Положение о защите и обработке персональных данных

Посетителей сайта, Клиентов и Работников, Уволенных работников
Индивидуального предпринимателя Лебедева Дмитрия Сергеевича

1. ОБЩИЕ ПОЛОЖЕНИЯ: НАЗНАЧЕНИЕ И ОБЛАСТЬ ДЕЙСТВИЯ ДОКУМЕНТА

1.1. Настоящее Положение об обработке и защите персональных данных (далее - Положение)  является локальным нормативным актом ИП Зубакова А.В. (далее - Оператор), которое разработано в соответствии с Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Методическим документом «Методика оценки угроз безопасности информации", утв. ФСТЭК России 05.02.2021 г., Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», Методическими рекомендациями по обеспечению с помощью криптосредств  безопасности персональных данных при их обработке в информационных системах  персональных данных с использованием средств автоматизации (ФСБ России, от 21.02.2008 № 149/54-144), постановлением Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Трудовым кодексом РФ, иными нормативными правовыми актами, регулирующими отношения, связанные с деятельностью Оператора.
1.2. Настоящее Положение определяет порядок сбора, хранения, уточнения (обновления, изменения), передачи (предоставления, доступа), использования, блокирования, обезличивания, удаления, уничтожения персональных данных Субъектов персональных данных, а также устанавливает правила обеспечения безопасности персональных данных при их обработке, порядок использования средств защиты информации, иные меры по обеспечению выполнения обязанностей Оператора при продаже товаров.  
1.3. Цель данного Положения – соблюдение прав Субъектов персональных данных при обработке персональных данных, защита персональных данных Субъектов персональных данных от несанкционированного доступа и разглашения при их обработке в информационных системах персональных данных Оператора, предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений. Персональные данные Субъектов персональных данных всегда являются конфиденциальной, охраняемой информацией.

2. ОСНОВНЫЕ ПОНЯТИЯ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЦЕЛИ ОБРАБОТКИ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПОДЛЕЖАЩИХ ОБРАБОТКЕ

2.1. Термины и определения
Администратор безопасности - лицо, отвечающее за обеспечение заданных характеристик информации, содержащей персональные данные (конфиденциальности, целостности и доступности) в процессе их обработки.
Автоматизированная обработка персональных данных - обработка персональных данных с использованием средств вычислительной техники.
Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Атака – целенаправленные действия нарушителя с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности защищаемой информации или с целью создания условий для этого.
Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, информации, в том числе её передачи.
Доступ к информации – возможность получения информации и ее использования.
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Информация – сведения (сообщения, данные) независимо от формы их представления.
Использование персональных данных - действия (операции) с персональными данными, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении Субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы Субъекта персональных данных или других лиц.
Конфиденциальность персональных данных – обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия Субъекта персональных данных или наличия иного законного основания.
Модель нарушителя - предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.
Модель угроз – перечень возможных угроз информации.
Нарушитель (субъект атаки) - лицо (или инициируемый им процесс), проводящее (проводящий) атаку.
Неправомерный доступ – это обращение к средствам обработки и хранения информации лицом, не наделённым соответствующими полномочиями, без согласия законного обладателя данных.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия Субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Оператор – Индивидуальный предприниматель Лебедев Дмитрий Сергеевич (ИНН 770871774878, ОГРНИП 321774600601308, дата регистрации 07.10.2021 г.), самостоятельно организует и осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Передача персональных данных - операция по адресному размещению соответствующих данных на носителях и серверах, доступ к которым имеют сотрудники Оператора либо третьи лица.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому лицу (Субъекту персональных данных).
Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.
Удаление информации - программное стирание данных, в результате которого возможно восстановить содержание информации в информационной системе.
Уничтожение информации – действия, в результате которого невозможно восстановить содержание информации в информационной системе или в результате которых уничтожаются материальные носители информации.
Уровень защищенности персональных данных - комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационной системе.
Целостность информации - способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

2.2. Определение состава персональных данных, обрабатываемых Оператором, категорий Субъектов персональных данных, целей обработки
Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) и специальных категорий персональных данных Субъектов персональных данных не осуществляется.
Оператором обрабатываются персональные данные следующих категорий Субъектов персональных данных:
2.2.1. Посетители сайта Оператора;
2.2.2. Клиенты Оператора;
2.2.3. Работники Оператора, Уволенные работники.

