Политика организации обработки и обеспечении безопасности персональных данных ИП Кондрюкова А.В.

(утверждена Приказом № _____ от ____________ 2025 г.)



г. Новосибирск 08.08.2025 г.
1. Общие положения
1.1. Индивидуальный предприниматель Кондрюкова Анна Владимировна (ОГРНИП 319547600096043, ИНН 540233626551) считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
1.2. Настоящая Политика об организации обработки и обеспечении безопасности персональных данных (далее – «Политика»):
1.2.1. разработана в целях реализации требований действующего законодательства РФ в области обработки и защиты персональных данных;
1.2.2. раскрывает способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права физических лиц, чьи персональных данных прямо или косвенно определяют данное лицо (далее – «субъекты персональных данных»), а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке;
1.2.3. является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке и защите персональных данных;
1.3. Политика разработана в соответствии с:
• Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Рекомендациями по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных (в соответствии с публикацией на сайте http://www.rkn.gov.ru по состоянию на 01.08.2017).
1.4. Цели Политики:
• Обеспечение надлежащего правового режима персональных данных физических лиц;
• Соблюдение требований законодательства РФ при обработке персональных данных.
1.5. Оператор обрабатывает персональные данные, полученные им непосредственно от Субъекта персональных данных, от представителя Субъекта персональных данных, из общедоступных источников или иным образом, не запрещенным законодательством Российской Федерации.
1.6. Принципы обработки данных:
• законность и справедливая основа;
• ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;
• недопущение обработки персональных данных, несовместимой с целями сбора персональных данных;
• недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработка только тех персональных данных, которые отвечают целям их обработки;
• соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки;
• недопущение обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
• обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
• уничтожение либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.
1.7. Важно знать:
• Передача Вами персональных данных Оператору означает Ваше безоговорочное согласие с условиями Политики и указанными в ней условиями обработки его персональных данных. В случае несогласия с условиями Политики, Вы должны воздержаться от передачи персональных данных Оператору;
• Использование Сайта, его сервисов с помощью веб-браузера, который принимает данные из cookie, означает согласие субъекта персональных данных с тем, что Оператор может собирать и обрабатывать данные из cookie в целях улучшения Сайта, его содержания, его функциональных возможностей. Файлы cookie, содержание которых определяет и обрабатывает третье лицо – например, поставщик стороннего программного обеспечения или сервиса, которым пользуется Оператор – обрабатываются на условиях настоящей Политики, а также на условиях документов о конфиденциальности такого стороннего лица, содержащих, в том числе, наименование этого лица, порядок и условия работы с файлами cookie и контактную информацию для обращений Субъектов персональных данных. Отключение и/или блокировка Субъектом персональных данных опции веб-браузера по приему данных из cookie означает, что доступный Субъекту функционал Сайта может быть автоматически ограничен;
• Оператор не проверяет достоверность информации, которую Субъект персональных данных предоставляет и исходит из того, что Субъект персональных данных в порядке принципа добросовестности и требований ст. 19 Гражданского кодекса РФ предоставляет достоверную и достаточную информацию, заботится о своевременности внесения изменений в ранее предоставленную информацию, актуализирует информацию. Ответственность за достоверность персональных данных, лежит на лице, которое передало персональные данные;
• Сайт Оператора не предназначен для обработки персональных данных, переданных несовершеннолетними, а в отношении персональных данных несовершеннолетних в возрасте от 14 до 18 лет – переданных без предварительного или последующего согласия их законных представителей);
• Политика не регулирует порядок обработки и защиты персональных данных в отношении любых иных сайтов или веб-объектов (включая любые мобильные приложения), доступных через Сайт или на которые Сайт содержит ссылку, за исключением прямо указанных в настоящей Политике. Наличие или включение ссылки на любой такой сайт или объект на Сайте не подразумевает наличие каких-либо гарантий и заверений со стороны Оператора;
• Оператор может изменить Политику (в том числе любую из ее частей) без какого-либо специального уведомления Субъекта персональных данных. Новая редакция Политики вступает в силу с момента ее размещения на Сайте.

2. Основные понятия
2.1. Автоматизированная обработка персональных данных – обработка персональных данных с использованием технических средств.
2.2. Безопасность персональных данных – защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
2.3. Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые Оператор использует для установления личности субъекта персональных данных.
2.4. Блокирование персональных данных – временное прекращение обработки (кроме случаев, когда обработка необходима для уточнения персональных данных).
2.5. Заказчик – дееспособное физическое лицо, которое акцептовало Публичную оферту Оператора или иным образом заключило договор на получение услуг Оператора в отношении себя лично или в пользу третьего лица.
2.6. Информационные ресурсы Оператора – принадлежащие Оператору или эксплуатируемые им цифровые или виртуальные платформы, предназначенные для создания, хранения, обработки и распространения информации, включая веб-сайты, социальные сети, блоги, медиаархивы и другие интерактивные среды, обеспечивающие доступ к знаниям, коммуникацию и обмен данными в глобальном информационном пространстве.
2.7. Информационная система персональных данных – базы данных, используемые для хранения и обработки информации о Субъектах персональных данных с использованием информационных технологий и технических средств.
2.8. Клиент – физическое лицо, в пользу которого Заказчик заключил Договор с Оператором и которое фактически является получателем услуги Оператора.
2.9. Компьютерный инцидент – любое реальное или предполагаемое событие, имеющее отношение к безопасности информационной или телекоммуникационной системе.
2.10. Материальный носитель персональных данных – материальный объект, используемый для закрепления и хранения на нем речевой, звуковой или изобразительной информации (персональных данных), в т.ч. в преобразованном виде.
2.11. Неавтоматизированная обработка персональных данных – обработка персональных данных без помощи средств вычислительной техники.
2.12. Обезличивание персональных данных – обработка, в результате которой становится невозможным соотнести персональные данные с конкретным Субъектом персональных данных без использования дополнительной информации.
2.13. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации и (или) без использования таких средств с персональными данными, включая:
• Сбор, запись, систематизацию, накопление, хранение;
• Использование (например, публикация результатов), извлечение, уточнение;
• Передачу, распространение;
• Обезличивание, блокирование, удаление, уничтожение после достижения целей обработки.
2.14. Обработка персональных данных без использования средств автоматизации – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональных данных содержатся в информационной системе персональных данных либо были извлечены из нее.
2.15. Общедоступные источники персональных данных – источники персональных данных (в том числе справочники, адресные книги), создаваемые в целях информационного обеспечения. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
2.16. Оператор персональных данных – ИП Кондрюкова А.В. (ОГРНИП 319547600096043, ИНН 540233626551), самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.17. Оценка возможного вреда – определение уровня вреда на основании учёта причинённых убытков и морального вреда, нарушения конфиденциальности, целостности и доступности персональных данных.
2.18. Передача персональных данных – распространение, предоставление или доступ к персональных данных.
2.19. Персональные данные – любая информация, прямо или косвенно относящаяся к физическому лицу (Субъекту персональных данных).
2.20. Политика – политика Оператора об организации обработки и обеспечении безопасности персональных данных.
2.21. Пользователь информационного ресурса – физическое лицо, использующее информационный ресурс.
2.22. Посетитель – физическое лицо, которое получило право посещения объектов недвижимости Оператора.
2.23. Предоставление персональных данных – раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.24. Работник - физическое лицо, вступившее в трудовые отношения с Оператором.
2.25. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.26. Роскомнадзор - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Российской Федерации (уполномоченный орган по защите прав субъектов персональных данных).
2.27. Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
2.28. Субъект персональных данных – физическое лицо, к которому относятся персональные данные.
2.29. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому или юридическому лицу. Оператор не осуществляет трансграничную передачу персональных данных.
2.30. Третьи лица – физические лица, в том числе индивидуальные предприниматели, и/или юридические лица, действующие как в собственных интересах, так и представляющие интересы третьих сторон, в их отношениях с Оператором в рамках или в связи с предполагаемыми/заключаемыми или заключенными гражданско-правовыми договорами.
2.31. Уничтожение персональных данных – действия, в результате которых восстановление персональных данных в информационной системе персональных данных невозможно и (или) в результате которых уничтожаются материальные носители персональных данных.

