Индивидуальный предприниматель
Шарнова Наталия Алексеевна
ОГРНИП 322774600024674, ИНН 771555213001


УТВЕРЖДАЮ 
Индивидуальный предприниматель
Шарнова Наталия Алексеевна
______________/Н.А. Шарнова
(подпись) 
«____»______________ 2025 г.


Положение об обработке и защите персональных данных
 
1. Общие положения

1.1. Положение об обработке и защите персональных данных (далее – Положение) издано и применяется индивидуальным предпринимателем Шарновой Наталией Алексеевной (далее – Оператор) в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). 
Настоящее Положение определяет политику, порядок и условия Оператора в отношении обработки и защиты персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой и защитой персональных данных. 
Все вопросы, связанные с обработкой и защитой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных. 
1.2. Целью обработки персональных данных является: 
– обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну; 
– продвижение товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи (допускается в порядке, предусмотренном п. 3.7 настоящего Положения), в том числе осуществление звонков, информирование Пользователя посредством отправки электронных писем и сообщений, подготовка, направление, изменение коммерческих предложений, направление сервисных и информационных сообщений, проведение исследований;
— информирование Пользователя посредством отправки электронных писем и сообщений;
— заключение, исполнение, изменение и расторжение договоров с контрагентами; 
— проведение и участие в коммерческих, финансовых, юридических переговорах, направленных на заключение, исполнение, изменение или расторжение любых не запрещенных действующим законодательством договоров;
— подготовка, направление, изменение коммерческих предложений; 
— продвижение товаров и услуг;
— предоставление доступа Пользователю к веб-сайту Оператора, и его сервисным возможностям;
— направление сервисных сообщений;
— направление информационных сообщений от Оператора;
— проведение исследований;
— осуществление звонков.
1.3. Действие настоящего Положения не распространяется на отношения, возникающие при: 
1) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных фондов в соответствии с законодательством об архивном деле в Российской Федерации; 
2) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну. 
1.4. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Законом № 152-ФЗ и настоящим Положением. 
Обработка организована Оператором на принципах: 
– законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора; 
– ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей; 
– достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных; 
– обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных; 
– соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки; 
– недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой; 
– обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных; 
– хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Оператор обязан прекратить обработку и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки, если иной срок не предусмотрен договором или федеральным законом.
1.5. Способы обработки персональных данных: 
– с использованием средств автоматизации; 
– без использования средств автоматизации;
– смешанный.
1.6. Категории персональных данных. В информационных системах Оператора осуществляется обработка следующих категорий персональных данных:
- ФИО;
- дата и место рождения;
- данные документа, удостоверяющего личность;
- СНИЛС;
- ИНН;
- гражданство;
- адрес места жительства;
- адрес регистрации;
- вид деятельности;
- образование;
- воинская обязанность;
- профессия, доходы;
- e-mail;
- номер телефона;
- файлы cookie.
1.7. В соответствии с поставленными целями и задачами ответственным за организацию обработки персональных данных является сам Оператор. 
1.8. Настоящее Положение и изменения к нему утверждаются решением Оператора. 
1.9. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Закона № 152-ФЗ.
1.10. Оператор обеспечивает режим конфиденциальности персональных данных.
1.11. Оценка вреда, в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Оператором требований Закона № 152-ФЗ, определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса Российской Федерации, а также в соответствии с требованиями и методикой, установленной уполномоченным органом по защите прав субъектов персональных данных (Роскомнадзором), в соответствии с п. 5 ч. 1 ст. 18.1 Закона № 152-ФЗ.
1.12. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Оператору сайта в информационно-телекоммуникационной сети Интернет, с использованием которых осуществляется сбор персональных данных, настоящее Положение и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к настоящему Положению с использованием средств соответствующей информационно-телекоммуникационной сети.
1.13. Оператор обязан представить документы и локальные акты, указанные в ч. 1 ст. 18.1 Закона № 152-ФЗ, и (или) иным образом подтвердить принятие мер, указанных в ч. 1 ст. 18.1 Закона № 152-ФЗ, по запросу уполномоченного органа по защите прав субъектов персональных данных в течение 3 (трех) рабочих дней.
1.14. Условия обработки персональных данных Оператором: 
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; 
3) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных; 
4) обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; 
5) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Закона № 152-ФЗ, при условии обязательного обезличивания персональных данных; 
6) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
1.15. Оператор на основании договора может поручить обработку персональных данных третьему лицу, при условии наличия права у данного лица на обработку персональных данных, обязанности соблюдать принципы и правила обработки персональных данных, предусмотренные Законом № 152-ФЗ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом № 152-ФЗ. Такая передача возможна при условии обязательного получения отдельного согласия субъекта на передачу его персональных данных третьему лицу.
Оператор несет ответственность перед субъектом персональных данных за действия лица, осуществляющего обработку по его поручению.
1.16. Хранение персональных данных осуществляется с соблюдением правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
1.17. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации.
2. Порядок обработки персональных данных
2.1. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах Оператора, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности: 
- обеспечение работоспособного функционирования компьютерной техники с персональными данными в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации; 
- обнаружение и регистрация фактов несанкционированного доступа к персональным данным, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных и принятие мер; 
- восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним. 
2.2. Оператор обеспечивает: 
- своевременное обнаружение фактов несанкционированного доступа к персональным данным; 
- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование; 
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
2.3. Оператор принимает все необходимые меры по восстановлению персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.
2.4. Оператор разрабатывает и утверждает в качестве отдельного локального акта «Акт определения уровня защищенности персональных данных».

