ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

г. Санкт-Петербург

2026



1. Общие положения

1.1. Политика обработки персональных данных Индивидуального предпринимателя Соболевой Виктории Викторовны (ИНН 230109988055, ОГРНИП 318784700194201) (далее – Оператор) разработана в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ, а также в соответствии с иными федеральными законами и подзаконными актами Российской Федерации, указанными в Приложении 2 и определяющими случаи и особенности обработки персональных данных и обеспечения безопасности и конфиденциальности такой информации (далее – Законодательство о персональных данных).
1.2. Политика разработана в целях реализации требований законодательства в области обработки и обеспечения безопасности персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных.
1.3. Политика устанавливает:
  • цели обработки персональных данных;
  • классификацию персональных данных и субъектов персональных данных;
  • общие принципы обработки персональных данных;
  • основных участников системы управления процессом обработки персональных данных;
  • основные подходы к системе управления процессом обработки персональных данных.
1.4. Настоящая Политика определяет основные принципы, которыми руководствуется Оператор при обработке персональных данных в процессе осуществления своей деятельности.
1.5. Целью настоящей Политики является формирование и проведение единой политики при обработке и обеспечении безопасности персональных данных.
1.6. Действие настоящей Политики распространяется на все процессы Оператора, связанные с обработкой и обеспечением безопасности персональных данных.
1.7. Положения настоящей Политики являются основой для организации работы по обработке персональных данных у Оператора, в том числе, для разработки внутренних нормативных документов, регламентирующих процесс обработки персональных данных у Оператора.

2. Цели обработки персональных данных

2.1. Оператор осуществляет обработку персональных данных в целях:
  • аналитики поведения посетителей сайта Оператора в сети «Интернет»;
  • ведения кадрового и бухгалтерского учета;
  • заключение, исполнение и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством;
  • информирование о продуктах, сервисах, услугах и маркетинговые коммуникации, связанные с предоставлением продуктов, сервисов, услуг
  • иных законных целях, прямо предусмотренных Федеральным законом РФ № 152-ФЗ «О защите персональных данных».
  • корректной работы сайта Оператора в сети «Интернет»;
  • на веб-сайте, включая взаимодействие по вопросам предоставления и
  • обеспечения соблюдения налогового законодательства РФ;
  • обеспечения соблюдения пенсионного и страхового законодательства РФ;
  • осуществления возложенных на Оператора законодательством Российской Федерации функций в соответствии с Гражданским кодексом РФ, а также иными федеральными законами, подзаконными нормативными правовыми актами;
  • осуществления деятельности Оператора в соответствии с внутренними документами Оператора и иных предусмотренных законом целей;
  • передача персональных данных партнерам (застройщикам, агрегаторам, банковским организациям, страховым компаниям, будущим контрагентам по договорам купли-продажи недвижимости, государственным органам и другим лицам) в рамках заключенных договоров с клиентами
  • подбора персонала (соискателей) на вакантные должности оператора;
  • предоставление доступа субъекту персональных данных к сервисам, информации о предлагаемых услугах и/или материалам, содержащимися
  • проявления должной осмотрительности при заключении сделок;
  • рассмотрения и предоставления необходимой информации по обращению и/или запросу субъекта персональных данных к Оператору;
  • сопровождения продуктов, сервиса и услуг.
2.2. Обработка персональных данных осуществляется Оператором для достижения конкретных и законных целей. Цели, способы обработки персональных данных и действия (операции) с персональными данными установлены Политикой в отношении обработки персональных данных.
2.3. Исходя из установленных целей обработки персональных данных, Оператор определяет состав персональных данных, подлежащих обработке. Состав персональных данных, обрабатываемых у Оператора, сведения о целях обработки указанных персональных данных и сроках обработки определены в Перечне персональных данных.
2.4. Хранение персональных данных осуществляется Оператором в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. 
2.5. Обрабатываемые персональные данные должны быть достоверными, их объем и характер, а также способы обработки должны соответствовать изначально заявленным целям при сборе персональных данных. Не допускается обработка персональных данных, избыточных по отношению к заявленным целям.
2.6. Исходя из состава, целей и способов обработки персональных данных, структуры корпоративной компьютерной сети, потоков информации, информационных технологий и технических средств, используемых для обработки персональных данных у Оператора, выделяются информационные системы персональных данных. Выделенные информационные системы персональных данных и их основные характеристики определены в Перечне информационных систем персональных данных.