3. Правовые основания обработки персональных данных
3.1. Правовыми основаниями обработки персональных данных являются:
• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ;
• Гражданский процессуальный кодекс Российской Федерации от 14.11.2002 №138-ФЗ;
• Арбитражный процессуальный кодекс Российской Федерации от 24.07.2002 №95-ФЗ;
• Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ;
• Налоговый Кодекс Российской Федерации часть первая от 31.07.1998 № 146-ФЗ и часть вторая от 05.08.2000 № 117-ФЗ (с изменениями и дополнениями);
• Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»;
• Закон РФ от 07.02.1992 N 2300-1 «О защите прав потребителей»;
• Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности»;
• Федеральный закон от 30.12.2009 №384-ФЗ «Технический регламент о безопасности зданий и сооружений»;
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 12.12.2023 №565-ФЗ «О занятости населения в Российской Федерации»;
• Федеральный закон от 24.11.1995 №181-ФЗ «О социальной защите инвалидов в Российской Федерации»;
• Федеральный закон от 28.12.2013 № 426-ФЗ «О специальной оценке условий труда»;
• Федеральный закон от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
• Федеральный закон от 15.12.2001 №167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
• Федеральный закон от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 17.12.2001 №173-ФЗ «О трудовых пенсиях в Российской Федерации»;
• Федеральный закон от 16.07.1999 №165-ФЗ «Об основах обязательного социального страхования»;
• Федеральный закон от 29.12.2006 №255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
• Федеральный закон от 24.07.1998 №125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
• Федеральный закон от 29.11.2010 №326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
• Федеральный закон от 19.05.1995 №81-ФЗ «О государственных пособиях гражданам, имеющим детей»;
• Федеральный закон от 12.01.1996 №8-ФЗ «О погребении и похоронном деле»;
• Федеральный закон от 31.05.1996 №61-ФЗ «Об обороне»;
• Федеральный закон от 26.02.1997 №31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации»;
• Федеральный закон от 28.03.1998 №53-ФЗ «О воинской обязанности и военной службе»;
• Федеральный закон от 21.12.1994 №69-ФЗ «О пожарной безопасности»;
• Федеральный закон от 06.04.2011 N 63-ФЗ «Об электронной подписи»;
• Федеральный закон от 13.03.2006 N 38-ФЗ «О рекламе»;
• Федеральный закон от 25.12.2008 №273-ФЗ «О противодействии коррупции»;
• Федеральный закон от 02.10.2007 №229-ФЗ «Об исполнительном производстве»;
• Федеральный закон от 08.08.2001 №129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»;
• Федеральный закон от 08.02.1998 №14-ФЗ «Об обществах с ограниченной ответственностью»;
• Постановление Правительства Российской Федерации от 04.10.2012 №1006 «Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг»;
• Постановление правления пенсионного фонда Российской Федерации от 31.07.2006 г. № 192п «О формах документов индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования и инструкции по их заполнению»;
• Приказ Минтруда России № 988н, Минздрава России № 1420н от 31.12.2020 «Об утверждении перечня вредных и (или) опасных производственных факторов и работ, при выполнении которых проводятся обязательные предварительные медицинские осмотры при поступлении на работу и периодические медицинские осмотры»;
• Постановление Минтруда России от 24.10.2002 № 73 «Об утверждении форм документов, необходимых для расследования и учета несчастных случаев на производстве, и положения об особенностях расследования несчастных случаев на производстве в отдельных отраслях и организациях»;
• иные законодательные и нормативные акты, действующие в РФ, для осуществления и выполнения возложенных законодательством РФ на Оператора функций, полномочий и обязанностей;
• Устав Оператора;
• локальные нормативные акты Оператора;
• трудовые договоры с работниками;
• договоры, заключаемые между Оператором и Субъектом персональных данных, и договоры, по которым субъект персональных данных выступает контактным лицом или лицом, непосредственно подписавшим договор;
• участие Оператора в судопроизводстве и/или в исполнительном производстве;
• права и (или) законные интересы оператора/третьих лиц;
• согласия на обработку персональных данных, выраженные способом, установленным законом и настоящей Политикой.
4. Правила обработки персональных данных
4.1. Оператор осуществляет целенаправленную обработку персональных данных в соответствии с применимым законодательством о персональных данных.
4.2. Обработка персональных данных несовершеннолетних возможна только с согласия родителей/законных представителей.
Цели обработки персональных данных, категории и перечень обрабатываемых данных, категории субъектов персональных данных, способы обработки, срок обработки и хранения, порядок уничтожения персональных данных:
4.3. Цель: Ведение основной деятельности
Виды деятельности в рамках Цели: подготовка, заключение и исполнение договора с Субъектами персональных данных – Заказчиками и Клиентами Оператора; предоставление субъектам персональных данных информации о составе услуг Оператора и их расписании, оформление справки об оплате физкультурно-оздоровительных услуг для предоставления в налоговый орган.
Категории субъектов, персональные данные которых обрабатываются: субъекты персональных данных – Заказчики и Клиенты Оператора.
Категории и перечень обрабатываемых данных Заказчиков: фамилия, имя, отчество, дата рождения, половая принадлежность, сведения о месте жительства и (или) пребывания, данные документа, удостоверяющего личность (номер, серия, когда и кем выдан), контактные (коммуникационные) данные, сведения об индивидуальном налоговом учете (исключительно в целях оформления справки об оплате физкультурно-оздоровительных услуг для предоставления в налоговый орган), финансово-платежные сведения, сведения о договорах гражданско-правового характера, сведения об идентификаторах контрагента, сведения об информационном (коммуникационном) взаимодействии.
Категории и перечень обрабатываемых данных несовершеннолетних Клиентов: фамилия, имя, отчество, дата рождения, половая принадлежность, изображение (включая лицо), данные документа, удостоверяющего личность (свидетельства о рождении), сведения об индивидуальном налоговом учете (исключительно в целях оформления справки об оплате физкультурно-оздоровительных услуг для предоставления в налоговый орган), финансово-платежные сведения, сведения о договорах гражданско-правового характера.
Категории и перечень обрабатываемых данных совершеннолетних клиентов: фамилия, имя, отчество, дата рождения, половая принадлежность, изображение (включая лицо), данные документа, удостоверяющего личность, сведения об индивидуальном налоговом учете (исключительно в целях оформления справки об оплате физкультурно-оздоровительных услуг для предоставления в налоговый орган), финансово-платежные сведения, сведения о договорах гражданско-правового характера.
Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Срок обработки и хранения: до получения от субъекта персональных данных (его законного представителя) требования о прекращении обработки/отзыва согласия либо на срок действия договора с Оператором +3 года, а для целей, необходимых для исполнения Оператором своих обязанностей, установленных налоговым законодательством – на срок действия договора с Оператором + 5 лет.