2.2.1. Посетители сайта Оператора
2.2.1.1. Цель обработки персональных данных Посетителей сайта Оператора: продвижение товаров, работ и услуг на рынке, в частности, обработка заказа. 
2.2.1.2. Оператор осуществляет автоматизированную обработку персональных данных Посетителей сайта, с передачей по внутренней сети юридического лица, с получением и/или передачей полученной информации по сети Интернет следующих категорий персональных данных Посетителей сайта:
- фамилия, имя, отчество
- адрес электронной почты
- номер телефона
- сведения, собираемые посредством метрических программ с использованием файлов cookie: IP адрес, присвоенный устройству пользователя для выхода в Интернет; информация о браузере и адрес страницы (или иной программе, которая осуществляет доступ к показу сайта); дата и время посещения; реферер (адрес предыдущей страницы); иная информация из cookie (в зависимости от вида cookie).
2.2.1.3. Перечень действий по обработке персональных данных Посетителей сайта: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), удаление.

2.2.2. Клиенты Оператора
2.2.2.1. Цель обработки персональных данных Клиентов Оператора: продвижение товаров, работ и услуг на рынке, в частности, заключение, исполнение договора купли-продажи. 
2.2.2.2. Оператор осуществляет автоматизированную обработку персональных данных Клиентов, с передачей по внутренней сети юридического лица, с получением и/или передачей полученной информации по сети Интернет следующих категорий персональных данных Клиентов:
- фамилия, имя, отчество
- адрес электронной почты
- номер телефона.
2.2.2.3. Перечень действий по обработке персональных данных Клиентов: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), удаление.

2.2.3. Персональные данные Работников, Уволенных работников
2.2.3.1. Цель обработки персональных данных Работников, Уволенных работников: ведение кадрового и бухгалтерского учета в соответствии с Трудовым кодексом Российской Федерации, в частности, начисление заработной платы, подготовки регламентированной отчетности в государственные контрольные органы (ФНС, СФР и другие).
2.2.3.2. Оператор осуществляет автоматизированную обработку персональных данных Работников, Уволенных работников, с передачей по внутренней сети юридического лица, с получением и/или передачей полученной информации по сети Интернет следующих категорий персональных данных Работников, Уволенных работников:
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании.
2.2.3.3. Оператор вправе получать и использовать только те сведения, которые характеризуют Работника, Уволенного работника как сторону трудового договора.
2.2.3.4. Перечень действий по обработке персональных данных Работников, Уволенных работников: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; уничтожение.

3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. законность и справедливость;
3.2. ограничение обработки персональных данных достижением конкретных, заранее определённых и законных целей;
3.3. недопущение обработки персональных данных, несовместимой с целями сбора персональных данных;
3.4. недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
3.5. недопущение раскрытия третьим лицам и распространения персональных данных без согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом;
3.6. обработка только тех персональных данных, которые отвечают целям их обработки;
3.7. соответствие содержания и объёма обрабатываемых персональных данных заявленным целям обработки;
3.8. недопущение обработки избыточных персональных данных по отношению к заявленным целям их обработки;
3.9. обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных за счет принятия необходимых мер по удалению или уточнению неполных или неточных данных;
3.10. хранение персональных данных в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных или срок хранения персональных данных, установленный федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных;
3.11. уничтожение или обезличивание персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей;
3.12. недопущение при принятии решений, затрагивающих интересы Субъекта персональных данных, основываться на персональных данных Субъекта персональных данных, полученных исключительно в результате их автоматизированной обработки;
3.13. осуществление обработки персональных данных Работников исключительно в целях содействия в трудоустройстве, обучении, обеспечения личной безопасности Работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

