Положение о защите персональных данных Клиентов и их детей.

1. Общие положения.

1.1. Некоторые понятия, использованные в данном Положении:

1.1.1. Индивидуальный предприниматель или ИП или - Индивидуальный предприниматель Макушин Сергей Игоревич (ИНН 772034017031, ОГРНИП 317505300015996), оказывающий услуги по организации развивающего досуга, творческих и прикладных занятий по адресу Московская область, г.о. Балашиха, ул. Крупешина, дом 1, пом.II (далее по тексту – Услуги) на основании договора оферты или иного договора.

1.1.2. Ребенок (во множественном числе – дети) – несовершеннолетний, в отношении которого заключен договор оферты или иной договор, согласного которому оказываются Услуги.

1.1.3. Клиент – законный представитель (родитель, опекун) ребенка, заключивший договор оферты или иной договор, согласного которому оказываются Услуги.

1.2. Положение о защите персональных данных Клиентов ИП и их детей разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ, Гражданским кодексом РФ и иными нормативно-правовыми актами в области защиты персональных данных, действующими на территории Российской Федерации.

1.3. Цель настоящего Положения – определение порядка обработки персональных данных Клиентов ИП и их детей; защита персональных данных Клиентов ИП и их детей от несанкционированного доступа, разглашения, утраты, уничтожения, предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений; обеспечение защиты прав и свобод человека и гражданина, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных

1.4. В целях настоящего Положения:

1.4.1. под персональными данными (далее – ПД) понимается любая информация, прямо или косвенно относящаяся к субъекту персональных данных;

1.4.2. под угрозами безопасности ПД понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПД, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПД, а также иные неправомерные действия при их обработке в информационной системе ПД;

1.4.3. под уровнем защищенности ПД понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПД при их обработке в информационной системе.

1.5. Режим конфиденциальности персональных данных снимается в случаях их обезличивания если иное не определено законом.

1.6. Настоящее Положение и изменения к нему утверждаются Индивидуальным предпринимателем и вводятся приказом. Все работники Индивидуального предпринимателя должны быть ознакомлены под подпись с данным Положением и изменениями к нему.

1.7. Клиент имеет право в любой момент ознакомиться с настоящим Положением.

1.8. Настоящее Положение вступает в силу с момента утверждения и действует бессрочно, до замены его новым Положением.


2. Получение и обработка персональных данных Клиентов ИП и их детей.

2.1. ПД Клиента и/или его ребенка Индивидуальный предприниматель получает непосредственно от Клиента.

2.2. В состав персональных данных Клиента и/или его ребенка входят сведения о паспортных данных (или данные иных документов, удостоверяющих личность), семейном положении, месте жительства, состоянии здоровья и пр., а также документы, содержащие данные сведения информацию.

2.3. До начала оказания Услуг Клиент заполняет анкету, в которой указывает следующие сведения (минимальный объем ПД Клиента и его ребенка, необходимый для оказания Услуг):

2.3.1. Фамилия, имя, отчество (далее – ФИО) ребенка;

2.3.2. Дата рождения ребенка;

2.3.3. Фамилия, имя, отчество (далее – ФИО) Клиента с указанием степени родства;

2.3.4. Контактные данные клиента – мобильный телефон, домашний телефон (если есть), электронная почта и т.д.;

2.3.5. Иные сведения, имеющие значение при оказании Услуг, а также защите жизни, здоровья или иных жизненно важных интересов Клиента или его ребенка, с которыми Клиент считает нужным ознакомить Индивидуального предпринимателя (например – наличие у ребенка хронических заболеваний, аллергий (в т.ч. на лекарства) и т.п.).

2.4. При изменении ПД Клиент письменно уведомляет Индивидуального предпринимателя о таких изменениях в разумный срок, не превышающий 14 календарных дней.

3. Хранение персональных данных Клиентов ИП и их детей.

3.1. Анкета клиента хранятся в бумажном виде в папках, в специально отведенном запирающемся шкафу, или в электронном виде в электронной базе данных.