4.4. Цель: Совершенствование и развитие деятельности.
Виды деятельности в рамках Цели:
• поиск, определение и анализ потенциально заинтересованных в сотрудничестве лиц, установление и поддержание делового общения с заинтересованными лицами, обеспечение персонала визитными карточками;
• осуществление, анализ, управление эффективностью, совершенствование и развитие взаимодействия со всеми заинтересованными лицами посредством Интернет-ресурсов, а именно: (1) обеспечение безопасного и продуктивного взаимодействия, в т.ч. противодействие незаконным или несанкционированным действиям, мошенничеству, обеспечение информационной безопасности; (2) персонализация пользовательского опыта путём предоставления индивидуализированных/адаптированных сервисов, функций, возможностей, предложений и рекомендаций; (3) предоставление эффективной поддержки при возникновении различных проблем или ситуаций; осуществление информационного (коммуникационного) взаимодействия со всеми заинтересованными лицами, включая информационное обеспечение (обслуживание), направление информационных сообщений, обработку, рассмотрение поступающих обращений и информационных материалов любого характера, предоставление эффективной поддержки при возникновении у заинтересованных лиц различных проблем или ситуаций; а также (4) анализ, управление эффективностью, совершенствование и развитие такого взаимодействия;
• управление составом, характеристиками и эффективностью услуг, а также анализ удовлетворенности Заказчиков и Клиентов;
• организация и проведение маркетинговых (рекламных, пиар), стимулирующих, статистических и аналитических мероприятий (включая опросы и исследования);
• предложение и продвижение услуг и бренда Оператора на рынке путем осуществления маркетинговых коммуникаций, в том числе путем направления персональных предложений и рекламных сообщений, а также путем демонстрации (в т.ч. в сети Интернет) персонализированной и (или) неперсонализированной рекламы;
Категории субъектов, персональные данные которых обрабатываются: субъекты персональных данных – работники (действующие и уволенные) Оператора; Пользователи информационных ресурсов Оператора, Заказчики и Клиенты Оператора.
Категории и перечень обрабатываемых данных субъектов персональных данных: фамилия, имя, отчество телефон, контактные (коммуникационные) данные (электронная почта, телефон); сведения об информационном (коммуникационном) взаимодействии; сведения об участии в мероприятиях; сведения о выраженном личном мнении и результатах опроса; сведения о потенциале и перспективности сотрудничества; сведения об участии в программах лояльности; персональные целевые идентификаторы; метрики взаимодействия с описанием продукции (услуг) и (или) с информационными материалами; метрики приобретения и потребления продукции (услуг) и (или) информационных материалов; сведения о пользовательском устройстве; сведения о веб-браузере пользователя; сведения о подключении к сети «Интернет»; сведения о посещении и использовании Интернет-ресурсов.
Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, получение, копирование, сопоставление (сравнение), объединение (связывание), использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Срок обработки и хранения: до прекращения трудовых отношений и иных непосредственно связанных с ними отношений работника с Оператором + 5 лет; до прекращения делового взаимодействия Оператора с контрагентами + 3 года; до окончания осуществления информационного (коммуникационного) взаимодействия с Оператором + 3 года; до прекращения использования функционала информационных ресурсов Оператора (в т.ч. до прекращения действия регистрационной/учетной записи) + 3 года; до прекращения участия в мероприятиях Оператора + 5 лет.
Субъекты персональных данных могут отказаться принимать аутентификационные файлы cookie Сайта, используя настройки своего Интернет-браузера. Однако это может привести к некоторым неудобствам при использовании Сайта.

4.5. Цель: Обеспечение безопасности деятельности.
Виды деятельности в рамках Цели: обеспечение сохранности имущества и защиты физических лиц от противоправных деяний (посягательств), а также документальная фиксация возможных противоправных деяний; обеспечение внутриобъектового и пропускного режимов на используемых объектах недвижимости, включая установление личности (идентификацию и (или) аутентификацию); управление ситуационной осведомленностью, а также облегчение и повышение эффективности коммуникаций в непредвиденных обстоятельствах, включая чрезвычайные (аварийные) ситуации и критически значимые (кризисные) события.
Категории субъектов, персональные данные которых обрабатываются: субъекты персональных данных - Заказчики и Клиенты; работники (действующие и уволенные) Оператора; стажёры (практиканты) Оператора, контрагенты Оператора – физические лица и персонал контрагентов Оператора, которым оформляются постоянные пропуска; иные посетители объектов недвижимости Оператора.
Категории и перечень обрабатываемых данных: имя, фамилия, отчество, дата рождения, возраст, изображение (включая лицо), данные документа, удостоверяющего личность (номер, серия, когда и кем выдан); сведения о должности, структурном подразделении и текущем месте трудоустройства, сведения о контролируемом пребывании на объектах недвижимости, сведения об идентификаторах лица в системе учета посещений Оператора; сведения о транспортном средстве, видеозвукозапись изображения (включая лицо) и устной речи.
Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, получение, использование, обезличивание, передача (доступ, предоставление) блокирование, удаление, уничтожение персональных данных.
Срок обработки и хранения: до прекращения трудовых отношений и иных непосредственно связанных с ними отношений работника с Оператором + 5 лет; до прекращения профессионального обучения стажёра (практиканта) у Оператора + 3 года; до прекращения гражданско-правовых или деловых отношений контрагентов (юридических лиц) с Оператором + 3 года; до прекращения гражданско-правовых или деловых отношений контрагентов (физических лиц, включая Заказчиков и Клиентов) с Оператором + 3 года; до окончания посещения объектов недвижимости + 6 месяцев (в остальных случаях).

4.6. Цель: Обеспечение эффективности и устойчивости деятельности.
Виды деятельности в рамках Цели:
• организация и управление деятельностью и активами (имуществом), стратегическое и бюджетное планирование, управление проектами, ведение необходимой отчетности;
• управление сделками по реорганизации, слиянию, поглощению, ликвидации или отчуждению активов, координация и взаимодействие с аффилированными и иными связанными лицами;
• поддержание правомерности и этичности ведения деятельности, управление финансовыми, коммерческими, юридическими, регуляторными, операционными, контрактными, репутационными рисками;
• организация эффективного внешнего и внутреннего мониторинга и контроля (в том числе путем выполнения процедур информирования о нарушениях, а также проведения служебных проверок и (или) внутренних расследований) за соблюдением любых применимых норм, а также привлечение виновных лиц к соответствующей ответственности (включая юридическую);
• осуществление прав, выполнение обязанностей и соблюдение запретов, предусмотренных любыми применимыми нормами, включая нормы законодательства, локальных актов, международных, национальных, отраслевых, профессиональных и групповых стандартов;
• защита прав и законных интересов, включая использование всех доступных средств правовой защиты и возможностей по ограничению объема наносимого вреда, а также делегирование (оформление) полномочий на представление интересов; участие во внесудебном и судебном урегулировании споров, исполнение судебных актов, содействие в отправлении правосудия;
• организация и ведение делопроизводства, обеспечение документооборота (в письменной и электронной форме), ведение юридически значимой переписки (в письменной и электронной форме), а также оформление и применение электронных подписей;
• осуществление надлежащих учета, хранения и уничтожения отдельных категорий материальных носителей информации.
Категории субъектов, персональные данные которых обрабатываются: работники (действующие и уволенные) Оператора; представители (поверенные) Оператора; владельцы Оператора – физические лица; участники судебных процессов и исполнительных производств, в которые вовлечен Оператор; персонал уполномоченных органов и организаций.
Категории и перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения и (или) возраст, место рождения; сведения о семейном положении, составе семьи и родственных отношениях; сведения о гражданстве или подданстве; пол, сведения о документе, удостоверяющем личность, сведения о месте жительства и (или) пребывания, сведения о месте осуществления деятельности, контактные (коммуникационные) данные; сведения об информационном (коммуникационном) взаимодействии; сведения о должности, структурном подразделении и текущем месте трудоустройства; сведения о текущей трудовой (служебной) деятельности; изображение (включая лицо); сведения о статусе и полномочиях на представление интересов; личная рукописная подпись (образец);электронная подпись; сведения об участии в капитале и (или) управлении юридических лиц, а также об иной аффилированности; сведения о наличии (отсутствии) нарушений применимых норм (включая правовые) и привлечении к соответствующей ответственности; сведения об участии в судопроизводстве; сведения о наличии (отсутствии) исполнительного производства.
Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, получение, сопоставление (сравнение), передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.
Срок обработки и хранения: до прекращения трудовых отношений и иных непосредственно связанных с ними отношений работника с Оператором + 5 лет (для целей исполнения Оператором обязанностей, предусмотренных налоговым законодательством); до окончания действия доверенности представителей (поверенных) Оператора + 3 года; до прекращения прямого или косвенного владения долей в уставном капитале + 5 лет; до окончания судебных процессах и исполнительных производствах + сроки обжалования определений и решений судов, а также обжалования постановлений и действий (бездействия) должностных лиц службы судебных приставов; до завершения взаимодействия Оператора с уполномоченными органами и организациями + 3 года.