4. ПОРЯДОК СБОРА, ХРАНЕНИЯ, БЛОКИРОВАНИЯ, УТОЧНЕНИЯ, ОБЕЗЛИЧИВАНИЯ, УДАЛЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Порядок сбора персональных данных
4.1.1. Персональные данные Посетителей сайта Оператор получает непосредственно от Субъекта персональных данных при условии получения предварительного согласия на обработку персональных данных, предоставляемого в результате заполнения и отправления специальной формы на сайте в соответствующем разделе.
4.1.2. Пользовательские данные, собираемые с помощью использования файлов cookie, обрабатываются при условии получения предварительного согласия на использование файлов cookie на сайте Оператора и обработку пользовательских данных путем нажатия на кнопку «Принять» или продолжая пользоваться сайтом.
4.1.3. Обработка персональных данных Клиентов Оператора не требует получения дополнительного согласия в соответствии с п. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных". Клиенты Оператора передают персональные данные при заключении договора.

4.1.4. Процедура получения персональных данных Работников:
4.1.4.1. Обработка персональных данных Работников в рамках исполнения трудового договора с Оператором не требует получения дополнительного согласия в соответствии с п. 2 ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных". Работники Оператора передают персональные данные при заключении трудового договора.
4.1.4.2. Согласие Работника не требуется также в следующих случаях:
- обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг Субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;
- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов Работника, если получение его согласия невозможно.
4.1.4.3. Согласие Работников, Уволенных работников на обработку персональных данных требуется в случаях, когда Оператор собирается использовать эти данные для целей, не связанных с исполнением трудового договора, а также в случае передачи третьему лицу.
4.1.4.4. Письменное согласие Работников, Уволенных работников на обработку персональных данных должно включать в себя, в частности, сведения, указанные в п. п. 1-9 ч. 4 ст. 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
4.1.4.5. Источником информации обо всех персональных данных Работника является непосредственно Работник. Если персональные данные возможно получить только у третьей стороны, то Работник должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие.
4.1.4.6. Оператор не имеет права получать и обрабатывать персональные данные Работника, Уволенного работника о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
4.1.4.7. Работники обязаны передавать Оператору перечень документов, содержащий достоверные персональные данные Работника, сопровождающий процесс оформления трудовых отношений при его приеме, переводе и увольнении, перечень которых установлен Трудовым кодексом Российской Федерации, а также иные документы, содержащие сведения о Работнике, нахождение которых в личном деле Работника необходимо для документального оформления трудовых правоотношений с Работником.
4.1.4.8. Работники и их представители должны быть ознакомлены под расписку с документами Оператора, устанавливающими порядок обработки персональных данных, права и обязанности Работника в этой области.
4.1.5. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
4.1.6. Согласие на обработку персональных данных должно быть конкретным, предметным, сознательным, информированным и однозначным.
4.1.7.  Если предоставление персональных данных и (или) получение Оператором согласия на их обработку являются обязательными, то в случае отказа предоставить Оператору свои персональные данные и (или) дать согласие на обработку, Оператор разъясняет Субъекту возможные негативные последствия. В частности, Оператор вправе отказать Субъекту персональных данных вступать с ним во взаимоотношения ввиду невозможности исполнения Оператором своих обязательств без персональных данных Субъекта.

4.2. Порядок хранения персональных данных
4.2.1. Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных, в электронном виде в локальной компьютерной сети Оператора.
4.2.2. При осуществлении хранения персональных данных Субъектов персональных данных Оператор использует базы данных, находящиеся на территории Российской Федерации.
4.2.3. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в информационной системе персональных данных.
4.2.4. Хранение персональных данных Посетителей сайта осуществляется до момента отзыва согласия Субъектом персональных данных, но не более 5 (пяти) лет с момента получения согласия на обработку персональных данных.
4.2.5. Хранение персональных данных Клиентов осуществляется в течение срока действия договора с Оператором. После прекращения действия договора Оператор продолжает хранение персональных данных в течение 5 (пяти) лет с даты прекращения действия договорных отношений Клиента с Оператором.
4.2.6. Хранения персональных данных Работников осуществляется в течение срока действия трудового договора Работника с Оператором.
4.2.7. После расторжения трудового договора документы, содержащие персональные данные Уволенных работников, сопровождающие процесс оформления трудовых отношений при приеме, переводе и увольнении Работника, передаются на архивное хранение на срок 50 (пятьдесят) лет.
4.2.8. Персональные данные и документы, их содержащие, являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях обезличивания, включения их в общедоступные источники персональных данных или по истечении 50 лет срока хранения, если иное не определено законом.

