ПОЛОЖЕНИЕ О ЗАЩИТЕ И ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение о защите и обработке персональных данных (далее по тексту – Положение) разработано в соответствии с требованиями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Закон о персональных данных), определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных.
1.2. Положение распространяет свое действие на все процессы салона красоты Paul Mitchell (далее – Салон) индивидуального предпринимателя ЕВГРАФОВа МИХАИЛа ЮРЬЕВИЧа (далее по тексту - Оператор), связанные с обработкой персональных данных.
1.3. Положение предоставляет информацию об основных принципах, целях, правовых основаниях, порядке и условиях обработки персональных данных, об их объеме и категориях, а также реализуемых требованиях к их защите.
1.4. Настоящее Положение является общедоступным документом, размещаемым в том числе на официальном сайте Салона в информационно-телекоммуникационной сети «Интернет», неограниченный доступ к которому предоставляется любому заинтересованному лицу.
2. ОСНОВНЫЕ ПОНЯТИЯ.
СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Для целей настоящего Положения используются следующие основные понятия:
· Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
· Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ (п. 1.1. ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
· Оператор – индивидуальный предприниматель ЕВГРАФОВ МИХАИЛ ЮРЬЕВИЧ, самостоятельно осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
· Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
· Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
· Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
· Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц (п. 6 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
· Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) (п. 7 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
· Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (п. 8 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
· Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному лицу (п. 9 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
· Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
· Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://volosy-mechty.ru/;
· Субъект персональных данных - физическое лицо, которое прямо или косвенно определенное с помощью персональных данных:
- клиент;
- пользователь;
- посетители салона красоты;
- работники салона красоты;
· Клиент – физическое лицо, которое заключило или намеревается заключить с ИП ЕВГРАФОВа МИХАИЛа ЮРЬЕВИЧа договор на оказание услуг в салоне красоты Paul Mitchell, персональные данные которого переданы;
· Пользователь – любой посетитель веб-сайта https://volosy-mechty.ru;
· Конфиденциальность персональных данных - режим ограниченного доступа, включающий в себя требование не раскрывать третьим лицам и не допускать распространение персональных данных без согласия на их обработку, разрешенных Субъектом персональных данных для распространения или наличия иного основания согласно действующему законодательству Российской Федерации;
· Ответственное лицо - работник салона красоты Paul Mitchell, назначенный ответственным по вопросам обработки персональных данных;
· Роскомнадзор - уполномоченный орган по защите прав Субъектов персональных данных – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.
3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Под целью обработки понимается конкретный конечный результат действий, совершенных с персональными данными, вытекающий из требований действующего законодательства Российской Федерации либо договорных отношений сторон, и направленный на исполнение требований законодательства Российской Федерации, а также на создание необходимых правовых условий для достижения оптимального учета интересов сторон.
3.2. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.3. Обработка Оператором персональных данных осуществляется в следующих целях:
· Предоставление услуг салоном красоты;
· Оформление записи клиентов салона красоты, в том числе, посредством записи по телефону и заполнения формы на сайте;
· Предоставление ответов на обращения, направленные по электронной почте или посредством заполнения формы на сайте;
· Осуществление деятельности салона красоты, заключение и исполнение договоров с контрагентами;
· Ведение кадрового и бухгалтерского учета;
· Обеспечение соблюдения налогового законодательства РФ;
· Обеспечение соблюдения пенсионного законодательства РФ;
· Обеспечение охраны труда, проведение специальной оценки условий труда, обеспечение экологической безопасности;
· Подбор персонала и ведение кадрового резерва;
· Поддержание и развитие работы сайта https://volosy-mechty.ru/ .
·
4. ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных Оператором осуществляется на основе принципов:
· законности целей и способов обработки персональных данных;
· добросовестности, как оператора персональных данных, что достигается путем выполнения требований законодательства Российской Федерации в отношении обработки персональных данных;
· соответствия состава и объема обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям обработки;
· точности и достаточности, а в необходимых случаях и актуальности персональных данных по отношению к заявленным целям их обработки;
· уничтожения персональных данных по достижении целей обработки способом, исключающим возможность их восстановления (если иное не предусмотрено законодательством Российской Федерации);
· недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4.2. Работники Салона, допущенные к обработке персональных данных, обязаны:
4.2.1. Знать и неукоснительно выполнять положения действующего законодательства Российской Федерации в области персональных данных, настоящего Положения;
4.2.2. Обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
4.2.3. Не разглашать персональные данные, обрабатываемые Оператором;
4.2.4. Сообщать о действиях третьих лиц, которые могут привести к нарушению настоящего Положения, ответственному лицу за организацию обработки персональных данных;
4.2.5. Сообщать об известных фактах нарушения настоящего Положения ответственному лицу за организацию обработки персональных данных;
4.3. Безопасность персональных данных обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) актуальных угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем персональных данных в случае реализации угроз.
5. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ,
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным разделом 2 настоящего Положения. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
5.2. В рамках процессов, охватываемых настоящим Положением, Оператор не обрабатывает биометрические данные, а также персональные данные, относящиеся к специальным категориям (т.е. сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни).
5.3. Салон вправе осуществлять обработку сведений о состоянии здоровья в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», а также п.2.3 ч.2 ст.10 Федерального закона № 152-ФЗ.
6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. В соответствии с требованиями статьи 22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 указанной статьи.
Требования к форме уведомления определены частью 3 статьи 22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
6.2. В зависимости от целей обработки персональных данных, определенных в Приложении №1, обработка персональных данных может осуществляется с использованием средств автоматизации и без использования таких средств путем следующих действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
6.3. Обработка персональных данных осуществляется в соответствии с целями, заранее определенными и заявленными при сборе персональных данных, а также полномочиями, определенными действующим законодательством Российской Федерации и договорными отношениями с клиентами и контрагентами.
6.4. Обработка персональных данных для каждой цели осуществляется путем:
• получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
• внесения персональных данных в журналы, реестры и информационные системы Оператора;
• использования иных способов обработки персональных данных.
Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом для распространения, оформляется отдельно от иных согласий субъекта.
6.5. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
6.6. Обработка персональных данных, осуществляемая без использования средств автоматизации, выполняется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
6.7. Срок обработки и хранения персональных данных для всех целей обработки персональных данных, определенных в Приложении №1, ограничивается сроком необходимости обработки персональных данных, включая требования законодательства Российской Федерации в отношении отдельных видов операций, используемых персональных данных.
6.8. Оператор вправе обрабатывать персональные данные без согласия Субъекта персональных данных (в т.ч. при отзыве Субъектом персональных данных согласия на обработку) при наличии оснований, указанных в ч.2 ст.9 Федерального закона №152-ФЗ.
6.9. В случае отсутствия Согласия Субъекта персональных данных и оснований, указанных в ч.2 ст.9 Федерального закона № 152-ФЗ обработка персональных данных не осуществляется.
6.10. Право доступа к персональным данным Субъектов персональных данных на бумажных и электронных носителях имеют работники Оператора в соответствии с их должностными обязанностями.
7. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок их хранения не установлен Федеральным законом №152-ФЗ. Конкретные сроки обработки и хранения персональных данных указаны в Приложении № 1 к настоящему Положению.
7.2. В случае обработки персональных данных, осуществляемой без использования средств автоматизации, Оператор обеспечивает раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
7.3. При определении сроков хранения персональных данных Салон исходит из требований:
• Трудового кодекса Российской Федерации;
• Законодательства о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
• Законодательства о бухгалтерском учете;
• Гражданского законодательства;
• иных нормативно - правовых актов в области персональных данных.
7.3.1. В случае если в согласии Субъекта на обработку персональных данных указаны более длительные сроки хранения, чем сроки, установленные действующим законодательством Российской Федерации, хранение персональных данных осуществляется в соответствии с согласием Субъекта в течение указанного в нем срока.
7.3.2. В случае решения Субъекта об отзыве согласия на обработку его персональных данных, Оператору направляется соответствующее заявление, содержащее персональные данные Субъекта, данные документа, удостоверяющего личность и подпись Субъекта.
7.3.3. Персональные данные, неиспользуемые в операционной деятельности Оператора, и цель обработки которых не достигнута, могут быть переведены на архивное хранение с соблюдением всех необходимых требований, предусмотренных Федеральным законом №125-ФЗ, Приказом Росархива №236 и иными нормативными актами в сфере организации хранения, комплектования, учета и использования архивных документов.
7.3.4. Архивирование документов, содержащих персональные данные, осуществляется в установленном законом порядке. Обязательным условием архивирования персональных данных является обеспечение их конфиденциальности и безопасности.