4.7. Цель: Сопровождение и поддержка деятельности.
Виды деятельности в рамках Цели:
• ведение договорной работы, в том числе заключение, исполнение, изменение и прекращение договоров и соглашений с контрагентами;
• осуществление финансовых расчетов с лицами, не являющимися персоналом, ведение соответствующего бухгалтерского и налогового учета, независимая проверка бухгалтерской (финансовой) отчетности;
• принятие мер должной осмотрительности в отношении потенциальных и действующих контрагентов, включающее в себя управление связанными с контрагентами финансовыми, коммерческими, юридическими, регуляторными, операционными, контрактными, репутационными и комплаенс рисками, а также проверку полноты и достоверности предоставленных потенциальными и действующими контрагентами сведений;
• получение разрешения на право осуществления отдельных видов собственной деятельности и (или) получение подтверждения соответствия собственной продукции применимым требованиям.
Категории субъектов, персональные данные которых обрабатываются: работники (действующие и уволенные) Оператора, персонал контрагентов Оператора, контрагенты Оператора – физические лица (в том числе индивидуальные предприниматели), представители (поверенные) Оператора, владельцы Оператора - физические лица, владельцы и аффилиаты контрагентов Оператора, лица, связанные с ключевым персоналом контрагентов Оператора, персонал уполномоченных органов и организаций.
Категории и перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения и (или) возраст, место рождения; половая принадлежность; сведения о гражданстве или подданстве; сведения о документе, удостоверяющем личность; сведения о месте осуществления деятельности; сведения о месте жительства и (или) пребывания; контактные (коммуникационные) данные; сведения об информационном (коммуникационном) взаимодействии; сведения о должности, структурном подразделении и текущем месте трудоустройства; сведения о текущей трудовой (служебной) деятельности; персональные служебные идентификаторы; изображение (включая лицо); сведения о самостоятельной экономической деятельности; сведения об участии в капитале и (или) управлении юридических лиц, а также об иной аффилированности; сведения об участии в некоммерческих организациях; финансово-платежные сведения; сведения о наличии (отсутствии) нарушений применимых норм (включая правовые) и привлечении к соответствующей ответственности; сведения о статусе и полномочиях на представление интересов; сведения об индивидуальном налоговом учете; основной государственный регистрационный номер индивидуального предпринимателя (ОГРНИП) и сведения о соответствующей регистрации (при наличии), сведения о регистрации Субъекта в качестве самозанятого (при наличии), а также данные подтверждающих документов, страховой номер индивидуального лицевого счёта (СНИЛС), личная рукописная подпись (образец); электронная подпись; сведения о договорах гражданско-правового характера, сведения об идентификаторах контрагента, сведения о месте осуществления деятельности, финансово-платежные сведения, сведения об образовании и обучении, сведения о профессии, трудовой/профессиональной квалификации и профессионализме, сведения о личностных знаниях, умениях и навыках, сведения о личностных качествах, сведения о договорах гражданско-правового характера, сведения о наличии (отсутствии, прекращении) судимости, .
Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, получение, поиск, копирование, сопоставление (сравнение), использование, передача (распространение, доступ, предоставление), обезличивание (в пределах, допустимых применимым законодательством), блокирование, удаление, уничтожение персональных данных.
Срок обработки и хранения: до прекращения трудовых отношений и иных непосредственно связанных с ними отношений работника с Оператором + 5 лет; до прекращения делового взаимодействия Оператора с контрагентами (юридическими лицами) + 3 года; до прекращения делового взаимодействия Оператора с контрагентами (физическими лицами) + 3 года; до окончания действия доверенности представителей (поверенных) Оператора + 3 года; до завершения взаимодействия Оператора с уполномоченными органами и организациями + 3 года.

4.8. Цель: Информационно-технологическое обеспечение деятельности.
Виды деятельности в рамках Цели:
• информационно-технологическое обеспечение, облегчение и повышение эффективности рабочих (служебных) коммуникаций персонала;
• мониторинг и контроль служебной эксплуатации (в т.ч. целевого использования) и сохранности программных и аппаратных средств, систем, сетей и сервисов, а также оказание персоналу эффективной технической поддержки при такой служебной эксплуатации;
• предоставление в пользование и (или) служебная эксплуатация программных и аппаратных средств (включая персональные компьютеры, офисное оборудование, средства связи, средства защиты информации), информационных систем, вычислительных и (теле) коммуникационных сетей и сервисов, а также надлежащий учет и возмещение расходов на служебную эксплуатацию таких программных и аппаратных средств, систем, сетей и сервисов;
• обеспечение информационной безопасности, включая установление личности (идентификация) и (или) удостоверение личности (аутентификация), а также обеспечение надлежащего оборота и защиты сведений, составляющих охраняемую законом тайну и интеллектуальную собственность.
Категории субъектов, персональные данные которых обрабатываются: работники (действующие и уволенные) Оператора.
Категории и перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения и (или) возраст, сведения о месте жительства и (или) пребывания; сведения о месте осуществления деятельности; контактные (коммуникационные) данные; сведения об информационном (коммуникационном) взаимодействии; изображение (включая лицо); сведения о текущей трудовой (служебной) деятельности; сведения о должности, структурном подразделении и текущем месте трудоустройства; сведения об использовании сети «Интернет»; сведения о посещении и использовании Интернет-ресурсов; сведения об установке и использовании мобильных приложений; сведения о пользовательском устройстве; сведения об использовании и эксплуатации программных и аппаратных средств, информационных систем, вычислительных и коммуникационных сетей; сведения об использовании и эксплуатации телекоммуникационных сервисов; идентификационные, аутентификационные и авторизационные данные.
Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, копирование, сопоставление (сравнение), использование, передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.
Срок обработки и хранения: до прекращения трудовых отношений и иных непосредственно связанных с ними отношений работника с Оператором + 5 лет.