4.3. Порядок блокирования, уточнения, обезличивания и уничтожения персональных данных
4.3.1. В случае выявления неточных персональных данных или неправомерной обработки персональных данных при обращении Субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзора) Оператор осуществляет блокирование персональных данных, относящихся к этому Субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы Субъекта персональных данных или третьих лиц.
4.3.2. Если используется цифровая ИСПДн, то блокирование персональных данных осуществляется посредством закрытия доступа к файлам при задействовании средств криптозащиты.
4.3.3. Если используется ИСПДн на основе бумажных носителей, то блокирование данных осуществляется посредством закрытия доступа к соответствующей ИСПДн для определенных групп сотрудников.
4.3.4. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных Субъектом персональных данных, его представителем или уполномоченным органом по защите прав субъектов персональных данных (Роскомнадзором) уточняет персональные данные в течение 7 (семи) рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
4.3.5. Работник обязан своевременно в разумный срок, не превышающий 3 (трех) рабочих дней, письменно уведомить Оператора об изменении своих персональных данных.
4.3.6. В целях уточнения персональных данных или для решения иных технических задач Оператор производит удаление персональных данных путем программного стирания персональных данных, в результате которого возможно восстановить содержание информации в информационной системе.
4.3.7. Оператор прекращает обработку персональных данных Субъекта персональных данных: 
- в срок, не превышающий 3 (трех) рабочих дней с даты выявления неправомерной обработки персональных данных, осуществляемой Оператором, в случае выявления такой обработки;
- в случае достижения цели обработки персональных данных или утраты необходимости в достижении целей обработки персональных данных;
- в срок, не превышающий 30 (тридцати) дней с даты поступления отзыва согласия на обработку персональных данных, если Оператор не вправе осуществлять обработку без согласия Субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или иными федеральными законами;
- в срок, не превышающий 10 (десяти) рабочих дней с даты получения Оператором требования от Субъекта персональных данных о прекращении обработки персональных данных.
4.3.8. Оператор уничтожает или производит обезличивание персональных данных Субъекта персональных данных: 
- в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, Оператор уничтожает персональные данные в случае необеспечения правомерности обработки персональных данных;
- в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных, Оператор уничтожает персональные данные или производит их обезличивание в случае достижения цели обработки персональных данных или утраты необходимости в достижении целей обработки персональных данных;
- в срок, не превышающий 30 (тридцати) дней с даты поступления отзыва согласия на обработку персональных данных, если Оператор не вправе осуществлять обработку без согласия Субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или иными федеральными законами, и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, Оператор уничтожает персональные данные;
- в срок, не превышающий 30 (тридцати) дней с даты истечения срока действия согласия на обработку персональных данных, Оператор уничтожает персональные данные.
4.3.9. В течение срока хранения персональные данные не могут быть обезличены или уничтожены.
4.3.10. Уничтожение и обезличивание персональных данных осуществляет уполномоченное лицо на основании приказа Оператора.
4.3.11. Уполномоченное Оператором лицо составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
4.3.12. Уничтожение электронных носителей, содержащих персональные данные, производится путем стирания или форматирования носителя, в ходе которых становится невозможным восстановить содержание персональных данных.
4.3.13. Бумажные носители персональных данных подлежат физическому уничтожению, без возможности их восстановления (измельчение в шредере или сжигание).
4.3.14. Уполномоченное Оператором лицо подтверждает уничтожение персональных данных актом об уничтожении персональных данных.
4.3.15. Обезличивание производится с помощью компьютерных алгоритмов, в результате чего реальные данные могут быть заменены буквенными сокращениями или подставной информацией, имитирующей настоящую.
4.3.16. Уполномоченное Оператором лицо подтверждает обезличивание персональных данных актом об обезличивании персональных данных.
4.3.17. Об устранении допущенных нарушений, о прекращении обработки персональных данных, об уничтожении или обезличивании персональных данных Оператор уведомляет Субъекта персональных данных.

5. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ

5.1. Внешний доступ
5.1.1. Передача персональных данных Субъекта персональных данных путем предоставления (внешний доступ) происходит с согласия Субъекта персональных данных.
5.1.2. Внутри страны Оператор с согласия Посетителя сайта может передавать персональные данные Посетителей сайта для реализации указанной в п. 2.2.1.1. настоящего Положения цели следующим лицам:
- ООО «Яндекс» (ИНН 7736207543, ОГРН 1027700229193), адрес: 119021, г. Москва, ул. Льва Толстого, д. 16, в том числе при использовании сервиса веб-аналитики «Яндекс.Метрика».
- дата-центрам для обеспечения хранения и защиты обрабатываемых персональных данных.
- используемым в деятельности Оператора сервисам, программным средствам.
5.1.3. Внутри страны Оператор с согласия Клиента может передавать персональные данные Клиентов для реализации указанной в п. 2.2.2.1. настоящего Положения цели следующим лицам:
- дата-центрам для обеспечения хранения и защиты обрабатываемых персональных данных.
- используемым в деятельности Оператора сервисам, программным средствам.
5.1.4. Внутри страны Оператор с согласия Работников, Уволенных работников может передавать персональные данные Работников, Уволенных работников для реализации указанной в п. 2.2.3.1. настоящего Положения цели следующим лицам:
- дата-центрам для обеспечения хранения и защиты обрабатываемых персональных данных.
- используемым в деятельности Оператора сервисам, программным средствам.
- финансовым организациям, обслуживающим платежные карты Работников.
- родственникам или членам семьи Работника, Уволенного работника.
5.1.5. Передача персональных данных Работников, Уволенных работников путем предоставления происходит без согласия Работников, Уволенных работников в соответствии с действующим законодательством в следующих случаях:
- передаваемые персональные данные относятся к состоянию здоровья и их обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов Работников, Уволенных работников либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия невозможно;
- по требованию полномочных государственных органов для выполнения возложенных законодательством функций и полномочий: судебные органы в связи с осуществлением правосудия; органы государственной безопасности; органы прокуратуры; органы полиции; следственные органы; иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения;
- персональные данные Работников, Уволенных работников передаются в Фонд пенсионного и социального страхования Российской Федерации (Социальный фонд России) в порядке, установленном федеральными законами, в частности Федеральным законом «Об обязательном пенсионном страховании в Российской Федерации», Федеральным законом «Об основах обязательного социального страхования», Федеральным законом «Об обязательном медицинском страховании в Российской Федерации», а также при получении в рамках установленных полномочий мотивированных запросов от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о Работниках, Уволенных работниках в соответствии с компетенцией, предусмотренной действующим законодательством РФ. Информация ограничивается только теми персональными данными, которые необходимы для выполнения указанными представителями их функции;
- иные случаи, установленные федеральным законом.
5.1.6. При использовании цифровой ИСПДн, предназначенной для автоматизированной обработки персональных данных, передача персональных данных осуществляется по защищенным каналам связи, а также при задействовании средств криптозащиты.
5.1.7. Лица, получившие персональные данные Субъекта персональных данных, предупреждаются Оператором о том, что переданные персональные данные могут быть использованы лишь в целях, для которых они переданы, и обязаны соблюдать это правило, а также соблюдать режим конфиденциальности.
5.1.8. Основанием для передачи персональных данных является поручение Оператора или заключенное соглашение между Оператором и иными лицами. 
5.1.9. В случае разглашения персональных данных Оператор не несёт ответственность, если данная информация:
 - стала публичным достоянием до её утраты или разглашения;
 - была получена от третьей стороны до момента её получения Оператором;
 - была разглашена с согласия Субъекта персональных данных.
5.1.10. Трансграничная передача персональных данных Оператором не осуществляется.