3.2. Доступ к электронным базам данных, содержащим ПД Клиентов и их детей, обеспечивается системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются Индивидуальным предпринимателем сообщаются индивидуально работникам, имеющим доступ к ПД Клиентов и их детей.

3.3. Изменение паролей Индивидуальным предпринимателем происходит по мере необходимости.

3.4. Обработка (доступ, передача, предоставление и пр.) ПД Клиента и его ребенка без получения согласия Клиента осуществляется исключительно в случаях, предусмотренных п.1 ст.6 Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», когда, в т.ч. но не только:

3.4.1. обработка персональных данных необходима для исполнения договора оферты или иного договора, на основании которого оказываются Услуги.

3.4.2. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов Клиента или его ребенка;

3.4.3. обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц;

3.5. Доступ к ПД Клиента и его ребенка имеют:

3.5.1. Индивидуальный предприниматель – в полном объеме;

3.5.2. Работники индивидуального предпринимателя – в минимальном объеме, необходимом для оказания Услуг (ФИО и дата рождения ребенка, ФИО Клиента, контактные данные Клиента, иная информация, сообщенная Клиентом и имеющая значение при оказании Услуг, защите жизни, здоровья или иных жизненно важных интересов Клиента или его ребенка), либо в объеме, оговоренном в Согласии Клиента на обработку персональных данных его и/или его ребенка;

3.5.3. Доступ третьих лиц к ПД Клиента и его ребенка осуществляется в крайнем случае, с соблюдением положений п.1 ст.6 Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», а при отсутствии угрозы жизни и здоровью Клиента или его ребенка – сопровождается письменным разрешением Индивидуального предпринимателя.

3.6. Клиент, в отношении собственных ПД и ПД его ребенка, имеет право:

3.6.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные Клиента и его ребенка.

3.6.2. Требовать от Индивидуального предпринимателя уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для Индивидуального предпринимателя персональных данных.

3.6.3. Получать от Индивидуального предпринимателя:

3.6.3.1. сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

3.6.3.2. перечень обрабатываемых персональных данных и источник их получения;

3.6.3.3. сроки обработки персональных данных, в том числе сроки их хранения;

3.6.3.4. сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

3.6.4. Требовать извещения Индивидуальным предпринимателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

3.6.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Индивидуального предпринимателя при обработке и защите его персональных данных.

3.6.6. Получение в письменной форме, в т.ч. в форме электронного документа, информации о ПД, оговоренной в п. 3.6 настоящего Положения (в т.ч. но не только - копий, выписок), происходит по письменному требованию Клиента – субъекта ПД, по письменному распоряжению Индивидуального предпринимателя, в течение 5 (пяти) рабочих дней после получения соответствующего требования. Информация предоставляется в форме, указанной в требовании.

4. Защита персональных данных.

4.1. Индивидуальный предприниматель принимает следующие меры по защите ПД Клиентов и их детей:

4.1.1. Назначение лица, ответственного за обработку ПД Клиентов и их детей, которое осуществляет организацию обработки ПД, инструктаж, внутренний контроль за соблюдением работниками требований к защите ПД.

4.1.2. Использование принципа разумной достаточности – т.е. работникам предоставляется доступ только к тем ПД (и только тех Клиентов и их детей), которые необходимы работнику для исполнения его служебных обязанностей.

4.1.3. Разработка политики в отношении обработки ПД.

4.1.4. Установление правил доступа к ПД.

4.1.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.

4.1.6. Использование лицензированного программного обеспечения, регулярно обновляемого, в т.ч. - антивирусного с регулярно обновляемыми базами.

4.1.7. Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ.

4.1.8. Обнаружение фактов несанкционированного доступа к ПД.

4.1.9. Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

4.1.10. Ознакомление работников, непосредственно осуществляющих обработку ПД и/или имеющих доступ к ПД, с положениями законодательства РФ о ПД, в том числе с требованиям к защите ПД, с локальными актами Индивидуального предпринимателя по вопросам обработки ПД.

4.1.11. Осуществление внутреннего контроля.

4.1.12. Определение типа угроз безопасности и уровней защищенности ПД, которые хранятся в информационных системах, с целью оперативного принятия необходимых мер для защиты ПД Клиента и его ребенка.

