Политика в отношении обработки персональных данных

1. Общие положения.

1.1. Настоящая Политика обработки персональных данных (далее – Политика) определяет основные принципы, цели, порядок и условия обработки персональных данных (далее – ПДн), объем и категории обрабатываемых ПДн, категории субъектов ПДн, актуализацию, исправление, уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным, меры реализуемые для обеспечения безопасности ПДн при их обработке Индивидуальным предпринимателем Карпенко Екатериной Александровной, ИНН 773123816550 (далее – Оператор).

1.2. Политика разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом 27 июля 2006 года № 152-ФЗ "О персональных данных", иными федеральными законами и нормативно-правовыми актами.

1.3. Документ принят с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных.

1.4. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных работников Оператора , клиентов и других субъектов персональных данных.

1.5. Все работники Оператора, получающие доступ к персональным данным субъектов персональных данных, в обязательном порядке должны быть ознакомлены с настоящей Политикой для последующего ее исполнения.

1.6. Действующая редакция Политики, являющаяся публичным документом, доступна любому Пользователю сети Интернет при переходе по ссылке https://able-kids/conf

2. Основания обработки персональных данных.

Обработка персональных данных осуществляется Оператором на законной и справедливой основе, правовыми основания для обработки являются: Конституция Российской Федерации, Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Налоговый кодекс Российской Федерации, Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» , Федеральный закон от 24.07.2009г. № 212-ФЗ «О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования» , Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ, Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете» , Приказ ФНС России от 15.10.2020 N ЕД-7-11/753@ «Об утверждении формы расчета сумм налога на доходы физических лиц, исчисленных и удержанных налоговым агентом (форма 6-НДФЛ), порядка ее заполнения и представления, формата представления расчета сумм налога на доходы физических лиц, исчисленных и удержанных налоговым агентом, в электронной форме, а также формы справки о полученных физическим лицом доходах и удержанных суммах налога на доходы физических лиц» , Федеральный закон от 29.12.2012No 273-ФЗ «Об образовании в Российской Федерации» , Договоры, заключаемые между Оператором и субъектом персональных данных, Согласие на обработку персональных данных

3. Основные права и обязанности Оператора.

3.1. Оператор при сборе персональных данных обязан предоставить субъекту персональных данных по его просьбе информацию, касающейся обработки его персональных данных.

3.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

3.3. При сборе персональных данных, в том числе посредством информационнотелекоммуникационной сети "Интернет", Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в 152-ФЗ.

3.4. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами.

3.5. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационнотелекоммуникационных сетей, обязан опубликовать в соответствующей информационнотелекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

3.6. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

3.7. Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных.

3.8. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных в порядке и в сроки, установленные 152-ФЗ.

3.9. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

3.10. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные 152- ФЗ. В поручении Оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 152-ФЗ.

3.11. Оператор осуществляет иные права и обязанности, установленные 152-ФЗ

4. Цели и принципы обработки персональных данных.

4.1. Персональные данные обрабатываются Оператором в следующих целях:

 обеспечение соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Оператора;

  осуществление и выполнение функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора при: оформлении трудовых отношений; подачи отчетности в федеральные органы исполнительной власти; ведении кадрового и бухгалтерского учётов; прохождении сотрудниками медицинских осмотров;

•   предоставление сведений в банк для оформления банковской карты и перечисления заработной платы;
•   Совершение гражданско-правовых сделок,
•   Оказание образовательных услуг;
•   Информирование об услугах,
•   Освещение посредством официального сайта, социальных сетей и каналов в мессенджерах информации о деятельности организации, событий, мероприятий, достижений обучающихся, выпускников, родителей, педагогов.

4.2. Принципы обработки персональных данных

Обработка персональных данных осуществляется на основе общих принципов:

•   законности заранее определенных конкретных целей и способов обработки персональных данных;
•   обеспечения надлежащей защиты персональных данных;
•   соответствия целей обработки персональных целям, заранее определенным и заявленным при сборе персональных данных;
•   соответствия объема, характера и способов обработки персональных данных целям обработки персональных данных;
•   достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
•   хранения персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных, не дольше, чем того требуют цели обработки;
•   уничтожения персональных данных по достижении целей обработки, если срок хранения персональных данных не установлен законодательством РФ;
•   обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.