3. Порядок обеспечения оператором прав субъекта
персональных данных

3.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Законом № 152-ФЗ и другими нормативно-правовыми актами, регламентирующими обработку персональных данных. 
3.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном гл. 3 и 4 Закона № 152-ФЗ. 
3.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке ст. ст. 185 и 185.1 Гражданского кодекса Российской Федерации, ч. 2 ст. 53 Гражданского процессуального кодекса Российской Федерации или удостоверенной нотариально согласно ст. 59 Основ законодательства Российской Федерации о нотариате (утв. Верховным Советом Российской Федерации 11.02.1993 № 4462-1). Копия доверенности представителя хранится Оператором не менее трех лет, а в случае, если срок хранения персональных данных больше трех лет, - не менее срока хранения персональных данных. 
3.4. Сведения, указанные в ч. 7 ст. 14 Закона № 152-ФЗ, предоставляются субъекту персональных данных Оператором в доступной форме без персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных, в электронном виде. По требованию субъекта персональных данных они могут быть продублированы на бумаге.
3.5. Сведения, указанные в ч. 7 ст. 14 Закона № 152-ФЗ, предоставляются субъекту персональных данных или его представителю Оператором в течение 10 (десяти) рабочих дней с момента обращения либо получения Оператором запроса субъекта персональных данных или его представителя. 
3.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами. 
3.7. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных.
3.8. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 Закона № 152-ФЗ. 
3.9. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего расположения в рабочее время. 
3.10. Оператор в течение 10 (десяти) дней с момента исправления или уничтожения персональных данных по требованию субъекта персональных данных или его представителя обязан уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы. 
Формы уведомлений, предусмотренных ч. 1, 4.1 и 7 ст. 22 Закона № 152-ФЗ, устанавливаются уполномоченным органом по защите прав субъектов персональных данных. 
3.11. При трансграничной передаче персональных данных их перевод на другие языки осуществляется в порядке, согласованном Оператором с иностранным контрагентом.
Перед осуществлением трансграничной передачи персональных данных Оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о намерении осуществлять такую передачу. Уведомление должно содержать сведения, предусмотренные ч. 3 ст. 12 Закона № 152-ФЗ (страны, наименования получателей, цели и категории данных). Оператор осуществляет трансграничную передачу только после отсутствия запрета со стороны Роскомнадзора в установленный срок.

4. Порядок обработки персональных данных

4.1. Цель обработки персональных данных определяет Оператор. 
4.2. В соответствии с поставленными целями и задачами накопление, хранение, уточнение (обновление, изменение) персональных данных осуществляются лично Оператором. 
4.3. В соответствии с поставленными целями и задачами извлечение, использование, передача (распространение, предоставление, доступ) персональных данных осуществляются лично Оператором. 
4.4. Обезличивание, блокирование, удаление, уничтожение персональных данных осуществляются лично Оператором.
Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
Оператор обязан фиксировать факт уничтожения персональных данных в Акте об уничтожении персональных данных в соответствии с требованиями, установленными уполномоченным органом.

5. Контроль за исполнением положения

5.1. Оператор лично осуществляет контроль за соблюдением Положения.