Логотип психолог Психология души и тела Записаться на консультацию

ПОЛИТИКА обработки персональных данных

  1. Общие положения
    1. Настоящая Политика ИП Сычева Елена Александровна в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований п.2 ч.1 ст.18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
    2. Политика действует в отношении всех персональных данных, которые обрабатывает ИП Сычева Елена Александровна (далее - Оператор).
    3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
    4. Во исполнение требований ч.2 ст.18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в сети Интернет на сайте Оператора.
    5. Основные понятия, используемые в Политике:
      • персональные данные - любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
      • оператор персональных данных (оператор) - госорган, орган МСУ, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных, а также определяющие цели обработки, состав персональных данных и действия (операции), совершаемые с ними;
      • субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
      • обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными с использованием средств автоматизации или без них, включая: сбор, запись, систематизацию, накопление, хранение, передачу (предоставление, доступ), удаление, уничтожение;
      • автоматизированная обработка - обработка персональных данных с помощью средств вычислительной техники;
      • сбор, запись, систематизация - действия, направленные на получение и упорядочивание персональных данных;
      • накопление персональных данных - действия, совершаемые оператором в рамках обработки после получения данных;
      • удаление, уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в ИСПДн и/или уничтожаются материальные носители данных;
      • информационная система персональных данных (ИСПДн) - совокупность содержащихся в БД персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
    6. Основные права и обязанности Оператора
      1. Оператор имеет право:
        1. самостоятельно определять состав и перечень мер, необходимых и достаточных для выполнения обязанностей, предусмотренных Законом о персональных данных, если иное не установлено федеральными законами;
        2. в случае отзыва субъектом персональных данных согласия на обработку продолжить обработку без согласия при наличии оснований, указанных в Законе о персональных данных.
      2. Оператор обязан:
        1. организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
        2. отвечать на обращения и запросы субъектов персональных данных и их представителей в установленные сроки;
        3. сообщать в уполномоченный орган (Роскомнадзор) по запросу необходимую информацию в течение 10 рабочих дней с даты получения запроса; срок может быть продлён не более чем на 5 рабочих дней с направлением мотивированного уведомления;
        4. в порядке, определённом уполномоченным федеральным органом, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак, включая информирование о инцидентах, повлекших неправомерную передачу персональных данных;
        5. разъяснять субъекту персональных данных юридические последствия отказа предоставить персональные данные и/или дать согласие на их обработку, если они обязательны.
    7. Основные права субъекта персональных данных
      1. получать информацию, касающуюся обработки его персональных данных, в объёме и порядке, установленном Законом о персональных данных;
      2. требовать уточнения, блокирования или уничтожения персональных данных в случаях, предусмотренных законом, и принимать меры по защите своих прав;
      3. давать предварительное согласие на обработку персональных данных;
      4. обжаловать в Роскомнадзоре или в суде неправомерные действия (бездействие) Оператора при обработке персональных данных;
      5. отзывать ранее данное согласие на обработку персональных данных.
    8. Контроль за исполнением требований настоящей Политики осуществляется Оператором.
    9. Ответственность за нарушение требований законодательства РФ и нормативных актов в сфере обработки и защиты персональных данных определяется законодательством РФ.
  2. Цели сбора персональных данных
    1. Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка, несовместимая с целями сбора.
    2. Обработке подлежат только персональные данные, отвечающие целям их обработки.
    3. Обработка Оператором персональных данных осуществляется в целях:
      • осуществления профессиональной деятельности в сфере психологических консультаций;
      • заключения и исполнения договоров с контрагентами;
      • ведения и актуализации клиентской базы, получения и исследования статистических данных о продажах и оказываемых услугах.
  3. Правовые основания обработки персональных данных
    1. Правовыми основаниями обработки являются нормативные правовые акты, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку, в том числе:
      • Конституция Российской Федерации;
      • Гражданский кодекс Российской Федерации;
      • Налоговый кодекс Российской Федерации;
      • иные нормативные правовые акты, регулирующие деятельность Оператора.
    2. Также правовыми основаниями являются:
      • договоры, заключаемые между Оператором и субъектами персональных данных;
      • согласие субъектов персональных данных на обработку их персональных данных.
  4. Объём и категории обрабатываемых персональных данных, категории субъектов
    1. Содержание и объём обрабатываемых персональных данных соответствуют заявленным целям обработки (п. 2 настоящей Политики) и не являются избыточными.
    2. Оператор может обрабатывать персональные данные следующих категорий субъектов:
      1. Клиенты и контрагенты (физические лица) - для целей осуществления деятельности:
        • ФИО, дата и место рождения, паспортные данные, адрес регистрации, контактные данные;
        • ИНН;
        • номер расчётного счёта;
        • иные персональные данные, необходимые для заключения и исполнения договоров.
      2. Посетители сайта Оператора - для обращений клиентов, получения и исследования статистики:
        • имя;
        • контактные данные;
        • источник захода на сайт и информация поискового запроса;
        • данные о пользовательском устройстве (разрешение, версия и др.);
        • пользовательские клики, просмотры страниц, заполнения полей, показы баннеров и видео;
        • данные, характеризующие аудиторные сегменты;
        • параметры сессии;
        • время посещения;
        • идентификатор пользователя, хранимый в cookie;
        • иные персональные данные, получаемые при использовании сайта Оператора.
  5. Порядок и условия обработки персональных данных
    1. Обработка персональных данных осуществляется Оператором в соответствии с законодательством РФ.