5. Категории субъектов, персональные данные которых обрабатываются ОператоромК категориям субъектов относятся:

•   работники Оператора (в том числе уволенные), соискатели, а также родственники работников;
•   клиенты, учащиеся, дети, родители, законные представители детей, фигуранты публикаций, лица, изображенные на публикуемых фото- и видео- материалах.
•   посетители сайта;
•   Иные категории субъектов персональных данных, персональные данные которых обрабатываются (контрагенты физ.лица, ИП, работники юр.лиц);

6. Перечень персональных данных, обрабатываемых Оператором.

6.1. Перечень персональных данных, обрабатываемых Оператором

•   Для категорий субъектов работники (в том числе уволенные), соискатели, родственники работников обрабатываются следующие категории персональных данных: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения об образовании; фото-видео изображение лица; сведения о состоянии здоровья;
•   Для категорий субъектов клиенты, учащиеся, дети, родители, законные представители детей, фигуранты публикаций, лица, изображенные на публикуемых фото- и видео- материалах, посетители сайта; иные категории субъектов персональных данных, персональные данные которых обрабатываются (контрагенты физ.лица, ИП, работники юр.лиц); обрабатываются следующие категории персональных данных: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; семейное положение; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; фото-видео изображение лица.

6.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, а также биометрических персональных данных Оператором не осуществляется.

6.3. В целях идентификации web-порталов able-kids.ru поисковыми системами yandex.ru и google.ru, а также учета частоты посещения страниц данные web-порталы Оператор использует службы Yandex.Metrika и GoogleAnalytics, технологии cookies. В момент посещения пользователем той или иной страницы Оператора, браузер пользователя, выполняя сервисные коды служб Yandex.Metrika и GoogleAnalytics, передает в них информацию о факте посещения страницы, о времени посещения и времени нахождения на странице, об адресе страницы, с которой произошел переход на текущую страницу, IP-адрес, данные об аппаратных событиях, файлы cookies, сведения о местоположении, уникальные номера приложений.

Обработка персональных данных осуществляется в целях улучшения работы сайта Оператора, определения предпочтений пользователя, предоставления целевой информации по услугам Оператора.

7. Трансграничная передача персональных данных.

Оператор не производит трансграничную передачу персональных данных.

8. Перечень действий, совершаемых Оператором с персональными данными

Оператор осуществляет: сбор; систематизацию; накопление; хранение; уточнение (обновление, изменение); использование; передачу (предоставление, доступ); блокирование; уничтожение персональных данных, запись; извлечение; удаление; распространение (по отдельному согласию);

9. Способы обработки персональных данных Оператором.

В зависимости от информационной системы, используемой Оператором обработка персональных данных может осуществляться путем смешанной обработки без передачи по внутренней сети Оператора с передачей по сети интернет;

10. Сроки обработки персональных данных.

Обработка персональных данных Оператором, в том числе их хранение, осуществляется в течение сроков, установленных действующим законодательством.

11. Порядок и условия обработки персональных данных.

11.1. Обработка персональных данных Оператором осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.

11.2. Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.

11.3. В целях информационного обеспечения Оператор может создавать справочные материалы, в которые с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, номер телефона (рабочего, сотового), адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.

11.4. Доступ к обрабатываемым персональным данным предоставляется только тем работникам Оператора, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности. (утвержден перечень лиц. доступ которых к ПД, необходим для выполнения ими служебных (трудовых) обязанностей);

11.5. Оператор осуществляет передачу персональных данных государственным органам в рамках и в соответствии с законодательством РФ.

11.6. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

11.7. Оператор обеспечивает раздельное хранение персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных.

11.8. Оператор обеспечивает осведомленность своих сотрудников о правилах работы с персональными данными (назначено должностное лицо, ответственное за обеспечение безопасности персональных данных, разработаны локальные акты, по вопросам обработки персональных данных, в соответствии с постановлением Правительства от 15.09.2008 No 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки, локальными актами установлены места хранения персональных данных и перечень лиц, осуществляющих обработку персональных данных, работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных)

11.9. Хранение материальных носителей персональных данных осуществляется Оператором с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним. (ограничен доступ посторонних лиц в помещения, где ведется работа с персональными данными, обеспечен ограниченный доступ к месту хранения материалов содержащих ПД)

11.10. При достижении целей обработки персональных данных, а также в случае отзыва Субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

•   иное не предусмотрено договором или иным соглашением между Оператором и Субъектом персональных данных.
•   Оператор не вправе осуществлять обработку без согласия Субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или иными федеральными законами;

11.11. Обработка персональных данных осуществляется с соблюдением конфиденциальности.

11.12. Субъект персональных данных вправе обратиться к Оператору по поводу неточности данных, неправомерности их обработки, отзыва согласия и доступа к своим данным, написав письмо на адрес able-kids@yandex.ru. Письмо должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению.

