработки персональных данных, а также журнал событий информационной системы персональных данных (ИСПДн), если она применяется.

 10.3. Сроки обработки и хранения персональных данных

10.3.1. Персональные данные подлежат хранению в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки, если иное не предусмотрено федеральным законом или договором.

10.3.2. По достижении целей обработки либо при наступлении условий, при которых обработка становится избыточной, а также в случае отзыва согласия, Оператор прекращает обработку и осуществляет уничтожение или обезличивание персональных данных, за исключением случаев, предусмотренных законом.

10.3.3. Если иное не предусмотрено федеральным законом или договором, сроки хранения персональных данных определяются исходя из:

* срока действия договора с субъектом персональных данных;
* срока действия согласия (если применимо);
* срока, необходимого для защиты прав Оператора в рамках срока исковой давности;
* срока, установленного в соответствии с локальными актами Оператора (например, по архивному хранению), не превышающего законных пределов.

 10.4. Уничтожение и обезличивание персональных данных

10.4.1. Уничтожение персональных данных осуществляется в следующих случаях:

* достижение целей обработки;
* истечение срока хранения;
* отзыв согласия при отсутствии иных правовых оснований;
* признание обработки незаконной.

10.4.2. Уничтожение осуществляется способами, исключающими возможность восстановления сведений (безвозвратное удаление из ИСПДн, физическое уничтожение носителей и т.п.).

10.4.3. Обезличивание персональных данных осуществляется в целях:

* статистической или аналитической обработки;
* сохранения обезличенной информации в рамках отчётности или исследовательских целей без нарушения прав субъектов.

10.4.4. Факт уничтожения или обезличивания персональных данных документально фиксируется Оператором (в виде акта или иного внутреннего документа), с указанием основания и даты соответствующего действия.

Представляю юридически выверенный Раздел 11. Порядок предоставления доступа к персональным данным третьим лицам и трансграничная передача, составленный в полном соответствии с:

* статьями 6, 12, 18, 19 Федерального закона № 152-ФЗ;
* разъяснениями Роскомнадзора по трансграничной передаче и привлечению третьих лиц (обработчиков);
* судебной и административной практикой по делам о неправомерной передаче персональных данных.

 11. Порядок предоставления доступа к персональным данным третьим лицам и трансграничная передача

 11.1. Предоставление персональных данных третьим лицам

11.1.1. Оператор может предоставлять персональные данные третьим лицам только в случаях и на условиях, предусмотренных законодательством Российской Федерации, а именно:

– при наличии письменного или электронного согласия субъекта персональных данных на такую передачу;
– в целях исполнения договора, стороной которого является субъект персональных данных;
– в рамках исполнения обязанности, установленной федеральным законом, по запросу уполномоченных государственных органов;
– в целях защиты прав и законных интересов Оператора или третьих лиц, при условии, что такая передача не нарушает прав и свобод субъекта персональных данных.

11.1.2. Передача персональных данных третьим лицам осуществляется только при наличии у таких лиц организационных и технических мер, обеспечивающих сохранность и конфиденциальность передаваемых данных, на основании заключённого договора, содержащего условия обработки, меры защиты и ответственность за утрату или несанкционированное распространение персональных данных.

11.1.3. Третьи лица, получившие доступ к персональным данным, обязаны соблюдать режим конфиденциальности и использовать данные исключительно в целях, определённых соглашением с Оператором или законом.

11.1.4. Оператор ведёт учёт фактов передачи персональных данных третьим лицам, фиксируя:
– дату и основание передачи;
– сведения о получателе;
– объём и состав переданных данных;
– правовое основание.


 11.2. Привлечение третьих лиц для обработки персональных данных

11.2.1. Оператор вправе поручить обработку персональных данных иному лицу (обработчику) на основании заключённого с ним договора или соглашения, при условии:

– обязательного соблюдения обработчиком требований ст. 6, 18 и 19 Закона № 152-ФЗ;
– указания в договоре условий обработки, перечня действий с персональными данными, обязанностей по обеспечению конфиденциальности и безопасности данных;
– сохранения за Оператором статуса ответственного лица перед субъектом персональных данных.