5.2. Внутренний доступ
5.2.1. Оператор с согласия Субъекта персональных данных может предоставить доступ к персональным данным Субъектов персональных данных для реализации целей обработки следующим лицам:
- Работникам Оператора в пределах своих трудовых функций.
5.2.2. Доступ к электронным базам данных, содержащим персональные данные Субъектов персональных данных, обеспечивается системой паролей. Пароли сообщаются индивидуально Работникам, имеющим доступ к персональным данным Субъектов персональных данных.
5.2.3. С целью соблюдения принципа персональной ответственности за свои действия каждому Работнику, допущенному к работе с персональными данными, должно быть сопоставлено персональное уникальное имя (учетная запись пользователя), под которым он будет регистрироваться и работать в ИСПДн. 
5.2.4. Работники Оператора имеют доступ только к тем персональным данным, которые необходимы им для выполнения своих функциональных обязанностей.
5.2.5. Круг лиц, допущенных к обработке персональных данных, определяет Оператор на основании приказа. 
5.2.6. Работники допускаются к обработке персональных данных после ознакомления с настоящим Положением, а также с иной организационно-распорядительной документацией по обработке и защите персональных данных.
5.2.7. Работники Оператора перед началом обработки персональных данных подписывают соглашение о неразглашении персональных данных (режим конфиденциальности).
5.2.8. Работник обязан осуществлять операции с персональными данными при соблюдении норм, установленных настоящим положением, а также федеральных, региональных и муниципальных нормативно-правовых актов;
5.2.9. Работник обязан обеспечивать сохранность и неизменность персональных данных в случае, если выполняемая задача не предполагает их корректировки или дополнения;
5.2.10. Работник, Уволенный работник имеют право на свободный бесплатный доступ к своим персональным данным, а также на получение копий любой записи о своих персональных данных, обрабатываемых Оператором.

5.3. Организация доступа Субъекта персональных данных к его персональным данным
5.3.1. Доступ к своим персональным данным предоставляется Субъекту персональных данных или его законному представителю Оператором при обращении либо при получении запроса Субъекта персональных данных или его законного представителя в течение 10 (десяти) рабочих дней с даты получения запроса Субъекта персональных данных или его представителя.
5.3.2. Запрос о получении информации, касающейся обработки персональных данных Субъекта персональных данных должен содержать:
 - номер основного документа, удостоверяющего личность Субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
 - сведения, подтверждающие участие Субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
 - подпись Субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
5.3.3. Если в обращении (запросе) Субъекта персональных данных не отражены в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» все необходимые сведения или Субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
5.3.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- применяемые Оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему Субъекту персональных данных, источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления Субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения Оператором обязанностей, установленных ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
- иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.
5.3.5. Оператор предоставляет запрашиваемые сведения о персональных данных в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
5.3.6. В предоставляемые сведения не включаются персональные данные, относящиеся к другим Субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
5.3.7. Оператор обязан обеспечивать бесплатный доступ Субъекта к его персональным данным за исключением случаев, указанных в ч. 8 ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе если доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

6. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА И СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Права Оператора:
6.1.1. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;
6.1.2. поручать обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора;
6.1.3. в случае отзыва Субъектом персональных данных согласия на обработку персональных данных продолжать обработку персональных данных без согласия Субъекта персональных данных при наличии оснований, указанных в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных»;
6.1.4. отказать Субъекту персональных данных в выполнении повторного запроса в случае несоблюдения установленного срока для повторного обращения или отсутствия обоснования направления повторного запроса раньше установленного срока; 
6.1.5. передавать персональные данные третьим лицам, если на это дано информированное согласие Субъекта персональных данных или если это предусмотрено действующим законодательством.

