Положение об обработке и защите персональных данных

 

Настоящее Положение об обработке и защите персональных данных (далее – "Положение") разработано в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Федеральный закон "О персональных данных"), иных федеральных законов, регулирующих вопросы обработки персональных данных, а также принятых во их исполнение подзаконных нормативных правовых актов и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые Индивидуальным предпринимателем Воробьевой Анастасией Юрьевной в рамках организации работы Коворкинг-центра "ЛЮДИ УЧАТ" (далее — "Оператор").
 
1. Общие положения 
1.1. В Положении устанавливаются:
·         цель, порядок и условия обработки персональных данных;
·         категории субъектов, персональные данные которых обрабатываются, категории (перечни) обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований;
·         положения, касающиеся защиты персональных данных.
1.2. В Положении используются термины и определения в соответствии с их значениями, определенными в Законе о персональных данных.
1.3. Положение вступает в силу с момента его утверждения и действует до его отмены или до введения нового Положения.

2. Категории субъектов персональных данных
2.1. К субъектам, персональные данные которых обрабатываются в соответствии с Положением, относятся Заказчики услуг по Договору публичной оферты на оказание услуг коворкинг-центра "ЛЮДИ УЧАТ".
 
3. Цели обработки персональных данных, категории (перечни) обрабатываемых персональных данных
3.1. Обработка персональных данных преследует следующую цель: подготовка к заключению, исполнению, расторжению Договора на оказание услуг и/или комплекса услуг, предоставляемых Оператором.
3.2. В соответствии с целью, указанной в п. 3.1 Положения, Оператор обрабатывает следующие персональные данные:
·         фамилия, имя, отчество (при наличии);
·         номер контактного телефона;
·         адрес электронной почты;
·         иные данные в случае указания их Заказчиком.
3.3. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
 
4.1. До начала обработки персональных данных Оператор обязан уведомить Роскомнадзор о намерении осуществлять обработку персональных данных.
4.2. Правовым основанием обработки персональных данных является исполнение Договора публичной оферты на оказание услуг коворкинг-центра "ЛЮДИ УЧАТ", заключенного с Заказчиками.
4.3. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением.
4.4. Обработка персональных данных в Обществе выполняется следующими способами:
·         неавтоматизированная обработка персональных данных;
·         автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
·         смешанная обработка персональных данных.
4.5. Обработка персональных данных Оператором осуществляется с согласия субъекта персональных данных на обработку его персональных данных (Приложение № 1), если иное не предусмотрено законодательством в области персональных данных.
4.5.1. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных. Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных (Приложение № 2).
4.6. Оператор не осуществляет трансграничную передачу персональных данных и обработку биометрических персональных данных.
4.7. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, передачи.
4.7.1. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных Оператором осуществляются посредством:
·             создания документов, содержащих персональные данные, на бумажных и электронных носителях;
·             внесения персональных данных в информационные системы персональных данных.
4.8. Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Положением.
 
5. Сроки обработки и хранения персональных данных
5.1. Обработка персональных данных Оператором прекращается в следующих случаях:
·             при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение трех рабочих дней с даты выявления такого факта;
·             при достижении целей их обработки;
·             по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
·             при обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных. Срок прекращения обработки - не более 10 рабочих дней с даты получения требования.
5.2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.
5.3. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
 
6. Порядок блокирования и уничтожения персональных данных
6.1. Оператор блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.
6.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются.
6.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
6.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления факта неправомерной обработки.
6.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки.
6.6. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку.
6.7. Уничтожение персональных данных осуществляет Оператор.
6.7.1. Персональные данные уничтожаются с использованием шредера или путем удаления из информационных систем с помощью встроенных средств информационной системы.
6.7.2. Оператор подтверждает уничтожение персональных данных, указанных в п. п. 6.4, 6.5, 6.6 Положения, согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 N 179, а именно:
·             актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных - если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.
Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.
6.7.3. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.
 
7.1. С целью защиты персональных данных Оператором утверждаются:
·             форма согласия на обработку персональных данных (Приложение № 1), форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения (Приложение № 2);
7.2. В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней. Оператор уведомляет в письменном виде субъекта персональных данных (его представителя) о внесенных изменениях и сообщает (по электронной почте) о них третьим лицам, которым были переданы персональные данные.
7.4. Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ. Помещения Оператора, в которых они размещаются, оборудуются запирающими устройствами. Выдача ключей от шкафов и помещений осуществляется под подпись.
7.5. Доступ к персональной информации, содержащейся в информационных системах Оператора, осуществляется по индивидуальным паролям.
7.6. Оператор используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
7.9. Оператором проводятся внутренние расследования в следующих ситуациях:
при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
в иных случаях, предусмотренных законодательством в области персональных данных.
7.10. Оператор осуществляет внутренний контроль:
за соблюдением требований законодательства в области персональных данных, локальных нормативных актов;
соответствием указанных актов требованиям законодательства в области персональных данных.
Внутренний контроль проходит в виде внутренних проверок.
7.10.1. Внутренние плановые проверки осуществляются на основании ежегодного плана.
7.10.2. Внутренние внеплановые проверки осуществляются по решению Оператора. Основанием для них служит информация о нарушении законодательства в области персональных данных, поступившая в устном или письменном виде.
Если выявлены нарушения, в документе приводится перечень мероприятий по их устранению и соответствующие сроки.
7.11. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент).
7.11.1. В случае инцидента Общество в течение 24 часов уведомляет Роскомнадзор:
об инциденте;
его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;
принятых мерах по устранению последствий инцидента;
представителе Оператора, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.
При направлении уведомления нужно руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 N 187.
7.11.2. В течение 72 часов Общество обязано сделать следующее:
уведомить Роскомнадзор о результатах внутреннего расследования;
предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).
При направлении уведомления также необходимо руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 N 187.
7.12. Оператор уведомляет субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных. Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос.
7.12.1. В случае уничтожения персональных данных, которые обрабатывались неправомерно, уведомление направляется в соответствии с п. 7.12. Положения.
7.12. В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Оператор уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде. Оператор уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.
 
