Политика обработки персональных данных - WebADR

1. Общие положения

1.1. Настоящая Политика конфиденциальности (далее – Политика) определяет порядок обработки персональных данных (далее – ПД) и меры по обеспечению безопасности ПД Афанасьев Дмитрий Ратмирович (далее – Оператор).

1.2. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его ПД, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.3. Политика разработана в соответствии с:

• Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Иными нормативными правовыми актами Российской Федерации в области защиты ПД.
• 1.4. Оператор является оператором персональных данных, осуществляющим обработку ПД.

2. Основные понятия, используемые в Политике

2.1. ПД – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД). Прямые ПД: ФИО, паспортные данные, СНИЛС, телефон. Косвенные ПД: IP-адрес, геолокация, история покупок, записи камер видеонаблюдения.

2.2. Обработка ПД – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.

2.3. Оператор ПД – компания, организация или индивидуальный предприниматель, которые собирают, хранят, передают, используют или каким-либо образом обрабатывают ПД физических лиц.

3. Принципы и условия обработки ПД

3.1. Обработка ПД осуществляется на основе следующих принципов:

• Законности и справедливости;
• Ограничения обработки ПД достижением конкретных, заранее определенных и законных целей;
• Недопущения обработки ПД, несовместимой с целями сбора ПД;
• Недопущения объединения баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой;
• Обработке подлежат только ПД, которые отвечают целям их обработки;
• Соответствия содержания и объема обрабатываемых ПД заявленным целям обработки;
• Недопущения избыточности обрабатываемых ПД по отношению к заявленным целям их обработки;
• Обеспечения точности, достаточности и актуальности ПД по отношению к целям обработки ПД;
• Уничтожения либо обезличивания ПД по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.2. Оператор обрабатывает ПД при наличии хотя бы одного из следующих условий:

• Обработка ПД осуществляется с согласия субъекта ПД на обработку его ПД;
• Обработка ПД необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
• Обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем;
• Обработка ПД необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПД;
• Осуществляется обработка ПД, доступ неограниченного круга лиц к которым предоставлен субъектом ПД либо по его просьбе;
• Осуществляется обработка ПД, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

3.3. Оператор может осуществлять обработку следующих категорий ПД:

• ФИО;
• Номер телефона;
• Адрес электронной почты;
• IP-адрес;

3.4. Оператор осуществляет обработку ПД в следующих целях:

• Фиксация ФИО, телефона, e-mail, адреса;
• Использование формы обратной связи на сайте, где клиент оставляет контакты;
• Сбор данных через анкеты или подписку на рассылку.

3.5. Оператор вправе поручить обработку ПД другому лицу с согласия субъекта ПД, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.

3.6. В случае поручения обработки ПД Оператор несет ответственность перед субъектом ПД за действия указанного лица. Лицо, осуществляющее обработку ПД по поручению Оператора, несет ответственность перед Оператором.

3.7. Трансграничная передача ПД Оператором не осуществляется.

4. Меры по обеспечению безопасности ПД

4.1. Оператор принимает необходимые и достаточные организационные и технические меры для защиты ПД от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней.

4.2. К таким мерам относятся:

• Назначение лица, ответственного за организацию обработки ПД;
• Издание локальных актов по вопросам обработки и защиты ПД;
• Обучение сотрудников, непосредственно осуществляющих обработку ПД, положениям законодательства РФ о ПД, в том числе требованиям к защите ПД;
• Применение технических мер защиты:
  
  • Шифрование данных (AES-256, TLS);
  • Антивирусы и фаерволы;
  • Системы контроля доступа;
  • Двухфакторная аутентификация (2FA);
  • Журналирование;
  • Резервные копии.
• Проверка сотрудников, особенно если они работают с клиентскими данными;
• Регулярные аудиты безопасности и тесты на уязвимости;
• Ограничение использования личных устройств для работы с ПД;
• Контроль подрядчиков, имеющих доступ к ПД.

5. Права субъекта ПД

5.1. Субъект ПД имеет право:

• Получать информацию, касающуюся обработки его ПД Оператором;
• Требовать от Оператора уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• Отозвать свое согласие на обработку ПД;
• Обжаловать в уполномоченный орган по защите прав субъектов ПД или в судебном порядке неправомерные действия или бездействие Оператора при обработке его ПД.

6. Ответственность

6.1. Оператор несет ответственность за нарушение требований законодательства РФ в области ПД.

7. Заключительные положения

7.1. Настоящая Политика подлежит изменению, дополнению в случае изменения действующего законодательства РФ о ПД и локальных нормативных актов Оператора.

7.2. Действующая редакция Политики постоянно доступна для ознакомления на сайте Оператора.