6.2. Обязанности Оператора:
6.2.1. организовать обработку персональных данных в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
6.2.2. предоставить Субъекту персональных данных по его обращению или запросу информацию, касающуюся обработки персональных данных Субъекта;
6.2.3. в случае получения персональных данных не от Субъекта персональных данных уведомить Субъекта персональных данных об этом до начала обработки персональных данных;
6.2.4. обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации;
6.2.5. принять меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;
6.2.6. принять необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
6.2.7. уведомить уполномоченный орган по защите прав субъектов персональных данных в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Субъектов персональных данных:
1) с момента выявления такого инцидента в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав Субъектов персональных данных, и предполагаемом вреде, нанесенном правам Субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) с момента выявления такого инцидента в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
6.2.8. уточнить персональные данные Субъекта, осуществить блокирование, прекратить обработку или уничтожить персональные данные в случаях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
6.2.9. сообщить в уполномоченный орган по защите прав Субъектов персональных данных (Роскомнадзор) по запросу этого органа необходимую информацию в течение 10 (десяти) рабочих дней с даты получения такого запроса;
6.2.10. не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом.
6.2.11. разрешить доступ к персональным данным Субъектов только специально уполномоченным лицам;
6.2.12. не запрашивать дополнительную информацию, содержащую персональные данные, за исключением тех сведений, которые необходимы для достижения целей обработки персональных данных.

6.3. Права Субъектов персональных данных
6.3.1. получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами;
6.3.2. повторно обращаться к Оператору или направлять ему повторный запрос в целях получения сведений, касающихся обработки персональных данных, и ознакомления с такими персональными данными не ранее, чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого является Субъект персональных данных;
6.3.3. требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
6.3.4. отзывать данное согласия на обработку персональных данных или обращаться с требованием о прекращении обработки персональных данных в любой момент;
6.3.5. обжаловать в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;
6.3.6. определять своих представителей для защиты своих персональных данных;
6.3.7. требовать извещения Оператором обо всех произведенных в персональных данных исключениях, исправлениях или дополнениях.

6.4. Обязанности Субъектов персональных данных
6.4.1. предоставлять Оператору достоверные персональные данные;
6.4.2. в случае изменений в персональных данных, обнаружения ошибок или неточностей в них сообщить об этом Оператору.

7. МЕРЫ ПО ОБЕСПЕЧЕНИЮ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА И БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

