ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

утверждена приказом индивидуального предпринимателя от 16.10.2023 г.

1.  ОБЩИЕ ПОЛОЖЕНИЯ 

1.1. Политика Индивидуального предпринимателя Петряниной Марины Ивановны (далее – Оператор) (ИНН 502938358028, ОГРНИП 314502907100051, адрес места нахождения: 141006, Московская область, г. Мытищи, Олимпийский проспект, 23, а/я 146, адрес электронной почты info@medstandart-market.ru, телефон контакта 7 (968) 097-20-90) в отношении обработки персональных данных (далее - Политика) разработана в целях обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных.

1.2. Настоящая Политика регулирует порядок обработки персональных данных пользователей сайтов, адресуемых доменными именами, включая, но не ограничиваясь «medstandart-market.ru» (далее – сайт).

1.3. Порядок обработки персональных данных, обрабатываемых Оператором в иных случаях, регулируется соответствующей политикой.

1.4. Оператор публикует Политику в свободном доступе, размещая ее на сайте.

1.5. Пользователи сайта, сообщив Оператору свои персональные данные, в том числе при посредничестве третьих лиц, совершая перечисленные действия, подтверждают своё согласие на обработку персональных данных в соответствии с настоящей Политикой и действующим законодательством в области обработки персональных данных.

1.6. Согласие на обработку персональных данных может быть дано Субъектом персональных данных в любой форме, позволяющей подтвердить факт получения согласия, в том числе посредством совершения Субъектом персональных данных конклюдентных действий при использовании сайта. 

1.7. Оператор осуществляет обработку персональных данных, руководствуясь: Конституцией Российской Федерации; Гражданским кодексом РФ; положениями Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных») и рекомендациями Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, уставными документами Оператора, настоящей Политикой, локальными правовыми актами Оператора, разработанными в развитие настоящей Политики, договорами, заключаемыми между Оператором и субъектами персональных данных, согласиями на обработку персональных данных.

1.8. Политика распространяется на отношения по обработке персональных данных, возникшие у Оператора, как до, так и после утверждения настоящей Политики.

2.  ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ

2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.2. Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящей Политики Оператором признается Индивидуальный предприниматель Петрянина Марина Ивановна.

2.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.4. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

2.5. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.6. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.7. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.8. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.9. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.10. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

3.  ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 

3.1. Обработка персональных данных производится с соблюдением следующих принципов:

  • законности и справедливости целей и способов обработки персональных данных, соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;

  • достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных избыточных по отношению к целям, заявленным при сборе персональных данных;

  • ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей в сроки, обусловленные договором, либо локальным нормативно правовым актом Оператора;

  • недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;

  • недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

  • обработки только тех персональных данных, которые отвечают целям обработки;

  • соответствие содержания и объема персональных данных заявленным целям обработки;

  • обеспечения точности, достоверности и актуальности персональных данных по отношению к целям обработки персональных данных;

  • хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

  • уничтожение персональных данных либо обезличивание осуществляется по достижении целей их обработки или в случае утраты необходимости в их достижении, если срок хранения персональных данных не установлен законодательством Российской Федерации, другими документами, определяющими такой срок.

3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.3. Цели обработки персональных данных определены правовыми актами, регламентирующими деятельность Оператора.

4.  ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ.

ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 

4.1. К категориям субъектов персональных данных, обрабатываемых Оператором, относятся физические лица – пользователи сайта;

4.2. Оператор обрабатывает следующие персональные данные пользователей Сайта:

  • фамилия, имя, отчество

  • номер телефона

  • адрес электронной почты

4.3. Цель обработки персональных данных:

  • идентификация пользователя сайта в целях консультирования пользователя;

  • обеспечение связи с субъектом персональных данных;

  • заключение соглашений с Оператором и предоставления персонализированных услуг;

  • оказание услуг по договору оказания услуг с Оператором;

  • контроль качества услуг, оказываемых Оператором.

4.4. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.

5.  ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ОБРАБОТКИ ДАННЫХ

5.1. Оператор, получив доступ к персональным данным, обязан соблюдать конфиденциальность персональных данных - не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

5.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных Оператором;

  • правовые основания и цели обработки персональных данных;

  • цели и применяемые Оператором способы обработки персональных данных;

  • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

  • сроки обработки персональных данных, в том числе сроки их хранения;

  • порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;

  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

  • иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

5.3. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в случаях, установленных в Федеральном закона от 27.07.2006 № 152-ФЗ «О персональных данных».

6.  ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Оператор осуществляет обработку персональных данных - операции, совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая (без ограничения) сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление.

6.2. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом «О персональных данных».

6.3. Обработка персональных данных Оператором ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.

6.4. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

6.5. При осуществлении хранения персональных данных Оператор персональных данных использует базы данных, находящиеся на территории Российской Федерации, в соответствии с частью 5 статьи 18 Федерального закона «О персональных данных».

6.6. Обработка специальных категорий персональных данных и биометрических персональных данных Оператором не производится.

6.7. Распространение персональных данных Оператором не осуществляется.

6.8. Предоставление персональных данных Оператором не осуществляется.

6.9. Трансграничная передача персональных данных Оператором не осуществляется.