3. Классификация персональных данных и субъектов персональных данных

3.1. Оператор обрабатывает персональные данные следующих субъектов:
3.1.1. Контрагентов (физических лиц), в том числе потенциальных, представителей контрагентов (физических и юридических лиц), в том числе потенциальных, клиентов (физических лиц), в том числе потенциальных, представителей клиентов (физических и юридических лиц), в том числе потенциальных, выгодоприобретателей по договорам
С целью осуществления возложенных на Оператора законодательством Российской Федерации функций в соответствии с Гражданским кодексом РФ, а также иными федеральными законами, подзаконными нормативными правовыми актами; проявления должной осмотрительности при заключении сделок; заключения и исполнения обязательств по договорам, формировании базы контрагентов, заключения и выполнения обязательств по договорам гражданско-правового характера; осуществления деятельности Оператора в соответствии с внутренними документами Оператора и иных предусмотренных законом целей.
Следующие категории персональных данных:
  • фамилия, имя, отчество;
  • год рождения;
  • пол;
  • возраст;
  • дата и место рождения;
  • гражданство;
  • документ, удостоверяющий личность гражданина РФ;
  • адрес регистрации;
  • свидетельство о рождении ребенка;
  • ИНН;
  • СНИЛС;
  • справки о доходах физических лиц, в том числе справки по форме 2-НДФЛ;
  • данные из бюро кредитной истории;
  • почтовый и электронный адреса;
  • номера телефонов;
  • документы, подтверждающие наличие льгот по материнскому капиталу, иных льгот;
  • жилищные сертификаты;
  • документы, подтверждающие инвалидность несовершеннолетних лиц;
  • документы, подтверждающие многодетность семьи;
  • документы, подтверждающие участие в специальной военной операции;
  • иные документы, подтверждающие социальные и имущественные льготы, предоставляемые субъектами персональных данных;
  • банковские реквизиты;
  • номер лицевого счета;
  • профессия;
  • должность;
  • сведения об образовании;
  • иные данные, прямо или косвенно относящиеся к субъекту персональных данных, на которых субъект персональных данных настаивает и которые необходимы для достижения указанной цели.
3.1.2. Контрагентов (физических лиц), в том числе потенциальных, представителей контрагентов (физических и юридических лиц), в том числе потенциальных, клиентов (физических лиц), в том числе потенциальных, представителей клиентов (физических и юридических лиц), в том числе потенциальных, а также работников – в случае приема на работу по трудовому договору с Опеартором
С целью обеспечения соблюдения налогового законодательства РФ.
Следующие категории персональных данных:
  • фамилия, имя, отчество;
  • год рождения;
  • месяц рождения;
  • дата рождения;
  • доходы;
  • пол;
  • СНИЛС;
  • ИНН;
  • гражданство;
  • данные документа, удостоверяющего личность.
3.1.3. Работников, уволенных работников – в случае приема на работу по трудовому договору с Оператором
С целью ведения кадрового и бухгалтерского учета, а также обеспечения соблюдения пенсионного и страхового законодательства РФ.
Следующие категории персональных данных:
  • фамилия, имя, отчество;
  • год рождения;
  • месяц рождения;
  • дата рождения;
  • место рождения;
  • семейное положение;
  • социальное положение;
  • доходы;
  • пол;
  • адрес электронной почты;
  • адрес места жительства;
  • адрес регистрации;
  • номер телефона;
  • СНИЛС;
  • ИНН;
  • гражданство;
  • реквизиты банковской карты;
  • номер лицевого счета;
  • профессия;
  • должность;
  • сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);
  • отношение к воинской обязанности;
  • сведения о воинском учете;
  • сведения об образовании;
  • данные документов о подтверждении специальных знаний;
  • знание иностранных языков;
  • сведения о социальных и иных льготах, на которые работник имеет право в соответствии с законодательством;
  • сведения о выплате алиментов;
  • данные о кадровых мероприятиях (сведения о приеме/увольнении, переводе на другую работу, сведения о премировании, награждениях и поощрениях, сведения о командировках, данные об отпусках, информация о яках/не явках на работу).
3.1.4. Соискателей – в случае подбора персонала на вакантные должности у Оператора
С целью подбора персонала (соискателей) на вакантные должности Оператора.
Следующие категории персональных данных:
  • фамилия, имя, отчество;
  • год рождения;
  • месяц рождения;
  • дата рождения;
  • место рождения;
  • семейное положение;
  • социальное положение;
  • пол;
  • адрес электронной почты;
  • адрес места жительства;
  • адрес регистрации;
  • номер телефона;
  • СНИЛС;
  • ИНН;
  • гражданство;
  • данные документа, удостоверяющего личность;
  • профессия;
  • должность;
  • сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);
  • отношение к воинской обязанности, сведения о воинском учете;
  • сведения об образовании.
3.1.5. Субъектов персональных данных, персональные данные которых обрабатываются Оператором
С целью рассмотрения и предоставления необходимой информации по обращению и/или запросу субъекта персональных данных к Оператору.
Следующие категории персональных данных:
  • фамилия, имя, отчество;
  • год рождения;
  • месяц рождения;
  • дата рождения;
  • адрес электронной почты;
  • номер телефона;
  • иная информация, указанная субъектом персональных данных в запросе/обращении к Оператору.
3.1.6. Посетителей и пользователей интернет-сайта Оператора.
В отношении персональных данных, обрабатываемых на сайте Оператора субъект персональных данных вправе ознакомиться с конкретным перечнем обрабатываемых персональных данных, основаниях и сроках обработки на сайте Оператора по адресу: https://soboleva-nedvizhmost.ru/policy.
3.1.7. Иных лиц в случаях прямо предусмотренных Федеральным законом РФ № 152-ФЗ «О защите персональных данных». 
3.2. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни, судимости физических лиц, если иное не установлено законодательством Российской Федерации.