4.9. Цель: Подбор персонала.
Категории субъектов, персональные данные которых обрабатываются: субъекты персональных данных - соискатели на замещение вакантной должности у Оператора.
Категории и перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения и (или) возраст, пол, изображение (включая лицо), сведения о месте жительства и (или) пребывания, сведения о семейном положении, составе семьи и родственных отношениях, контактные (коммуникационные) данные, сведения об образовании и обучении, сведения о текущей учебной деятельности, сведения о профессии, трудовой/профессиональной квалификации и профессионализме; сведения о личностных знаниях, умениях и навыках; сведения о личностных качествах, сведения о личностных потребностях, интересах, предпочтениях и ожиданиях; сведения о событиях жизненного пути, личном опыте и иных личностных аспектах; сведения об определении актуальных рисков различного характера и их уровня; сведения о профессиональном развитии; сведения о профессиональных предпочтениях и ожиданиях; сведения о профессиональных и (или) научных интересах; сведения о достижениях, заслугах, поощрениях и наградах; сведения о должности, структурном подразделении и текущем месте трудоустройства; сведения о текущей трудовой (служебной) деятельности; сведения о предшествующей трудовой (служебной) деятельности; сведения о прохождении гражданской службы; сведения о (не)трудоспособности; сведения о социальном положении (статусе).
Специальные категории персональных данных: сведения о наличии (отсутствии, прекращении) судимости, сведения о состоянии здоровья в отношении инвалидности.
Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, получение, поиск, копирование, использование, сопоставление, обезличивание, передача (доступ, предоставление) блокирование, удаление, уничтожение персональных данных.
Срок обработки и хранения: до заключения трудового договора с соискателем или даты уведомления соискателя об отказе в приеме на работу + 3 месяца, а в случаях, необходимых для исполнения Оператором своих обязанностей, установленных налоговым законодательством – +5 лет (если персональные данные соискателя зафиксированы в первичных учетных документах об оказании услуг по подбору персонала).
4.10. Цель: Управление персоналом.
Виды деятельности в рамках цели: оформление приема на работу; ознакомление и адаптация к трудовой деятельности и социальной среде; выполнение трудовой функции и исполнение должностных (служебных) обязанностей; ведение кадрового и воинского учета; принятие управленческих и кадровых решений, обеспечение развития трудовой карьеры; предоставление отпуска и дополнительных дней отдыха (отгул); планирование работы персонала и управление производительностью труда, мониторинг и контроль количества и качества выполняемой работы, а также рационального использования рабочего времени, проверка и оценка исполнения должностных обязанностей; рассмотрение и разрешение трудовых споров, конфликтных ситуаций и иных разногласий в контексте трудовых отношений; обеспечение поощрения за добросовестный и эффективный труд, а также признание профессиональных достижений, личных заслуг, талантов и способностей; контроль соблюдения правил дисциплины труда и бережного отношения к имуществу работодателя и иных лиц; осуществление увольнения и проведение интервью (опроса) при увольнении; организация и проведение стажировки и (или) практики (ознакомительной, производственной или преддипломной); обеспечение кадрового документооборота (в письменной и электронной форме), ведение служебной переписки (в письменной и электронной форме).
Категории субъектов, персональные данные которых обрабатываются: работники (действующие и уволенные) Оператора; члены семьи и иные родственники работников Оператора; стажёры (практиканты) Оператора; контактные лица работников Оператора.
Категории и перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения и (или) возраст, пол, сведения о документе, удостоверяющем личность, изображение (включая лицо), сведения о месте жительства и (или) пребывания, сведения о месте осуществления деятельности, сведения о семейном положении, составе семьи и родственных отношениях, контактные (коммуникационные) данные, сведения об образовании и обучении, сведения о текущей учебной деятельности, сведения о профессии, трудовой/профессиональной квалификации и профессионализме; сведения о личностных знаниях, умениях и навыках; сведения о профессиональном развитии; сведения о профессиональных предпочтениях и ожиданиях; сведения о профессиональных и (или) научных интересах; сведения о достижениях, заслугах, поощрениях и наградах; сведения о должности, структурном подразделении и текущем месте трудоустройства; сведения о текущей трудовой (служебной) деятельности; сведения о предшествующей трудовой (служебной) деятельности; сведения о (не)трудоспособности; сведения об отношении к воинской обязанности и о воинском учете; сведения о стажировке, практике и наставничестве; сведения о доходах, расходах и удержаниях, связанных с трудовой (служебной) деятельностью; сведения о продуктивности трудовой (служебной) деятельности и об удовлетворенности такой деятельностью; сведения о рабочем времени, страховом стаже и льготах; сведения об индивидуальном налоговом учете; сведения об обязательном медицинском, пенсионном и социальном страховании; сведения о пенсионном обеспечении.
Специальные категории персональных данных: сведения о состоянии здоровья в отношении (не)трудоспособности; сведения о состоянии здоровья в отношении инвалидности; сведения о состоянии здоровья в отношении беременности; сведения о состоянии здоровья в отношении годности к военной службе.
Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, получение, сопоставление (сравнение), использование, обезличивание (в пределах, допустимых применимым законодательством), передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.
Срок обработки и хранения: до прекращения трудовых отношений и иных непосредственно связанных с ними отношений работника с Оператором + 5 лет (для целей исполнения Оператором обязанностей, предусмотренных налоговым законодательством); до прекращения трудовых отношений и иных непосредственно связанных с ними отношений работника с Оператором + 6 месяцев (в остальных случаях); до прекращения профессионального обучения стажёра (практиканта) у Оператора + 3 года.

4.11. Цель: Вознаграждение персонала.
Виды деятельности в рамках цели: расчет и выплата заработной платы, доплат, премий, бонусов и прочих выплат, а также предоставление налоговых вычетов; расчет и осуществление удержаний из заработной платы и иных доходов в предусмотренных законом случаях; ведение бухгалтерского и налогового учета в отношении персонала; организация предоставления банковских карт для личного и (или) служебного использования.
Категории субъектов, персональные данные которых обрабатываются: работники (действующие и уволенные) Оператора; члены семьи и иные родственники работников Оператора; получатели выплат, связанных с работниками Оператора.
Категории и перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения и (или) возраст, пол, сведения о гражданстве или подданстве; контактные (коммуникационные) данные; сведения о семейном положении, составе семьи и родственных отношениях; сведения о документе, удостоверяющем личность; сведения о месте жительства и (или) пребывания, сведения о должности, структурном подразделении и текущем месте трудоустройства; сведения о текущей трудовой (служебной) деятельности; сведения о предшествующей трудовой (служебной) деятельности; сведения о (не)трудоспособности; сведения о стажировке, практике и наставничестве; сведения о продуктивности трудовой (служебной) деятельности и об удовлетворенности такой деятельностью; сведения о рабочем времени, страховом стаже и льготах; сведения о доходах, расходах и удержаниях, связанных с трудовой (служебной) деятельностью; сведения об индивидуальном налоговом учете; сведения об обязательном медицинском, пенсионном и социальном страховании; сведения о пенсионном обеспечении; личная рукописная подпись (образец); финансово-платежные сведения; сведения об участии в судопроизводстве; сведения о наличии (отсутствии) исполнительного производства.
Специальные категории персональных данных: сведения о состоянии здоровья в отношении (не)трудоспособности; сведения о состоянии здоровья в отношении инвалидности; сведения о состоянии здоровья в отношении беременности.
Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, получение, сопоставление (сравнение), объединение (связывание); использование, обезличивание (в пределах, допустимых применимым законодательством), передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.
Срок обработки и хранения: до прекращения трудовых отношений и иных непосредственно связанных с ними отношений работника с Оператором + 5 лет.

4.12. Цель: Поддержка и мотивация персонала.
Виды деятельности в рамках цели: участие в программах добровольного медицинского и иного страхования; участие в программах лояльности различного характера и иные меры стимулирования (поощрения); оценка степени удовлетворенности работников своим трудом, текущим местом работы и условиями работы, а также оценка внешнего восприятия работодателя и его практик; организация добровольного участия в несвязанных с трудовой (служебной) деятельностью внутренних мероприятиях, а также в общественных и благотворительных мероприятиях.
Категории субъектов, персональные данные которых обрабатываются: работники (действующие и уволенные) Оператора; члены семьи и иные родственники работников Оператора.
Категории и перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения и (или) возраст, пол; сведения о гражданстве или подданстве; сведения о месте осуществления деятельности; контактные (коммуникационные) данные; сведения о семейном положении, составе семьи и родственных отношениях; сведения о документе, удостоверяющем личность; сведения о месте жительства и (или) пребывания, сведения о должности, структурном подразделении и текущем месте трудоустройства; сведения о текущей трудовой (служебной) деятельности; сведения о рабочем времени, страховом стаже и льготах; сведения о (не)трудоспособности; сведения о доходах, расходах и удержаниях, связанных с трудовой (служебной) деятельностью; сведения о добровольном личном и имущественном страховании; сведения о пенсионном обеспечении; изображение (включая лицо); сведения об образовании и обучении; сведения о достижениях, заслугах, поощрениях и наградах; сведения о продуктивности трудовой (служебной) деятельности и об удовлетворенности такой деятельностью.
Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, получение, сопоставление (сравнение), объединение (связывание); использование, передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.
Срок обработки и хранения: до прекращения трудовых отношений и иных непосредственно связанных с ними отношений работника с Оператором + 5 лет.