12. Порядок и условия обработки персональных данных в информационных системах.

12.1. Обработка ПДн в информационных системах осуществляется после реализации организационных и технических мер по обеспечению безопасности персональных данных, определённых с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

12.2. Обеспечение безопасности при обработке персональных данных, содержащихся в информационных системах органов и подведомственных организаций осуществляется в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21.

12.3. Уполномоченному сотруднику Оператора, имеющему право осуществлять обработку персональных данных в информационных системах, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется в соответствии с функциями, предусмотренными должностными (функциональными) обязанностями работников.

12.4. Информация может вноситься как в автоматическом режиме при получении персональных данных с официального сайта Оператора в сети Интернет, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

12.5. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах Оператора, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия соответствующих мер по обеспечению безопасности.

12.6. В случае выявления нарушений порядка обработки персональных данных уполномоченными работниками Оператора незамедлительно принимаются меры по установлению причин нарушений и их устранению.

12.7. В рамках достижения целей обработки персональных данных Оператор взаимодействует с ООО "Компания "Тензор", Ярославская Область, Ярославль Город, Московский Проспект, дом 12

12.8. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

•   ограничен доступ посторонних лиц к информационным системам персональных данных (идентификация и аутентификация субъектов доступа и объектов доступа;
• управление доступом субъектов доступа к объектам доступа; ограничение программной среды; защита среды виртуализации)
•   обеспечен ограниченный доступ к месту хранения материалов содержащих ПД (защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные, защита технических средств;
•   используется программное обеспечение шифрования для защиты персональных данных от неправомерного или случайного доступа к ним,
•   обеспечена сохранность программ-носителей персональных данных;
•   обеспечивается учет машинных носителей персональных данных.
•   используются криптографические средства защиты информации,
•   проведена оценка вреда при обработке персональных данных
•   осуществляется внутренний контроль соответствия обработки ПД локальным актам, ФЗ.

13. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения.

13.1. Оператор в рамках своей деятельности может осуществлять распространение персональных данных субъекта персональных данных при наличии соответствующего согласия субъекта персональных данных, полученного в строгом соответствии с требованиями статьи 10.1 152-ФЗ.

13.2. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий. Субъект персональных данных самостоятельно может определить категории и перечень персональных данных, разрешенных для распространения.

13.3. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить условия и запреты, накладываемые на перечень и категории персональных данных разрешенных субъектом персональных данных для распространения.

13.4. Распространение персональных данных производится Оператором на соответствующих информационных ресурсах Оператора, размещенных в телекоммуникационной сети «Интернет», социальных сетей и каналов в мессенджерах.

14. Субъекты персональных данных имеют право на:

•   полную информацию об их персональных данных, обрабатываемых Оператором;
•   доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом, а также на доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
•   ограничить или запретить использование технологии cookies путем применения соответствующих настроек в браузере.
•   уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
•   отзыв согласия на обработку персональных данных;
•   принятие предусмотренных законом мер по защите своих прав;
•   осуществление иных прав, предусмотренных законодательством Российской Федерации.

15. Обеспечение защиты персональных данных при их обработке Оператором.

Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152 "О персональных данных", постановлением Правительства от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства от 01 ноября 2012 года № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом ФСТЭК от 18 февраля 2013 года № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", и другими нормативными правовыми актами, если иное не предусмотрено федеральными законами.

Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными нормативными актами Оператора регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Оператора

16. Контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов Оператора в области обработки персональных данных, в том числе требований к защите персональных данных осуществляется лицом Оператора, ответственным за организацию обработки персональных данных.

17. Актуализация, исправление, уничтожение персональных данных

17.1. Актуализация и исправление персональных данных. В случае предоставления субъектом персональных данных фактов о неполных, устаревших, недостоверных или незаконно полученных персональных данных Оператор обязан принять меры:

•   в случае подтверждения факта неточности персональных данных персональные данные подлежат их актуализации Оператором;
•   в случае неправомерности их обработки такая обработка должна быть прекращена.
• 17.2. Уничтожение персональных данных. При достижении целей обработки персональных данных, а также в случае истечения срока согласия на обработку персональных данных или отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
•   иное не предусмотрено договором, выгодоприобретателем или поручителем по которому является субъект персональных данных;
•   Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
•   иное не предусмотрено иным соглашением между Оператором и субъектом персональных данных.

18. Заключительные положения.

Положения настоящей Политики вступает в силу с момента ее утверждения и действует до ее отмены.