6.10. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

6.11. Оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора.

6.12. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом «О персональных данных».

6.13. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

6.14. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством и настоящей Политикой.

6.15. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Состав и перечень мер Оператор определяет самостоятельно.

6.16. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. В срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения.

6.17. По достижении цели обработки, а также в случаях, установленных действующим законодательством, персональные данные, обрабатываемые с использованием средств автоматизации, уничтожаются путем удаления из информационных систем Оператора с помощью встроенных средств информационных систем. Персональные данные, обрабатываемые без использования средств автоматизации, удаляются путем шредирования и/или сжигания.

7.  СРОКИ ОБРАБОТКИ, УДАЛЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ 

7.1. Сроки обработки персональных данных определяются исходя из целей обработки в информационных системах Оператора, в соответствии со сроками, установленными действующим законодательством и Политикой.

7.2. Оператор обрабатывает персональные данные в течение 3 (трех) лет с даты выдачи Согласия на обработку персональных данных. По истечении указанного срока действие согласия считается продленным на каждые следующие три года при отсутствии сведений о его отзыве.

7.3. Оператор обязан прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, действующим по поручению Оператора в срок, не превышающий 30 дней с даты истечения срока хранения или достижения цели обработки персональных данных:

  • в случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, в срок, не превышающий 3 рабочих дней с даты этого выявления;

  • в случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператором;

  • в случае истечения срока хранения персональных данных и/или достижения цели обработки персональных данных.

7.4. В случае отсутствия возможности уничтожения персональных данных в течение указанного в п.7.3 срока, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

Подтверждение уничтожения персональных данных, в случаях предусмотренных настоящей Политикой и Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.

7.5. В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных, Оператор обязан в срок, не превышающий 10 рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется, лицом осуществляющим обработку персональных данных).

7.6. В срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.  

8.  МЕРЫ ПО ЗАЩИТЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ 

8.1. Оператором принимаются все необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, блокирования, уничтожения, изменения, распространения персональной информации, а также от иных неправомерных действий с ней. К этим мерам относятся, в том числе, внутренняя проверка процессов сбора, хранения и обработки данных и мер безопасности, включая соответствующее шифрование и меры по обеспечению физической безопасности данных для предотвращения неавторизированного доступа к системам, хранящим персональную информацию.

8.2. Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.

8.3. Оператором реализованы следующие мероприятия по обеспечению безопасности персональных данных:

  • назначены ответственный за организацию обработки персональных данных и ответственный за обеспечение безопасности персональных данных;

  • изданы документы, регламентирующие обработку персональных данных, а также документы, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ и устранение последствий таких нарушений;

  • определены угрозы безопасности персональных данных;

  • реализованы требования к защите персональных данных исходя из уровня защищенности персональных данных;

  • применяются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия;

  • произведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;

  • приняты соответствующие меры по защите от несанкционированного доступа к персональным данным;

  • осуществляется резервное копирование баз данных, содержащих персональные данные, для возможности их восстановления при модификации или уничтожения вследствие несанкционированного доступа к ним;

  • проводятся периодические внутренние проверки состояния системы защиты персональных данных;

  • произведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства в сфере защиты персональных данных и соотношение причиненного вреда с принятыми мерами;

  • все работники, осуществляющие обработку персональных данных, ознакомлены под роспись с требованиями к защите персональных данных, положениями законодательства Российской Федерации о персональных данных, локальными актами по вопросам обработки персональных данных.

9.  ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ 

9.1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона «О персональных данных», субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных  или его представителя. Указанный срок может быть продлён, но не более чем на рабочих дней.

9.2. В случае, если субъекту персональных данных ранее уже были предоставлены сведения о его персональных данных, то субъект персональных данных вправе повторно обратиться к Оператору для ознакомления со свои сведениями относящимися с персональным данным субъекта персональных данных. Не раннее чем через 30 дней после первоначального обращения.

9.3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. Оператор предоставляет сведения, относящиеся к персональным данным субъекта персональных данных в той же форме, в которой направлено соответствующее обращение либо запрос, если иное не указано в обращении или запросе.

10.  ОТВЕТСТВЕННОСТЬ 

10.1. Лица, виновные в нарушении правил обработки персональных данных и требований к защите персональных, установленных действующим законодательством Российской Федерации и настоящей Политикой, несут ответственность, предусмотренную законодательством Российской Федерации.

11.  ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

11.1. Политика утверждается и вводится в действие приказом Оператора и является обязательной для исполнения всеми работниками, имеющими доступ к персональным данным.

11.2. Иные права и обязанности Оператора, не предусмотренные Политикой, определяются законодательством Российской Федерации в области персональных данных.

11.3. Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных актов по обработке и защите персональных данных.

11.4. Политика, а также любая из ее частей, может быть изменена Оператором без специального уведомления и выплаты какой-либо компенсации в связи с этим. Новая редакция Политики начинает действовать с момента ее размещения на сайте, если иной вариант не предусмотрен новой редакцией Политики.

11.5. Пользователи вправе направить Оператору запросы, предложения или вопросы, которые касаются настоящей Политики, по вышеуказанным адресам.