4.13. Цель: Обеспечение продуктивности, развития и безопасности персонала.
Виды деятельности в рамках цели: поддержание эффективного информационного (коммуникационного) взаимодействия с персоналом; организация и (или) проведение обучения различного характера (включая инструктаж), повышения квалификации, профессиональной (пере)подготовки, проверка знаний и способностей, проведение интервью (опросов) служебного и иного характера; обеспечение, контроль, обучение (включая инструктаж), стажировка и проверка знаний в отношении охраны труда, техники безопасности, пожарной безопасности, гражданской обороны и защиты от чрезвычайных (аварийных) ситуаций; проведение специальной оценки условий труда (СОУТ) и оценки профессиональных рисков (ОПР); обеспечение служебной униформой, санитарно-бытовое обслуживание, медицинское обеспечение; организация проведения медицинских освидетельствований для определения возможности выполнения персоналом трудовой функции, а также для диагностики и предупреждения профессиональных заболеваний; расследование, оформление (рассмотрение), учет, оповещение в отношении микроповреждений (микротравм), несчастных случаев и профессиональных заболеваний.
Категории субъектов, персональные данные которых обрабатываются: работники (действующие и уволенные) Оператора; члены семьи и иные родственники работников Оператора.
Категории и перечень обрабатываемых данных: фамилия, имя, отчество, дата рождения и (или) возраст, пол; контактные (коммуникационные) данные; сведения об образовании и обучении; сведения о месте жительства и (или) пребывания, сведения о должности, структурном подразделении и текущем месте трудоустройства; сведения о текущей трудовой (служебной) деятельности; сведения о рабочем времени, страховом стаже и льготах; изображение (включая лицо), антропометрические данные, сведения об обеспечении средствами индивидуальной защиты и (или) форменной одеждой, сведения о несчастном случае в рамках трудовой (служебной) деятельности; сведения об обязательном медицинском, пенсионном и социальном страховании; сведения о результатах проведения специальной оценки условий труда; личная рукописная подпись.
Специальные категории персональных данных: сведения о состоянии здоровья в отношении (не)трудоспособности; сведения о состоянии здоровья в отношении инвалидности; сведения о состоянии здоровья в отношении беременности.
Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, получение, сопоставление (сравнение), объединение (связывание); использование, передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.
Срок обработки и хранения: до прекращения трудовых отношений и иных непосредственно связанных с ними отношений работника с Оператором + 5 лет.

4.14. Особые положения:
4.14.1. Биометрические персональные данные. Оператор не собирает биометрические данные (например, отпечатки пальцев, сканы лица).
4.14.2. Специальные категории персональных данных:
• Оператор не обрабатывает данные о расовой, национальной принадлежности, политических взглядах, религиозных убеждениях или интимной жизни.
• Оператор обрабатывает данные о состоянии здоровья субъектов персональных данных в случаях, предусмотренных настоящей Политикой.

5. Особенности сбора и иной обработки персональных данных
5.1. Оператор обрабатывает персональные данные, полученные им и (или) его уполномоченными лицами непосредственно от субъекта персональных данных и (или) его представителя или иным способом, не запрещённым законом, в том числе на следующих основаниях:
• Согласие субъекта персональных данных;
• Исполнение договорных обязательств;
• Соблюдение законодательных требований.
5.2. Условия предоставления согласия
• Субъект персональных данных дает согласие на обработку персональных данных добровольно, конкретно и осознанно. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Бездействие (например, неотзыв согласия) не считается согласием.
• Для несовершеннолетних Клиентов согласие предоставляют их родители/законные представители.
5.3. Способы выражения согласия:
• Собственноручное подписание Субъектом персональных данных согласия на бумажном носителе;
• Электронное согласие через Сайт: простановка отметки в специальном поле (чек-боксе) на Сайте рядом с текстом: «Я даю согласие на обработку моих персональных данных в соответствии с Политикой организации обработки и обеспечении безопасности персональных данных». Перед выражением согласия Субъекту персональных данных в каждом месте сбора персональных данных предоставляется возможность ознакомиться с полным текстом настоящей Политики и текстом Согласия.
5.4. Оператор исходит из добросовестности субъектов персональных данных при предоставлении ими персональных данных через информационно-телекоммуникационную сеть Интернет. Ответственность за достоверность персональных данных, предоставленных такими способами, лежит на лице, которое передало персональные данные.
5.5. При сборе персональных данных Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, прямо предусмотренных действующим законодательством РФ о персональных данных.
5.6. Для обработки персональных данных Оператор может применять информационные системы, автоматизированные рабочие места, отчуждаемые машинные носители информации (например, оптические и магнито-оптические диски, флэшки, съемные жёсткие диски и т.д.), бумажные носители информации (как отдельные, так и включенные в систематизированные собрания), а также передавать персональные данные по внутренней сети Оператора, обеспечивающей доступ к персональным данным (в том числе размещенным на внутренних информационных ресурсах и (или) локальных электронных порталах Оператора) лишь для строго определенного и ограниченного Оператором круга лиц, включая работников Оператора, и (или) передавать персональные данные с использованием информационно-телекоммуникационных сетей (включая сеть «Интернет»).


6. Меры по организации обработки и обеспечению безопасности персональных данных
6.1. Общие положения
Оператор принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от несанкционированного, случайного или незаконного уничтожения, потери, изменения, недобросовестного использования, раскрытия или доступа, а также иных незаконных форм обработки. В том числе Оператор применяет следующие меры защиты персональных данных (с учетом их применимости в зависимости от способа и особенностей обработки персональных данных):
6.2. Организационные меры защиты
Ограничение доступа:
• Доступ к автоматизированной и (или) неавтоматизированной обработке персональных данных имеют только уполномоченные сотрудники Оператора;
• Доступ к персональным данным для иных лиц ограничен;
• Для каждого сотрудника определен минимально необходимый объем доступа к персональным данным;
• Все сотрудники подписывают обязательство о неразглашении персональных данных.
Контроль физической безопасности:
• Определены места хранения материальных (в том числе машинных) носителей персональных данных, обеспечены учет и сохранность носителей персональных данных, исключен несанкционированный доступ к носителям персональных данных, персональные данные (материальные носители), обработка которых осуществляется в различных целях, хранятся раздельно;
• Ограничен доступ в помещения, где хранятся персональные данные, и (или) размещены программно-аппаратные средства, используемые для обработки персональных данных, с тем, чтобы не допустить неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
• Установлена система контроля доступа в помещения;
• Персональные данные уничтожаются способом, исключающим последующее восстановление и дальнейшую обработку персональных данных,
• Уничтожение персональных данных подтверждается в соответствии с требованиями, установленными Роскомнадзором.
Регламентация процессов:
• Разработаны и утверждены документы, определяющие политику Оператора в отношении обработки персональных данных, локальные акты Оператора по вопросам обработки персональных данных, определяющие для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальные акты Оператора, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства о персональных данных, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на Оператора не предусмотренные законодательством о персональных данных полномочия и обязанности;
• Ведется учет лиц, допущенных к работе с персональными данными, в том числе в информационных системах персональных данных;
• Ведется учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;
• Назначено лицо, ответственное за организацию обработки персональных данных, и лицо, ответственное за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных.
6.3. Технические меры защиты
Защита информационных систем:
• Ведется формирование модели(ей) актуальных (предполагаемых) угроз безопасности персональных данных при их обработке в информационных системах персональных данных, а также разработка на основе модели(ей) угроз системы защиты персональных данных, обеспечивающей нейтрализацию угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующих уровней защищенности информационных систем персональных данных;
• Применяются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах персональных данных;
• Средства защиты информации устанавливаются и вводятся в эксплуатацию в соответствии с эксплуатационной и технической документацией;
• Установлены правила доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечены регистрация и учет всех действий, совершаемых с персональными данными в информационных системах персональных данных;
• Для уничтожения персональных данных применяются средства защиты информации, которые прошли в установленном порядке процедуру оценки соответствия, и в составе которых реализована функция уничтожения информации;
• Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится до ввода в эксплуатацию информационных систем персональных данных;

6.4. Иные меры защиты
• Проведена оценка вреда, который может быть причинен субъектам в случае нарушения требований применимого законодательства о персональных данных, соотношения указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиям применимого законодательства о персональных данных, в соответствии с требованиями, установленными Роскомнадзором;
• Внедрены организационные и технические мер по обеспечению безопасности персональных данных при их обработке, в том числе в информационных системах персональных данных, необходимые для обеспечения постоянной конфиденциальности, целостности, доступности и устойчивости процессов и (или) систем, связанных с обработкой персональных данных;
• Запрещено объединение баз с информационными системами персональных данных или фиксация персональных данных на одном материальном носителе, если обработка персональных данных осуществляется в несовместимых между собой целях;
• Производится восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним или иного инцидента;

6.5. Оператор внедрил и использует следующие меры контроля состояния системы защиты персональных данных:
6.5.1. Мониторинг и аудит, которые включают:
• Регулярный внутренний контроль соответствия обработки персональных данных требованиям 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
• Контроль соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
• Обнаружение фактов несанкционированного доступа к информационным системам персональных данных и принимаются надлежащие меры, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных, связанные с обработкой персональных данных, и по реагированию на компьютерные инциденты в них;
• Регулярный контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
• Служебные проверки и (или) внутренние расследования по фактам несоблюдения условий хранения материальных (в том числе машинных) носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных (инциденту с персональными данными) или по другим нарушениям, приводящим к снижению уровня защищенности персональных данных.
• Проверку актуальности согласий субъектов персональных данных.
Регулярность проведения аудита – не реже 1 раза в квартал.