11.2.2. Передача данных обработчику не является предоставлением персональных данных третьему лицу, если действия такого лица ограничены рамками поручения и подлежат контролю со стороны Оператора.


 11.3. Трансграничная передача персональных данных

11.3.1. Оператор вправе осуществлять трансграничную передачу персональных данных на территорию иностранного государства при соблюдении следующих условий:

1. передача осуществляется в государство, включённое в перечень стран, обеспечивающих адекватную защиту прав субъектов персональных данных, утверждённый Роскомнадзором;
2. либо получено письменное согласие субъекта персональных данных на трансграничную передачу, в случаях, когда соответствующий уровень защиты в принимающем государстве не обеспечен;
3. либо передача необходима для исполнения договора, стороной которого является субъект персональных данных.

11.3.2. До начала трансграничной передачи Оператор обязан удостовериться, что принимающая сторона:
– соблюдает обязательства по защите передаваемых данных;
– использует персональные данные строго в согласованных целях;
– применяет меры защиты, сопоставимые с российскими стандартами.

11.3.3. Оператор не осуществляет трансграничную передачу персональных данных:
– на территории иностранных государств, не обеспечивающих адекватную защиту прав субъектов, без наличия отдельного письменного согласия или исключения, установленного законом;
– в случае, если такая передача может повлечь нарушение прав и свобод субъекта персональных данных.

11.3.4. При трансграничной передаче персональных данных Оператор соблюдает все иные требования, предусмотренные законодательством РФ, включая обязательства по уведомлению Роскомнадзора в случаях, установленных частью 3 статьи 12 Закона № 152-ФЗ.


 12. Меры по обеспечению безопасности персональных данных

12.1. Оператор принимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных в процессе их обработки, направленные на защиту данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

12.2. Система защиты персональных данных формируется Оператором с учётом:

* категории обрабатываемых персональных данных;
* характера и объёма обрабатываемой информации;
* используемых способов обработки (в том числе автоматизированной);
* уровня актуальных угроз безопасности информации;
* требований законодательства Российской Федерации.


 12.3. Комплекс организационных мер безопасности включает:

12.3.1. Назначение ответственного лица за организацию обработки и обеспечение безопасности персональных данных.

12.3.2. Определение перечня лиц, допущенных к обработке персональных данных, и организация их обучения по вопросам обеспечения безопасности персональных данных и соблюдения режима конфиденциальности.

12.3.3. Внедрение режима конфиденциальности, включая подписание всеми сотрудниками обязательств о неразглашении персональных данных.

12.3.4. Ведение учёта и контроль доступа к носителям информации, содержащим персональные данные.

12.3.5. Разработка и внедрение локальных нормативных актов, регламентирующих порядок обработки персональных данных, включая порядок доступа, хранения, передачи, уничтожения.

12.3.6. Проведение внутренних проверок и аудитов соблюдения требований законодательства в области защиты персональных данных.


 12.4. Комплекс технических мер безопасности включает:

12.4.1. Использование сертифицированных антивирусных средств, межсетевых экранов, систем предотвращения вторжений и иных средств защиты информации.

12.4.2. Реализацию политики управления доступом к информационным системам персональных данных (ИСПДн), включая разграничение прав доступа.

12.4.3. Логирование и аудит действий пользователей в ИСПДн.

12.4.4. Применение процедур резервного копирования и восстановления данных, а также архивирования с соблюдением требований по сохранности.

12.4.5. Использование средств криптографической защиты информации (СКЗИ), сертифицированных в установленном порядке, при необходимости обеспечения защиты персональных данных, передаваемых по сетям связи.