7.4. Субъект имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
• правовые основания и цели обработки персональных данных;
• подтверждение факта обработки персональных данных;
• цели и применяемые Оператором способы обработки персональных данных;
• наименование и место нахождения Оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему Субъекту, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления Субъектом прав, предусмотренных Федеральным законом №152-ФЗ;
• иные сведения, предусмотренные Федеральным законом №152-ФЗ или другими федеральными законами.
7.5. Субъект вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.6. Оператор вправе отказать в предоставлении информации Субъекту при обращении. При этом Оператор обязан дать в письменной форме мотивированный отказ в срок, установленный ч.2. ст.20 Федерального закона №152-ФЗ. Отказ возможен в следующих случаях если:
• право Субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством Российской Федерации, в том числе, если:
▪ обработка персональных данных осуществляется в соответствии с действующим законодательством Российской Федерации о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
▪ доступ Субъекта к его персональным данным нарушает права и законные интересы третьих лиц;
• в иных случаях, предусмотренных частью 8 статьи 14 Федерального закона №152-ФЗ.
7.7. Субъекты персональных данных несут ответственность за предоставление Оператору достоверных сведений, а также за своевременное обновление предоставленных данных в случае каких-либо изменений.
7.8. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию в следующих случаях, если иное не предусмотрено соглашением между Оператором и Субъектом:
• Достижение целей обработки персональных данных;
• В случае утраты необходимости в достижении целей обработки персональных данных, если иное не предусмотрено Федеральным законом №152-ФЗ;
• Истечение срока действия согласия или отзыв согласия Субъектом;
• Выявление неправомерной обработки персональных данных.
7.9. В случае автоматизированной обработки, персональные данные уничтожаются путем удаления из баз данных, полей электронных форм документов и информационной системы персональных данных. В случае обработки персональных данных без использования средств автоматизации, персональные данные уничтожаются путем измельчения бумаги.
7.10. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в ч.6 ст.21 Федерального закона №152-ФЗ, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен законодательством Российской Федерации.
8. БЕЗОПАСНОСТЬ И ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Оператор принимает меры для защиты персональных данных от утери, неправильного использования, несанкционированного доступа, раскрытия, изменения, уничтожения в объеме, предусмотренном применимым законодательством.
Защита персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для выполнения требований законодательства в области защиты персональных данных. Среди прочего Оператор предпринимает следующие меры:
- Назначение лица, ответственного за организацию обработки персональных данных;
- Издание Положения о защите и обработке персональных данных;
- Внедрение порядка ознакомления работников Оператора с положениями законодательства и локальными актами по вопросам персональных данных; возложение на работников обязательств о неразглашении персональных данных;
- Осуществление контроля соответствия обработки персональных данных законодательству, требованиям к защите персональных данных, политике Оператора и локальным актам в отношении обработки персональных данных;
- Конкретизация перечня и порядка применения правовых, организационных и технических мер по обеспечению безопасности персональных данных (разработка типовых форм согласия на обработку персональных данных и поручения на обработку персональных данных; определение перечня лиц, имеющих доступ к персональным данным, обрабатываемых в информационных системах персональных данных; определение мест хранения и др.).
- Опубликование политики обработки персональных данных на страницах сайта Оператора в сети «Интернет», с использованием которых осуществляется сбор персональных данных.
- Определение порядка действий в связи с различными обращениями / запросами субъектов персональных данных и их представителями.
9. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Контроль исполнения требований настоящего Положения осуществляется ответственным лицом за организацию обработки персональных данных.
9.2. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
9.3. Моральный вред, причиненный Субъекту вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к защите персональных данных, установленных Федеральным законом от 27.07.2006 № 152-ФЗ, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником убытков.
10. РЕКВИЗИТЫ ОПЕРАТОРА
Индивидуальный предприниматель ЕВГРАФОВ МИХАИЛ ЮРЬЕВИЧ
ИНН 781698589471
ОГРНИП 325784700073886
Телефон: +7 (981) 289-47-64
11. ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ
7.1 Действующая Политика конфиденциальности размещена на странице по адресу: volosy-mechty.ru/privacy-policy
7.2. Все предложения или вопросы по настоящей Политике конфиденциальности следует направлять на адрес электронной почты: Paul Mitchell.beauty@yandex.ru
1.1. Настоящее Положение о защите и обработке персональных данных (далее по тексту – Положение) разработано в соответствии с требованиями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Закон о персональных данных), определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных.