4.2. Дополнительно, в целях защиты ПД на бумажных носителях Индивидуальный предприниматель:

4.2.1. ограничивает допуск в помещения, где хранятся документы, которые содержат ПД Клиента и его ребенка;

4.2.2. хранит документы, содержащие ПД Клиента и его ребенка в шкафах, запирающихся на ключ;

4.3. В целях обеспечения конфиденциальности документы, содержащие ПД Клиента и его ребенка, оформляются, ведутся и хранятся только Индивидуальным предпринимателем или уполномоченными работниками ИП.

4.4. Работники Индивидуального предпринимателя, допущенные к ПД Клиентов и их детей, подписывают обязательства о неразглашении ПД. В противном случае до обработки ПД Клиента и его ребенка не допускаются.

4.5. Передача ПД Клиента и его ребенка по запросам третьих лиц, если такая передача прямо не предусмотрена законодательством РФ, допускается исключительно с согласия Клиента на обработку его ПД в части их предоставления или согласия на распространение ПД.

4.6. При передаче ПД по запросам третьих лиц, при условии исполнения п.4.5. настоящего Положения, Индивидуальный предприниматель предпринимает разумные усилия для получения подтверждения от лиц, получающих персональные данные Клиента или его ребенка, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.

4.7. Передача информации, содержащей сведения о ПД Клиента или его ребенка, по телефону в связи с невозможностью идентификации лица, запрашивающего информацию, запрещается.

5. Использование персональных данных Клиентов ИП и их детей.

5.1. ПД Клиента и его ребенка используются для:

5.1.1. исполнения договора оферты или иного договора, на основании которого оказываются Услуги;

5.1.2. защиты жизни, здоровья или иных жизненно важных интересов Клиента или его ребенка;

5.1.3. осуществления прав и законных интересов оператора или третьих лиц;

5.1.4. обеспечения соблюдения законов и иных нормативных правовых актов;

5.1.5. прочих целей, отдельно оговоренных в Согласии на обработку персональных данных.

5.2. Специально уполномоченные лица, которым разрешен доступ к ПД Клиента и его ребенка, за исключением ПД оговоренных в п. 2.3. настоящего Положения, утверждаются Приказом (распоряжением) Индивидуального предпринимателя, с указанием перечня ПД Клиента или его ребенка, к которым имеет доступ каждое специально уполномоченное лицо. Специально уполномоченные лица получают только те персональные данные, которые необходимы для выполнения конкретных задач.

6. Передача персональных данных Клиентов ИП и их детей третьим лицам.

6.1. Информация, относящаяся к ПД Клиента и его ребенка, может быть предоставлена государственным органам в порядке, установленном федеральным законом.

6.2. Индивидуальный предприниматель не вправе предоставлять ПД Клиента или его ребенка третьей стороне без письменного согласия Клиента за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Клиента или его ребенка, а также в других случаях, предусмотренных федеральными законами РФ.

6.3. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом или настоящим Положением на получение информации, относящейся к ПД Клиента или его ребенка, Индивидуальный предприниматель обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления подшивается к Анкете Клиента.

7. Гарантии конфиденциальности персональных данных.

7.1. Все работники организации, осуществляющие обработку ПД Клиента и его ребенка, обязаны хранить тайну о сведениях, содержащих ПД, в соответствии с Положением и требованиями законодательства РФ.

7.2. Клиент вправе требовать полную информацию о своих ПД и ПД своего ребенка, об их обработке, использовании и хранении.

7.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПД Клиента и его ребенка, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.

8. Сроки хранения персональных данных.

8.1. Срок хранения ПД Клиента и его ребенка, содержащихся в документах, образующихся в деятельности Индивидуального предпринимателя (оператора), устанавливается до 01 марта года, следующего за годом, в течение которого Клиент и/или его ребенок последний раз воспользовались услугами Индивидуального предпринимателя.

8.2. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

8.3. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 настоящего Федерального закона. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.


Индивидуальный предприниматель Макушин С.И.