8. Ответственность за нарушение норм, регулирующих обработку персональных данных
8.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
8.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
 
 

 

Политика обработки персональных данных

Политика обработки персональных данных разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Федеральный закон "О персональных данных") и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые Индивидуальным предпринимателем Воробьевой Анастасией Юрьевной в рамках организации работы Коворкинг-центра "ЛЮДИ УЧАТ" (далее — "Оператор").
1. К субъектам, персональные данные которых обрабатываются относятся Заказчики услуг по Договору публичной оферты на оказание услуг коворкинг-центра "ЛЮДИ УЧАТ".
2.Обработка персональных данных преследует следующую цель: подготовка к заключению, исполнению, расторжению Договора на оказание услуг и/или комплекса услуг, предоставляемых Оператором.
3. Правовым основанием обработки персональных данных является исполнение Договора публичной оферты на оказание услуг коворкинг-центра "ЛЮДИ УЧАТ", заключенного с Заказчиками.
4. В соответствии с целью, указанной в п. 2 Политики, Оператор обрабатывает следующие персональные данные:
·         фамилия, имя, отчество (при наличии);
·         номер контактного телефона;
·         адрес электронной почты;
·         иные данные в случае указания их Заказчиком.
5. Обработка персональных данных в Обществе выполняется следующими способами:
·         неавтоматизированная обработка персональных данных;
·         автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
·         смешанная обработка персональных данных.
6. Оператор не осуществляет трансграничную передачу персональных данных и обработку биометрических персональных данных.
7. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки.
8. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку.
9. Персональные данные уничтожаются с использованием шредера или путем удаления из информационных систем с помощью встроенных средств информационной системы.
10. Проставляя галочку в соответствующих формах на Сайте, Заказчик дает Оператору свое конкретное, предметное, информированное, сознательное и однозначное согласие на обработку своих персональных данных на условиях, предусмотренных настоящей Политикой и Федеральным законом от 27.07.2006 г. № 152-ФЗ "О персональных данных".
           11. Заказчик вправе в любое время отозвать согласие на обработку его персональных данных путем направления письменного заявления по адресу: 420005, г. Москва, ул. Достоевского д. 1/21, с.1, калитка/ворота 4.
           12. Оператор использует на Сайте Файлы cookie:
           Персональные данные, обрабатываемые с помощью Файлов cookie, не относятся к специальным или биометрическим;
           Правовое основание: согласие на обработку персональных данных путем совершения конклюдентных действий - продолжением пользования Сайтом;       
           Способ обработки персональных данных: автоматизированный;
           Порядок уничтожения: удаление из информационных систем с помощью встроенных средств информационной системы;
           Пользователь может отозвать согласие на сбор Файлов cookie путем изменения настроек браузера. Изменения пользовательских настроек, в результате которых файлы Cookies будут заблокированы, могут привести к недоступности отдельных компонентов Сайта.
           13. Оператор оставляет за собой право изменять настоящую Политику без предварительного уведомления.
 
Приложение № 1   Согласие на обработку персональных данных 
           Я, ________________, соглашаясь с Договором на оказание услуг коворкинг-центра "ЛЮДИ УЧАТ", в соответствии с Федеральным законом № 152-ФЗ "О персональных данных" даю свое согласие Индивидуальному предпринимателю Воробьевой Анастасии Юрьевне на предпринимаемые в рамках организации работы Коворкинг-центра "ЛЮДИ УЧАТ" (далее — "Оператор") действия по обработке (с целью подготовки к заключению, исполнению, расторжению договора на оказание услуг и/или комплекса услуг, предоставляемых Оператором) следующих моих персональных данных:
·         фамилия, имя, отчество (при наличии);
·         номер контактного телефона;
·         адрес электронной почты;
·         иные данные в случае указания их Заказчиком.
 
 
    Приложение № 2   Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения 
           Я, ________________, соглашаясь с Договором на оказание услуг коворкинг-центра "ЛЮДИ УЧАТ", в соответствии с Федеральным законом № 152-ФЗ "О персональных данных" даю свое согласие Индивидуальному предпринимателю Воробьевой Анастасии Юрьевне на предпринимаемые в рамках организации работы Коворкинг-центра "ЛЮДИ УЧАТ" (далее — "Оператор") действия по распространению (с целью подготовки к заключению, исполнению, расторжению договора на оказание услуг и/или комплекса услуг, предоставляемых Оператором) следующих моих персональных данных:
·         фамилия, имя, отчество (при наличии);
·         номер контактного телефона;
·         адрес электронной почты;
·         иные данные в случае указания их Заказчиком.
 
  
 
 
  
 
 
 
 
 
 

Приложение № 3План

внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

 
      План внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных на ___________ год содержит перечень внутренних проверок, сроки их исполнения и исполнителей.