1.2. Положение распространяет свое действие на все процессы салона красоты Paul Mitchell (далее – Салон) индивидуального предпринимателя ЕВГРАФОВа МИХАИЛа ЮРЬЕВИЧа (далее по тексту - Оператор), связанные с обработкой персональных данных.
1.3. Положение предоставляет информацию об основных принципах, целях, правовых основаниях, порядке и условиях обработки персональных данных, об их объеме и категориях, а также реализуемых требованиях к их защите.
1.4. Настоящее Положение является общедоступным документом, размещаемым в том числе на официальном сайте Салона в информационно-телекоммуникационной сети «Интернет», неограниченный доступ к которому предоставляется любому заинтересованному лицу.
2. ОСНОВНЫЕ ПОНЯТИЯ.
СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Для целей настоящего Положения используются следующие основные понятия:
· Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
· Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ (п. 1.1. ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
· Оператор – индивидуальный предприниматель ЕВГРАФОВ МИХАИЛ ЮРЬЕВИЧ, самостоятельно осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
· Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
· Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
· Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
· Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц (п. 6 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
· Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) (п. 7 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
· Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (п. 8 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
· Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному лицу (п. 9 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
· Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
· Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://volosy-mechty.ru/;
· Субъект персональных данных - физическое лицо, которое прямо или косвенно определенное с помощью персональных данных:
- клиент;
- пользователь;
- посетители салона красоты;
- работники салона красоты;
· Клиент – физическое лицо, которое заключило или намеревается заключить с ИП ЕВГРАФОВа МИХАИЛа ЮРЬЕВИЧа договор на оказание услуг в салоне красоты Paul Mitchell, персональные данные которого переданы;
· Пользователь – любой посетитель веб-сайта https://volosy-mechty.ru;
· Конфиденциальность персональных данных - режим ограниченного доступа, включающий в себя требование не раскрывать третьим лицам и не допускать распространение персональных данных без согласия на их обработку, разрешенных Субъектом персональных данных для распространения или наличия иного основания согласно действующему законодательству Российской Федерации;
· Ответственное лицо - работник салона красоты Paul Mitchell, назначенный ответственным по вопросам обработки персональных данных;
· Роскомнадзор - уполномоченный орган по защите прав Субъектов персональных данных – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.
3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Под целью обработки понимается конкретный конечный результат действий, совершенных с персональными данными, вытекающий из требований действующего законодательства Российской Федерации либо договорных отношений сторон, и направленный на исполнение требований законодательства Российской Федерации, а также на создание необходимых правовых условий для достижения оптимального учета интересов сторон.
3.2. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.3. Обработка Оператором персональных данных осуществляется в следующих целях:
· Предоставление услуг салоном красоты;
· Оформление записи клиентов салона красоты, в том числе, посредством записи по телефону и заполнения формы на сайте;
· Предоставление ответов на обращения, направленные по электронной почте или посредством заполнения формы на сайте;
· Осуществление деятельности салона красоты, заключение и исполнение договоров с контрагентами;
· Ведение кадрового и бухгалтерского учета;
· Обеспечение соблюдения налогового законодательства РФ;
· Обеспечение соблюдения пенсионного законодательства РФ;
· Обеспечение охраны труда, проведение специальной оценки условий труда, обеспечение экологической безопасности;
· Подбор персонала и ведение кадрового резерва;
· Поддержание и развитие работы сайта https://volosy-mechty.ru/ .
·
4. ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных Оператором осуществляется на основе принципов:
· законности целей и способов обработки персональных данных;
· добросовестности, как оператора персональных данных, что достигается путем выполнения требований законодательства Российской Федерации в отношении обработки персональных данных;
· соответствия состава и объема обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям обработки;
· точности и достаточности, а в необходимых случаях и актуальности персональных данных по отношению к заявленным целям их обработки;
· уничтожения персональных данных по достижении целей обработки способом, исключающим возможность их восстановления (если иное не предусмотрено законодательством Российской Федерации);
· недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4.2. Работники Салона, допущенные к обработке персональных данных, обязаны:
4.2.1. Знать и неукоснительно выполнять положения действующего законодательства Российской Федерации в области персональных данных, настоящего Положения;
4.2.2. Обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
4.2.3. Не разглашать персональные данные, обрабатываемые Оператором;
4.2.4. Сообщать о действиях третьих лиц, которые могут привести к нарушению настоящего Положения, ответственному лицу за организацию обработки персональных данных;
4.2.5. Сообщать об известных фактах нарушения настоящего Положения ответственному лицу за организацию обработки персональных данных;
4.3. Безопасность персональных данных обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) актуальных угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем персональных данных в случае реализации угроз.
5. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ,
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным разделом 2 настоящего Положения. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
5.2. В рамках процессов, охватываемых настоящим Положением, Оператор не обрабатывает биометрические данные, а также персональные данные, относящиеся к специальным категориям (т.е. сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни).
5.3. Салон вправе осуществлять обработку сведений о состоянии здоровья в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», а также п.2.3 ч.2 ст.10 Федерального закона № 152-ФЗ.
6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. В соответствии с требованиями статьи 22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 указанной статьи.
Требования к форме уведомления определены частью 3 статьи 22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
6.2. В зависимости от целей обработки персональных данных, определенных в Приложении №1, обработка персональных данных может осуществляется с использованием средств автоматизации и без использования таких средств путем следующих действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
6.3. Обработка персональных данных осуществляется в соответствии с целями, заранее определенными и заявленными при сборе персональных данных, а также полномочиями, определенными действующим законодательством Российской Федерации и договорными отношениями с клиентами и контрагентами.
6.4. Обработка персональных данных для каждой цели осуществляется путем:
• получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
• внесения персональных данных в журналы, реестры и информационные системы Оператора;
• использования иных способов обработки персональных данных.
Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом для распространения, оформляется отдельно от иных согласий субъекта.
6.5. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
6.6. Обработка персональных данных, осуществляемая без использования средств автоматизации, выполняется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
6.7. Срок обработки и хранения персональных данных для всех целей обработки персональных данных, определенных в Приложении №1, ограничивается сроком необходимости обработки персональных данных, включая требования законодательства Российской Федерации в отношении отдельных видов операций, используемых персональных данных.
6.8. Оператор вправе обрабатывать персональные данные без согласия Субъекта персональных данных (в т.ч. при отзыве Субъектом персональных данных согласия на обработку) при наличии оснований, указанных в ч.2 ст.9 Федерального закона №152-ФЗ.
6.9. В случае отсутствия Согласия Субъекта персональных данных и оснований, указанных в ч.2 ст.9 Федерального закона № 152-ФЗ обработка персональных данных не осуществляется.
6.10. Право доступа к персональным данным Субъектов персональных данных на бумажных и электронных носителях имеют работники Оператора в соответствии с их должностными обязанностями.
7. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок их хранения не установлен Федеральным законом №152-ФЗ. Конкретные сроки обработки и хранения персональных данных указаны в Приложении № 1 к настоящему Положению.
7.2. В случае обработки персональных данных, осуществляемой без использования средств автоматизации, Оператор обеспечивает раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
7.3. При определении сроков хранения персональных данных Салон исходит из требований:
• Трудового кодекса Российской Федерации;
• Законодательства о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
• Законодательства о бухгалтерском учете;
• Гражданского законодательства;
• иных нормативно - правовых актов в области персональных данных.
7.3.1. В случае если в согласии Субъекта на обработку персональных данных указаны более длительные сроки хранения, чем сроки, установленные действующим законодательством Российской Федерации, хранение персональных данных осуществляется в соответствии с согласием Субъекта в течение указанного в нем срока.
7.3.2. В случае решения Субъекта об отзыве согласия на обработку его персональных данных, Оператору направляется соответствующее заявление, содержащее персональные данные Субъекта, данные документа, удостоверяющего личность и подпись Субъекта.
7.3.3. Персональные данные, неиспользуемые в операционной деятельности Оператора, и цель обработки которых не достигнута, могут быть переведены на архивное хранение с соблюдением всех необходимых требований, предусмотренных Федеральным законом №125-ФЗ, Приказом Росархива №236 и иными нормативными актами в сфере организации хранения, комплектования, учета и использования архивных документов.
7.3.4. Архивирование документов, содержащих персональные данные, осуществляется в установленном законом порядке. Обязательным условием архивирования персональных данных является обеспечение их конфиденциальности и безопасности.