6.5.2. Регулярное обучение сотрудников мерам защиты персональных данных и инструктажи:
• все лица, привлеченные (допущенные) Оператором к обработке персональных данных без использования средств автоматизации, уведомлены о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, категориях субъектов, а также об особенностях и правилах осуществления обработки персональных данных без использования средств автоматизации, предусмотренные применимым законодательством о персональных данных и подзаконными нормативными правовыми актами, а также локальными актами Оператора;
• лица, привлеченные (допущенные) Оператором к обработке персональных данных, знакомятся с требованиями применимого законодательства о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных лиц;
• ведется обучение лиц, использующих средства защиты информации, применяемые в информационных системах персональных данных, и правилам работы с ними;

Оператор регулярно пересматривает и актуализирует меры защиты в соответствии с изменениями законодательства и появлением новых угроз.
6.6. Реагирование на инциденты.
• В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор в предусмотренном законодательством о персональных данных порядке и в соответствующие сроки уведомляет об указанном факте уполномоченный орган по защите прав субъектов персональных данных.
• Оператор обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), включая информирование федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
6.7. Особые положения
• Оператор обеспечивает особый контроль обработки персональных данных несовершеннолетних. В том числе Оператор осуществляет все действия с персональными данными несовершеннолетних исключительно на основании распоряжений их законных представителей и незамедлительно удаляет персональные данные несовершеннолетних при выявлении фактов их обработки без согласия законных представителей.
• Автоматизированная обработка. Решения, влияющие на права субъектов, не принимаются на основе исключительно автоматизированной обработки персональных данных.

7. Лицо, ответственное за организацию обработки персональных данных
7.1. Права, обязанности и юридическая ответственность лица, ответственного за организацию обработки персональных данных, установлены ст.22.1 152-ФЗ и локальными актами Оператора в сфере обработки и защиты персональных данных.
7.2. Назначение лица, ответственного за организацию обработки персональных данных, и его освобождение от указанных обязанностей осуществляется решением Оператора. При назначении лица, ответственного за организацию обработки персональных данных, учитываются полномочия, компетенции и личностные качества лица, призванные позволить ему надлежащим образом и в полном объеме реализовывать свои права и выполнять обязанности.
7.3. Лицо, ответственное за организацию обработки персональных данных:
• организует осуществление внутреннего контроля над соблюдением Оператором применимого законодательства о персональных данных, в том числе требований к защите персональных данных;
• обеспечивает доведение до сведения лиц, осуществляющих обработку персональных данных в предусмотренных Оператором целях, положения применимого законодательства о персональных данных, локальных актов Оператора по вопросам обработки персональных данных, требований к защите персональных данных;
• осуществляет контроль приема и обработки поступающих Оператору обращений и запросов субъектов персональных данных или их представителей.

8. Лицо, ответственное за обеспечение безопасности персональных данных в информационных системах персональных данных
8.1. Для каждой из информационных систем персональных данных руководитель Оператора назначается должностное лицо, ответственное за обеспечение безопасности персональных данных при их обработке в данной информационной системе персональных данных. При этом одно должностное лицо может являться ответственным за обеспечение безопасности персональных данных при их обработке в нескольких информационных системах персональных данных.
8.2. Лицо, ответственное за обеспечение безопасности персональных данных в информационных системах персональных данных, отвечает за сохранности персональных данных в информационных системах персональных данных, принятие и обеспечение технических мер защиты персональных данных в информационных системах персональных данных, содействует предотвращению компьютерных инцидентов с персональными данными и участвует в расследовании компьютерных инцидентов с персональными данными.

9. Передача персональных данных третьим лицам
9.1. Для достижения предусмотренных целей обработки персональных данных Оператор вправе привлекать третьих лиц к обработке персональных данных путем поручения третьим лицам обработки персональных данных или достижения с третьим лицом соглашения в иной предусмотренной законодательством форме. В целях исполнения действующего законодательства РФ персональные данные могут передаваться третьим лицам без поручения обработки персональных данных.
9.2. Привлечение третьих лиц к обработке персональных данных может осуществляться только при условии обработки такими лицами персональных данных в минимально необходимом составе и исключительно для достижения предусмотренных целей обработки персональных данных, а также при условии обеспечения такими лицами конфиденциальности и безопасности персональных данных при их обработке (в случае неисполнения третьими лицами данных условий указанные лица будут нести ответственность на основании своих договорных обязательств перед Оператором и (или) в соответствии с положениями применимого законодательства).
9.3. Передача данных третьим лицам возможна только с согласия субъекта персональных данных или в целях исполнения Оператором договорных обязательств перед субъектом персональных данных. Исключения из этого правила составляют: (1) передача персональных данных третьим лицам в прямо предусмотренных законом случаях (например, передача персональных данных по запросам правоохранительных органов, налоговым органам и пр.); (2) передача персональных данных при правопреемстве; и (3) передача Оператором персональных данных в целях защиты своих прав (например, юридическим консультантам).
9.4. Фактический состав привлекаемых Оператором третьих лиц к обработке персональных данных определяется исходя из сложившихся отношений между Оператором и субъектом персональных данных, а также в соответствии с положениями применимого законодательства, договоров между Оператором и субъектом персональных данных, согласия(ий) субъекта персональных данных на обработку персональных данных.
9.5. Оператор вправе создавать общедоступные источники персональных данных и (или) публиковать (распространять) персональные данные без ограничений только при наличии специального согласия субъекта персональных данных или его законного представителя на такое распространение или на основании требований применимого законодательства.
9.6. Оператор не имеет права:
• Передавать персональные данные по телефону, поскольку при такой передаче невозможно идентифицировать лицо, которое получает персональные данные.
• Предоставлять персональные данные без проверки полномочий лица, которое запрашивает персональные данные.
9.7. Трансграничная передача данных не осуществляется.