    2. Обработка осуществляется с согласия субъектов, а также без такового в случаях, предусмотренных законодательством РФ.
    3. Оператор осуществляет обработку для каждой цели следующими способами: неавтоматизированная; автоматизированная с передачей по сетям или без таковой; смешанная.
    4. К обработке персональных данных допускается Оператор.
    5. Обработка для целей п. 2.3 Политики осуществляется путём:
      • получения персональных данных в устной и письменной форме непосредственно от субъектов;
      • внесения данных в журналы, реестры и информационные системы Оператора;
      • внесения данных субъектами в формы на сайте Оператора;
      • использования иных способов обработки персональных данных.
    6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта, если иное не предусмотрено федеральным законом. Согласие на распространение оформляется отдельно. При передаче третьим лицам Оператор соблюдает меры предосторожности.
    7. Передача персональных данных уполномоченным органам (дознание, следствие, ФНС, СФР и др.) осуществляется в соответствии с требованиями законодательства РФ.
    8. Оператор принимает правовые, организационные и технические меры для защиты персональных данных, в том числе:
      • определяет угрозы безопасности персональных данных;
      • принимает локальные акты и иные документы, регулирующие обработку и защиту;
      • назначает ответственных лиц;
      • создаёт необходимые условия для работы с персональными данными;
      • организует учёт документов, содержащих персональные данные;
      • организует работу с ИСПДн;
      • хранит персональные данные с обеспечением сохранности и исключением неправомерного доступа.
    9. Хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки, если срок не установлен законом или договором.
    10. Срок хранения персональных данных в ИСПДн соответствует сроку хранения на бумажных носителях.
    11. Оператор прекращает обработку персональных данных в случаях:
      • выявления факта неправомерной обработки - в течение 3 рабочих дней с даты выявления;
      • достижения цели обработки;
      • истечения срока действия или отзыва согласия субъекта, если обработка допускается только с согласия.
    12. При достижении целей обработки и/или отзыве согласия обработка прекращается, если:
      • иное не предусмотрено договором, стороной/выгодоприобретателем/поручителем по которому является субъект;
      • Оператор не вправе осуществлять обработку без согласия на основаниях, предусмотренных Законом или иными федеральными законами;
      • иное не предусмотрено другим соглашением между Оператором и субъектом.
    13. При обращении субъекта с требованием о прекращении обработки - обработка прекращается в срок не более 10 рабочих дней, если иное не предусмотрено Законом; срок может быть продлён не более чем на 5 рабочих дней с направлением мотивированного уведомления.
    14. При сборе персональных данных, в том числе через Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием БД, находящихся на территории РФ, за исключением случаев, указанных в Законе.
  6. Актуализация, исправление, удаление, ответы на запросы субъектов
    1. Подтверждение факта обработки, правовые основания, цели и иные сведения (ч.7 ст.14 Закона) предоставляются субъекту или его представителю в течение 10 рабочих дней; срок может быть продлён не более чем на 5 рабочих дней с направлением мотивированного уведомления. Сведения о других субъектах не включаются при отсутствии законных оснований для раскрытия.
    2. Запрос должен содержать:
      • номер документа, удостоверяющего личность, дату выдачи и наименование органа;
      • сведения, подтверждающие участие в отношениях с Оператором (номер/дата договора и т. п.) либо иные сведения, подтверждающие факт обработки;
      • подпись субъекта или представителя.
      Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ. Ответ предоставляется в той форме, в которой направлено обращение/запрос, если иное не указано. При отсутствии необходимых сведений/прав доступа направляется мотивированный отказ. Право доступа может быть ограничено (ч.8 ст.14 Закона), если доступ нарушает права и законные интересы третьих лиц.
    3. При выявлении неточных персональных данных - их блокирование на период проверки; при подтверждении неточности - уточнение в течение 7 рабочих дней и снятие блокирования.
    4. При выявлении неправомерной обработки - блокирование персональных данных, относящихся к субъекту, с момента обращения/запроса.
    5. При факте неправомерной/случайной передачи (доступа):
      • в течение 24 часов - уведомление Роскомнадзора о инциденте, причинах, предполагаемом вреде и принятых мерах, а также сведения о уполномоченном лице;
      • в течение 72 часов - уведомление о результатах внутреннего расследования и сведения о лицах, действия которых стали причиной (при наличии).
    6. Порядок уничтожения персональных данных:
      • Условия/сроки: достижение цели - 30 дней; истечение сроков хранения документов - 30 дней; подтверждение незаконного получения/избыточности - 7 рабочих дней; отзыв согласия при отсутствии необходимости - 30 дней.
      • Персональные данные подлежат уничтожению, если иное не предусмотрено договором/законом/иным соглашением.
      • Уничтожение осуществляет уполномоченное должностное лицо Оператора.
      • Способы уничтожения электронных данных: стирание на устройстве гарантированного уничтожения информации; стирание программными средствами; нарушение функциональных возможностей носителя.
      • Выбранный способ должен обеспечивать невозможность восстановления.
      • По результату составляется акт об уничтожении (приказ Роскомнадзора от 28.10.2022 № 179), который хранится 3 года; при электронном хранении дополнительно производится выгрузка из журнала регистрации событий ИСПДн.
  7. Меры по обеспечению безопасности персональных данных (в развитие п. 5.8 Политики, с учётом ПП РФ от 01.11.2012 № 1119)
    1. Режимные требования:
      • доступ посторонних лиц в помещение обработки/хранения персональных данных - только в присутствии оператора.
    2. Средства обеспечения безопасности:
      • на СВТ, обрабатывающих персональные данные, используется только лицензионное ПО;
      • для шифрования жёстких дисков применяется штатное ПО ОС Windows 10 - «BitLocker».
    3. Передача персональных данных:
      • трансграничная передача Оператором не осуществляется;
      • для передачи Заказчику используются серверы, расположенные только на территории РФ;
      • при использовании услуг операторов почтовой связи РФ - с обеспечением мер, исключающих ознакомление с данными без вскрытия конверта.

ИП Сычева Елена Александровна