7.4. Субъект имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
• правовые основания и цели обработки персональных данных;
• подтверждение факта обработки персональных данных;
• цели и применяемые Оператором способы обработки персональных данных;
• наименование и место нахождения Оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему Субъекту, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления Субъектом прав, предусмотренных Федеральным законом №152-ФЗ;
• иные сведения, предусмотренные Федеральным законом №152-ФЗ или другими федеральными законами.
7.5. Субъект вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.6. Оператор вправе отказать в предоставлении информации Субъекту при обращении. При этом Оператор обязан дать в письменной форме мотивированный отказ в срок, установленный ч.2. ст.20 Федерального закона №152-ФЗ. Отказ возможен в следующих случаях если:
• право Субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством Российской Федерации, в том числе, если:
▪ обработка персональных данных осуществляется в соответствии с действующим законодательством Российской Федерации о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
▪ доступ Субъекта к его персональным данным нарушает права и законные интересы третьих лиц;
• в иных случаях, предусмотренных частью 8 статьи 14 Федерального закона №152-ФЗ.
7.7. Субъекты персональных данных несут ответственность за предоставление Оператору достоверных сведений, а также за своевременное обновление предоставленных данных в случае каких-либо изменений.
7.8. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию в следующих случаях, если иное не предусмотрено соглашением между Оператором и Субъектом:
• Достижение целей обработки персональных данных;
• В случае утраты необходимости в достижении целей обработки персональных данных, если иное не предусмотрено Федеральным законом №152-ФЗ;
• Истечение срока действия согласия или отзыв согласия Субъектом;
• Выявление неправомерной обработки персональных данных.
7.9. В случае автоматизированной обработки, персональные данные уничтожаются путем удаления из баз данных, полей электронных форм документов и информационной системы персональных данных. В случае обработки персональных данных без использования средств автоматизации, персональные данные уничтожаются путем измельчения бумаги.
7.10. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в ч.6 ст.21 Федерального закона №152-ФЗ, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен законодательством Российской Федерации.
8. БЕЗОПАСНОСТЬ И ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Оператор принимает меры для защиты персональных данных от утери, неправильного использования, несанкционированного доступа, раскрытия, изменения, уничтожения в объеме, предусмотренном применимым законодательством.
Защита персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для выполнения требований законодательства в области защиты персональных данных. Среди прочего Оператор предпринимает следующие меры:
- Назначение лица, ответственного за организацию обработки персональных данных;
- Издание Положения о защите и обработке персональных данных;
- Внедрение порядка ознакомления работников Оператора с положениями законодательства и локальными актами по вопросам персональных данных; возложение на работников обязательств о неразглашении персональных данных;
- Осуществление контроля соответствия обработки персональных данных законодательству, требованиям к защите персональных данных, политике Оператора и локальным актам в отношении обработки персональных данных;
- Конкретизация перечня и порядка применения правовых, организационных и технических мер по обеспечению безопасности персональных данных (разработка типовых форм согласия на обработку персональных данных и поручения на обработку персональных данных; определение перечня лиц, имеющих доступ к персональным данным, обрабатываемых в информационных системах персональных данных; определение мест хранения и др.).
- Опубликование политики обработки персональных данных на страницах сайта Оператора в сети «Интернет», с использованием которых осуществляется сбор персональных данных.
- Определение порядка действий в связи с различными обращениями / запросами субъектов персональных данных и их представителями.
9. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Контроль исполнения требований настоящего Положения осуществляется ответственным лицом за организацию обработки персональных данных.
9.2. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
9.3. Моральный вред, причиненный Субъекту вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к защите персональных данных, установленных Федеральным законом от 27.07.2006 № 152-ФЗ, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником убытков.
10. РЕКВИЗИТЫ ОПЕРАТОРА
Индивидуальный предприниматель ЕВГРАФОВ МИХАИЛ ЮРЬЕВИЧ
ИНН 781698589471
ОГРНИП 325784700073886
Телефон: +7 (981) 289-47-64
11. ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ
7.1 Действующая Политика конфиденциальности размещена на странице по адресу: volosy-mechty.ru/privacy-policy
7.2. Все предложения или вопросы по настоящей Политике конфиденциальности следует направлять на адрес электронной почты: Paul Mitchell.beauty@yandex.ru