10. Права и обязанности субъектов персональных данных
10.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.
10.2. Субъект персональных данных вправе требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
10.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта к его персональным данным нарушает права и законные интересы третьих лиц.
10.4. Субъект персональных данных вправе в любое время полностью или в какой-либо части отозвать ранее предоставленное(ые) Оператору согласие(я) на обработку персональных данных и (или) обратиться к Оператору с требованием о прекращении обработки персональных данных, за исключением случаев, когда обработка персональных данных предусмотрена п.п.2-11 ч.1 ст.6, ч.2 ст.10 и ч.2 ст.11 152-ФЗ. Указанные в настоящем пункте права могут быть реализованы путем направления Оператору обращения.
10.5. Для реализации и защиты своих прав и законных интересов субъект персональных данных или его представители имеют право обратиться к Оператору любым удобным и возможным для них способом.
10.6. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
10.7. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
10.8. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
10.9. Порядок реализации своих прав субъектом персональных данных
Для реализации прав, а также в случае возникновения у него каких-либо вопросов в отношении обработки его персональных данных или положений Политики, субъект персональных данных может обратиться к Оператору по электронной почте или направить письменное заявление по адресу Оператора. Запрос по электронной почте должен быть подписан электронной подписью субъекта персональных данных в соответствии с законодательством РФ либо быть оформлен в форме скан-копии подписанного субъектом персональных данных письменного обращения. Оператор не обрабатывает запросы, поступившие по телефону или факсу, ввиду отсутствия возможности идентифицировать личность Субъекта персональных данных.
Оператор проверяет запросы и обращения Субъектов персональных данных на наличие:
▪ фамилии, имени и отчества заявителя;
▪ фамилии, имени и отчества Субъекта персональных данных;
▪ номера основного документа, удостоверяющего личность Субъекта персональных данных или его законного представителя, сведений о дате выдачи указанного документа и выдавшем органе;
▪ собственноручной подписи Субъекта персональных данных - для письменных запросов и обращений или электронной подписи - для электронных запросов.
При необходимости Оператор вправе запросить у Субъекта персональных данных дополнительную информацию.
Срок рассмотрения обращений - не более 10 рабочих дней с возможностью продления этого срока на срок до 5 рабочих дней, при условии направления Оператором субъекту персональных данных уведомления, содержащего описание конкретных и явных причин такого продления.
Оператор направляет субъекту персональных данных письменный ответ по результатам рассмотрения обращения вне зависимости от формы поступившего запроса и решения, принятого по результатам рассмотрения запроса.
10.10. Для реализации прав субъекта персональных данных Оператор вправе запросить:
▪ Документ, удостоверяющий личность субъекта персональных данных;
▪ Подтверждение полномочий представителя (для несовершеннолетних)
▪ Иные сведения для точной идентификации субъекта персональных данных.
Без предоставления запрашиваемых данных реализация прав субъекта персональных данных может быть ограничена.
10.11. Ограничение прав субъектов персональных данных. Оператор вправе ограничить права субъекта, если:
10.11.1. Обработка осуществляется в целях:
▪ Обороны и безопасности государства
▪ Борьбы с терроризмом
▪ Противодействия отмыванию денег
10.11.2. Реализация прав:
▪ Нарушает права третьих лиц
▪ Противоречит законным основаниям обработки
Во всех случаях Оператор принимает решение об ограничении прав субъекта персональных данных в соответствии с законодательством РФ.
10.12. Обязанности субъектов персональных данных:
▪ Субъект обязан предоставлять Оператору актуальную, достоверную и точную информацию. Субъект персональных данных несет ответственность за последствия предоставления недостоверных данных, в том числе возмещает Оператору убытки, вызванные предоставлением недостоверных данных.
▪ Законные представители при предоставлении персональных данных несовершеннолетних должны подтверждать свои полномочия.
10.13. О представителях: лицо вправе разрешать, ограничивать или запрещать обработку персональных данных третьих лиц только на основании представительства, установленного законом (например, родители и опекуны) или сделкой (например, доверенность), дающего ему право давать разрешения на обработку персональной информации за третье лицо и нести иные права и обязанности в интересах такого третьего лица. Если лицо не имеет права дать такое разрешение или утратило право дать такое разрешение, то оно обязано воздержаться от предоставления данных Оператору или прекратить размещение данных (удалить данные) соответственно, а в случае появления соответствующих претензий оно обязуется самостоятельно разрешить противоречия и освободить Оператора от соответствующих требований. В случае несоблюдения этих требований такое лицо обязано возместить Оператору все убытки и иные потери, вызванные несоблюдением указанных требований.

11. Условия прекращения обработки персональных данных и порядок Уничтожения персональных данных
11.1. Оператор прекращает обработку персональных данных в следующих случаях:
• достижение целей обработки персональных данных и (или) максимальных сроков хранения персональных данных;
• утрата необходимости в достижении целей обработки персональных данных;
• выявление неправомерной обработки персональных данных, в том числе факта незаконного получения персональных данных или отсутствия необходимости персональных данных для заявленной цели обработки персональных данных;
• невозможность обеспечения правомерности обработки персональных данных;
• отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных;
• требование субъекта персональных данных к Оператору о прекращении обработки персональных данных, за исключением случаев, когда Оператор вправе продолжать обработку персональных данных в силу закона;
• истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;
• ликвидация или некоторые формы реорганизации Оператора;
11.2. Прекращение обработки персональных данных, регулируемой нормами 152-ФЗ, происходит:
• путем блокирования персональных данных;
• путем уничтожения персональных данных;
• путем сдачи в архив в случаях, предусмотренных законодательством об архивном деле в РФ.
11.3. Уничтожение персональных данных производится способом, исключающим возможность восстановления этих персональных данных. Если персональные данные невозможно уничтожить без такого повреждения их материального носителя персональных данных, которое будет препятствовать его дальнейшему использованию по назначению, то уничтожению подлежат и персональные данные, и их материальный носитель.
11.4. Подтверждение факта уничтожения персональных данных осуществляется в соответствии с требованиями, установленными Роскомнадзором.
11.5. При невозможности уничтожения персональных данных в сроки, определенные 152-ФЗ для случаев, когда невозможно обеспечить правомерность обработки персональных данных, при достижении целей обработки персональных данных, а также при отзыве субъектом согласия на обработку персональных данных и (или) получении Оператором требования субъекта персональных данных о прекращении обработки персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных, Оператор осуществляет блокирование персональных данных и уничтожает персональные данные в течение 6 (Шести) месяцев, если иной срок не установлен применимым законодательством.

12. утверждение и изменение Политики
12.1. Политика утверждается и вводится в действие решением Оператора и действует до ее отмены.
12.2. Политика может быть изменена или дополнена решением Оператора в следующих случаях:
• при изменении действующего законодательства в области защиты персональных данных;
• при изменении локальных актов Оператора, прямо или косвенно регламентирующих обработку и защиту персональных данных;
• при изменении внутренних процессов обработки данных Оператором;
• изменений в деятельности и организационной структуре Оператора;
• изменений во взаимоотношениях Оператора с субъектами персональных данных, контрагентами и иными лицами;
• при изменении целей или способов обработки персональных данных;
• в иных случаях, требующих актуализации Политики.
12.3. Оператор вправе пересматривать и изменять Политику по мере необходимости, но не реже одного раза в три года с момента проведения предыдущего пересмотра Политики.
12.4. Изменения в Политике вступают в силу после их публикации на Интернет-ресурсе https://ipanemastudio.ru/, если иное не предусмотрено новой редакцией Политики. Утратившие силу редакции доступны в архиве по указанному в Политике адресу.
12.5. Действующая редакция Политики на бумажном носителе хранится в месте нахождения Оператора по адресу исполнительного органа Оператора (см. п.1.1 Политики).
12.6. Оператор уведомляет субъектов персональных данных об изменениях одним из следующих способов:
• размещение уведомления на Сайте;
• рассылка по электронной почте;
• публикация в социальных сетях (в том числе в одной из социальных сетей) Оператора;
• иным способом, предусмотренным законодательством или договором с Пользователем.
12.7. При несогласии субъекта персональных данных с внесенными изменениями он обязан уведомить Оператора в письменной форме. В таком случае Оператор может предложить варианты дальнейшего взаимодействия, включая возможность прекращения обработки данных и их удаления, если это допустимо по закону.
12.8. Субъектам персональных данных рекомендуется самостоятельно регулярно знакомиться с актуальной версией Политики, размещенной на Сайте.
12.9. Местом выражения согласия с Политикой и местом исполнения Политики всегда является место нахождения Оператора, а правом, применимым к отношениям Оператора и Субъекта персональных данных, всегда является право Российской Федерации, вне зависимости от того, где находится Субъект персональных данных или оборудование, используемое им.

13. Ответственность
13.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут ответственность, предусмотренную законодательством РФ, локальными актами Оператора и договорами, регламентирующими правоотношения Оператора с третьими лицами.

14. Реквизиты Оператора
Индивидуальный предприниматель Кондрюкова Анна Владимировна

ОГРНИП: 319547600096043
ИНН: 540233626551
Контактные данные:
Телефон: +7 953 888-74-43, +7 913 716-14-73
Сайт: https://ipanemastudio.ru
Электронная почта: ipanemanovosibirsk@mail.ru
В случае возникновения вопросов относительно обработки персональных данных субъекты могут обращаться по указанным контактам.