7.1. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами:
7.1.1. издание Оператором политики в отношении обработки персональных данных и ее опубликование на сайте Оператора;
7.1.2. издание Положения об обработке и защите персональных данных Посетителей сайта, Клиентов и Работников, Уволенных работников Индивидуального предпринимателя Лебедева Дмитрия Сергеевича;
7.1.3. ответственный за организацию обработки персональных данных – ИП Лебедев Д.С. лично;
7.1.4. лицо, непосредственно осуществляющее обработку персональных данных, ознакомлено с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
7.1.5. периодическое обучение ответственного лица, непосредственно осуществляющего обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных;
7.1.6. осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
7.1.7. оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен Субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом.
7.2. При обработке персональных данных в ИСПДн Оператор руководствуется «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными постановлением Правительства РФ от 01.11.2012 г. № 1119. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных утверждены приказом ФСТЭК России от 18.02.2013 г. № 21.
7.3. Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
- Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
- Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с партнерами и сторонними лицами.
- Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.
7.4. Защите подлежат:
- информация о персональных данных Субъекта персональных данных;
- документы, содержащие персональные данные Субъекта персональных данных.
7.5. Основными мерами защиты персональных данных, используемыми Оператором, являются:
7.5.1. определение актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных с учетом оценки возможного вреда.
Оператором разработана Модель угроз ИСПДн и Модель нарушителя. Проведена классификация ИСПДн. Для ИСПДн сформировано техническое задание на систему защиты персональных данных, в котором описаны все организационные и технические меры, которые необходимо осуществить для нейтрализации актуальных угроз и выполнения требований действующего законодательства по защите персональных данных установленного уровня защищенности.
7.5.2. разработка на основе модели угроз системы защиты персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных:
7.5.2.1. на основе характеристик и особенностей используемых ИСПДн и обрабатываемых в них персональных данных, следует, что персональные данные Субъектов персональных данных обрабатываются в Оператором информационной системой, обрабатывающей общие категории персональных данных. Специальные категории персональных данных и биометрические персональные данные в ИСПДн Оператора не обрабатываются.
7.5.2.2. для ИСПДн Оператора актуальны угрозы 3 типа - угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
7.5.2.3. согласно подп. «б» п. 12 «Требований к защите персональных данных при их обработке в информационных системах персональных данных», утв. постановлением Правительства РФ от 01.11.2012 N 1119, для ИСПДн Оператора требуется обеспечить 4-ий уровень защищенности персональных данных при их обработке в информационной системе.
7.5.3. применение средств защиты информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз:
7.5.3.1. антивирусное программное обеспечение с регулярно обновляемыми базами для предотвращения вредоносных программно-математических воздействий, вызывающих уничтожение, искажение информации или сбои в работе средств информатизации.
- установка и начальная настройка средств антивирусного контроля на компьютерах осуществляется Администратором безопасности.
- Администратор безопасности осуществляет периодическое обновление антивирусных средств и контроль их работоспособности.
- обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), информация на съемных носителях (магнитных дисках, лентах, CD-ROM и т.п.). Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).
- устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения компьютера, должна быть выполнена антивирусная проверка ИСПДн.
- в случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов Администратор безопасности обязан:
1) приостановить обработку данных в ИСПДн;
2) провести анализ возможности дальнейшего использования зараженных вирусом файлов;
3) провести лечение или уничтожение зараженных файлов.
7.5.3.2. установление доступа в информационную систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.
- удаление учетной записи пользователя ИСПДн в случае прекращения его полномочий должна производиться Администратором безопасности немедленно после окончания последнего сеанса работы данного пользователя с системой. 
- в случае компрометации личного пароля пользователя ИСПДн должны быть немедленно предприняты меры по изменению его пароля.
7.5.3.3. firewall на сетевом оборудовании.
7.5.3.4. СКУД и система видеонаблюдения в помещениях: организован режим обеспечения безопасности помещений, в которых размещена информационная система персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения. Это обеспечивается оборудованием входных дверей надежными замками.
7.5.3.5. использование шифровальных (криптографических) средств.
7.5.4. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных (внутренний аудит).
7.5.5. своевременное уничтожение персональных данных.
7.5.6. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них: фиксация всех инцидентов и действий, уведомление РКН о факте утечки или несанкционированного доступа.
7.5.7. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
При работе в ИСПДн используются источники бесперебойного питания с целью предотвращения повреждения технических средств и (или) персональных данных в результате сбоев в сети электропитания. 
7.5.8. осуществление внутреннего контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных в целях:
- оценки общего состояния выполнения требований по обработке и защите персональных данных, закрепленных законодательно, а также в локальных актах Оператора;
- выявления и предотвращения нарушений законодательства в сфере персональных данных.

8. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Общие положения
8.1.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных Субъектов персональных данных, привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами РФ.
8.1.2. Неправомерность деятельности Оператора по обработке персональных данных может быть установлена в судебном порядке по требованию Субъекта персональных данных, действующего на основании законодательства о персональных данных.
8.1.3. Материальный ущерб, нанесённый Субъекту персональных данных за счёт ненадлежащего хранения и использования персональных данных, подлежит возмещению в порядке, установленном действующим законодательством.
8.1.4. Моральный вред, причиненный Субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к защите персональных данных, установленных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником убытков.

8.2. Ответственность лиц, допущенных к обработке персональных данных
8.2.1. Лица, допущенные Оператором к обработке персональных данных, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Субъекта персональных данных, привлекаются к материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами РФ.
8.2.2. В случае, когда нарушение конфиденциальности, целостности или доступности персональных данных повлекло за собой какие-либо финансовые потери для Оператора, виновные лица обязаны возместить причиненный ущерб.

9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

9.1. Настоящее Положение утверждается приказом индивидуального предпринимателя. Положение вступает в силу с даты издания приказа о принятии Положения и действует бессрочно до его отмены или до введения нового Положения.
9.2. В Положение могут быть внесены изменения и/или дополнения. Все изменения и/или дополнения к настоящему Положению являются действительными, если они совершены в письменной форме и утверждены приказом индивидуального предпринимателя.
9.3. Все Работники Оператора, имеющие доступ к персональным данным Субъектов персональных данных, в обязательном порядке должны быть ознакомлены с настоящим Положением под роспись для последующего его исполнения.