1. Общие положения

1.1. Положение об обработке и защите персональных данных (далее - Положение) издано и применяется физическим лицом, не имеющего работодателя и не привлекающего наемных работников, применяющим специальный налоговый режим (НПД), Сидоровой Екатериной Владимировной в порядке, установленном положениями Федерального закона от 27.11.2018 № 422-ФЗ «О проведении эксперимента по установлению специального налогового режима «Налог на профессиональный доход» (далее - Оператор), в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее – Закон 152-ФЗ).

Настоящее Положение определяет политику, порядок и условия Оператора в отношении обработки и защиты персональных данных, которые стали доступны Оператору в отношении покупателей или заказчиков и иных лиц в ходе осуществления им предпринимательской деятельности, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой и защитой персональных данных.

Все вопросы, связанные с обработкой и защитой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.

1.2. Целью обработки персональных данных является:

- обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;

- продвижение товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи (допускается в порядке, предусмотренном п. 3.7 настоящего Положения);

1.3. Действие настоящего Положения не распространяется на отношения, возникающие при:

1) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных фондов в соответствии с законодательством об архивном деле в Российской Федерации;

2) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

1.4. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и настоящим Положением.

Обработка организована Оператором на принципах:

- законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;

- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;

- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

- обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;

- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных;

- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

1.5. Способы обработки персональных данных:

- с использованием средств автоматизации;

- без использования средств автоматизации.

1.6. Категории персональных данных. В целях настоящего Положения Оператором осуществляется обработка следующих категорий персональных данных:

1) категория 1: покупатели;

2) категория 2: заказчики;

1.7. В соответствии с поставленными целями и задачами Оператор самостоятельно организует обработку персональных данных указанных категорий лиц с учетом положений ст. 6 Закона 152-ФЗ.

1.7.1. Оператор самостоятельно оформляет и подписывает уведомление, предусмотренное ч. 1 и 3 ст. 22 Закона 152-ФЗ.

1.8. Настоящее Положение и изменения к нему утверждаются единолично Оператором.

1.9. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Закона 152-ФЗ.

1.10. Оператор обеспечивает режим конфиденциальности персональных данных в соответствии с данным Положением и действующим законодательством.

1.11. Контроль за соблюдением Оператором требований законодательства Российской Федерации заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер.

1.12. Оценка вреда, в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Оператором требований Закона 152-ФЗ, определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса Российской Федерации.

1.13. Оператор обязан представить сведения, указанные в ч. 1 ст. 18.1 Закона 152-ФЗ, и (или) иным образом подтвердить принятие мер, указанных в данной статье, по запросу уполномоченного органа по защите прав субъектов персональных данных в течение 10 (десяти) календарных (рабочих) дней.

1.14. Условия обработки персональных данных Оператором:

1) обработка персональных данных осуществляется в объеме, связанном с оказываемыми Оператором услугами при взаимоотношениях с покупателями, заказчиками и иными лицами в рамках предпринимательской деятельности Оператора, с согласия субъекта персональных данных на обработку его персональных данных (п.1. ч.1 ст. 6 Закона 152-ФЗ);

2) обработка персональных данных необходима для достижения целей для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

4) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

5) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";

6) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;

7) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

8) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", при условии обязательного обезличивания персональных данных;

9) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

1.15. Оператор на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом 152-ФЗ.

1.16. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации.

1.17. Информация о персональных данных может вноситься Оператором как в автоматическом режиме - при уточнении, извлечении, использовании и передаче на машиночитаемом носителе информации, так и в ручном режиме - при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

1.18. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах Оператора, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

- определение актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах;

- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах Оператора, необходимых для выполнения требований к защите персональных данных;

- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- применение для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;

- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;

- учет машинных носителей персональных данных;

- обеспечение работоспособного функционирования компьютерной техники с персональными данными в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации;

- обнаружение и регистрация фактов несанкционированного доступа к персональным данным, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных и принятие мер;

- восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

- установление правил доступа к персональным данным, обрабатываемым в информационных системах Оператора, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах Оператора;

- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем.

1.19. Обмен персональными данными при их обработке в информационных системах Оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.

2. Порядок обеспечения оператором прав субъекта персональных данных

2.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.

2.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном гл. 3 и 4 Закона 152-ФЗ.

2.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке ст. ст. 185 и 185.1 Гражданского кодекса Российской Федерации, ч. 2 ст. 53 Гражданского процессуального кодекса Российской Федерации или удостоверенной нотариально согласно ст. 59 Основ законодательства Российской Федерации о нотариате (утв. Верховным Советом Российской Федерации 11.02.1993 N 4462-1).

2.4. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, допускается только при условии предварительного согласия субъекта персональных данных. Согласие может быть устным или письменным.

2.5. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего расположения в рабочее время.

3. Порядок обработки персональных данных

3.1. Цель обработки персональных данных определяет Оператор.

3.2. Запись, систематизация персональных данных осуществляются Оператором.

3.3. В соответствии с поставленными целями и задачами порядок и способ накопления, хранения, уточнения (обновление, изменение) персональных данных осуществляются Оператором.

3.4. В соответствии с поставленными целями и задачами извлечение, использование, передача персональных данных осуществляются Оператором.

3.5. Обезличивание, блокирование, удаление, уничтожение персональных данных осуществляются Оператором по следующей процедуре:

3.5.1. Уничтожение выделенных документов на бумажных носителях осуществляется с помощью бумагорезательной машины путем измельчения документов на куски, гарантирующего невозможность восстановления текста.

3.5.2. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

4. Контроль, ответственность за нарушение или неисполнение положения

4.1. Контроль за исполнением Положения, персональная ответственность за нарушение требований Положения возлагается на Оператора.