 12.5. Оценка соответствия и уровни защищенности

12.5.1. В зависимости от характера угроз, категории персональных данных и масштаба обработки, Оператор присваивает ИСПДн соответствующий уровень защищенности (в соответствии с Постановлением № 1119 и приказом ФСТЭК № 21), обеспечивая реализацию минимально необходимых мер защиты.

12.5.2. При необходимости, Оператор организует проведение оценки вреда, тестирования на проникновение и аттестации информационных систем.


 12.6. Реагирование на инциденты

12.6.1. В случае выявления фактов несанкционированного доступа к персональным данным или иных инцидентов, Оператор:

* немедленно блокирует соответствующую ИСПДн;
* анализирует причины и последствия;
* устраняет выявленные уязвимости;
* уведомляет уполномоченные органы в случаях, установленных законом.

12.6.2. Все действия по реагированию документируются и анализируются для повышения уровня защищённости и исключения повторных инцидентов.


 13. Права субъекта персональных данных и порядок их реализации

13.1. Субъект персональных данных вправе в любое время реализовать права, предусмотренные Федеральным законом № 152-ФЗ, в том числе получить от Оператора подтверждение факта обработки его персональных данных, а также следующую информацию:

* наименование (Ф.И.О. для ИП) и адрес Оператора;
* правовые основания и цели обработки персональных данных;
* цели и применяемые способы обработки персональных данных;
* наименование и адрес лиц, которым персональные данные могут быть переданы на основании договора с Оператором либо в силу федерального закона;
* обрабатываемые персональные данные, относящиеся к соответствующему субъекту;
* сроки обработки персональных данных, в том числе сроки их хранения;
* информацию о трансграничной передаче персональных данных (если применимо);
* порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;
* наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора (если обработка поручена третьему лицу);
* иные сведения, предусмотренные законодательством Российской Федерации.


 13.2. Права субъекта персональных данных

Субъект персональных данных имеет право:

13.2.1. Требовать уточнения своих персональных данных, их блокирования или уничтожения, если персональные данные являются:

* неполными, неточными, устаревшими;
* полученными незаконным способом;
* не являются необходимыми для заявленной цели обработки;
* подлежат уничтожению в связи с отзывом согласия или истечением срока обработки.

13.2.2. Отозвать своё согласие на обработку персональных данных в любой момент, путём направления письменного уведомления Оператору. Отзыв согласия не влияет на законность обработки, основанной на согласии до его отзыва, за исключением случаев, предусмотренных частью 5 статьи 5 Закона № 152-ФЗ.

13.2.3. Возражать против обработки персональных данных, используемых Оператором в целях продвижения товаров, работ, услуг на рынке, в том числе с использованием автоматизированных средств.

13.2.4. Осуществлять доступ к своим персональным данным, включая право получения копии обрабатываемых данных (если не нарушает права третьих лиц).

13.2.5. Обжаловать действия или бездействие Оператора, нарушающие права и свободы субъекта, в Роскомнадзор или в судебном порядке.

13.2.6. Требовать прекращения обработки персональных данных, в случае если Оператор утратил законные основания для такой обработки.

13.2.7. Получить сведения о передаче персональных данных третьим лицам, за исключением случаев, когда такая информация раскрытию не подлежит по закону.



 13.3. Порядок направления запросов субъектом персональных данных

13.3.1. Субъект персональных данных направляет Оператору запрос (требование) в письменной форме либо в форме электронного документа, подписанного квалифицированной электронной подписью либо с использованием предусмотренных Оператором способов идентификации, позволяющих достоверно установить личность субъекта.

13.3.2. Запрос должен содержать:

* фамилию, имя, отчество субъекта;
* реквизиты документа, удостоверяющего личность субъекта;
* сведения, подтверждающие участие субъекта в правоотношениях с Оператором (дата заключения договора, номер заявки, регистрация в системе и т.п.);
* конкретные требования и обоснование их предъявления;
* сведения, собираемые посредством метрических программ;
* собственноручную подпись либо электронную идентификацию, обеспечивающую достоверность происхождения запроса (в случае подачи в электронной форме).

13.3.3. В случае направления запроса представителем субъекта, прилагается документ, подтверждающий полномочия (доверенность, нотариальное удостоверение, родство и т.п.).


 13.4. Сроки и порядок рассмотрения запросов

13.4.1. Оператор обязан в срок не позднее 10 (десяти) рабочих дней со дня получения запроса субъекта персональных данных:

* предоставить запрашиваемую информацию;
* либо направить мотивированный отказ с указанием основания, предусмотренного законодательством.

13.4.2. В случае если предоставление запрашиваемой информации в указанный срок невозможно, Оператор обязан направить субъекту персональных данных уведомление о продлении срока рассмотрения запроса на срок не более 15 (пятнадцати) рабочих дней, с обязательным обоснованием такого продления.


 13.5. Основания отказа в предоставлении информации

Оператор вправе отказать субъекту персональных данных в предоставлении запрашиваемой информации, если:

* запрос оформлен с нарушением установленных требований (отсутствуют обязательные сведения, подпись или подтверждение личности);
* раскрытие информации нарушает права и законные интересы третьих лиц;
* запрашиваемые данные относятся к иным субъектам и не могут быть предоставлены без их согласия;
* действующим законодательством установлен иной порядок предоставления сведений или предусмотрено ограничение доступа.


 14. Заключительные положения

14.1. Настоящая Политика разработана в целях исполнения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и иных нормативных правовых актов, регулирующих отношения в области обработки и защиты персональных данных.

14.2. Политика является локальным нормативным актом Оператора, обязательным к применению всеми лицами, участвующими в обработке персональных данных, включая работников Оператора и уполномоченных обработчиков.

14.3. Политика размещается в открытом доступе на официальном интернет-ресурсе Оператора, а также может быть предоставлена по запросу субъекта персональных данных на бумажном носителе.

14.4. В случае внесения изменений в настоящую Политику, актуальная редакция размещается на сайте Оператора с указанием даты вступления в силу новой редакции.

14.5. Новая редакция Политики вступает в силу с момента её опубликования на сайте, если иное не предусмотрено Политикой либо не установлено нормативным актом.

14.6. Оператор вправе в любое время вносить изменения в Политику, в том числе с учётом изменений законодательства, новых требований к защите персональных данных, либо во исполнение предписаний уполномоченных органов.


 14.7. Акцепт Политики

14.7.1. Настоящая Политика является неотъемлемой частью Правил использования сайта, Пользовательского соглашения либо условий оферты (в зависимости от контекста взаимодействия с субъектом персональных данных), размещённых на интернет-ресурсе Оператора.

14.7.2. Совершение субъектом персональных данных действий, свидетельствующих о согласии с условиями Политики, а именно:

* установка отметки (галочки) о согласии с Политикой при заполнении формы на сайте,
* отправка регистрационной формы, заявки, обращения через сайт,
* подписание оферты (включая простую электронную форму) —
 является выраженным и конкретным акцептом настоящей Политики в соответствии со статьями 435 и 438 Гражданского кодекса Российской Федерации.

14.7.3. Оператор обеспечивает возможность субъекта персональных данных ознакомиться с условиями Политики до момента сбора персональных данных, включая возможность скачать или сохранить текст настоящей Политики.

Реквизиты Оператора
Индивидуальный предприниматель Назар Аркадий Витальевич

ИНН: 366238577240
ОГРНИП: 321366800070638
Юридический адрес: 426052, Удмуртская Республика, г. Ижевск, ул. 3-я Тверская, дом 5, кв. 56
Электронная почта: vtorutilizator@yandex.ru
Сайт: https://vtorutilizator.ru/
Сайт Оператора: https://vtorutilizator.ru/