4. Общие принципы обработки персональных данных

4.1. Оператор осуществляет обработку персональных данных на основе общих принципов:
  • законности заранее определенных конкретных целей и способов обработки персональных данных;
  • обеспечения надлежащей защиты персональных данных;
  • соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
  • соответствия объема, характера и способов обработки персональных данных целям обработки персональных данных;
  • достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
  • недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
  • уничтожения персональных данных по достижении целей их обработки, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
  • обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.
4.2. Порядок и условия обработки персональных данных
4.2.1. Обработка персональных данных Оператором осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (предоставления, доступа), блокирования, удаления и уничтожения.
4.2.2. Оператор осуществляет смешанную обработку персональных данных (производится как при помощи средств вычислительной техники, так и без них).
4.2.3. Автоматизированная обработка персональных данных осуществляется согласно требованиям и положениям настоящей Политики в части обработки персональных данных в информационных системах персональных данных Оператора, а также требованиям законодательства РФ.
4.2.4. Трансграничная передача персональных данных не осуществляется. В случае необходимости осуществления трансграничной передачи персональных данных Оператор, перед совершением такой передачи, обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, а также в отсутствии установленных законодательством запретов или ограничений на передачу персональных данных на территорию данного иностранного государства.
4.2.5. Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться Оператором в случаях:
  • наличия согласия в письменной форме субъекта персональных данных;
  • исполнения договора, стороной которого является субъект персональных данных;
  • в иных случаях, установленных законодательством РФ.
4.2.6. Оператор вправе поручить обработку персональных данных субъектов третьим лицам.
4.2.7. Лицо, осуществляющее обработку персональных данных по поручению Оператора, соблюдает принципы и правила обработки персональных данных, предусмотренные настоящей Политикой. В поручении Оператора определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, способы и цели обработки, установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных.
4.2.8. При поручении обработки персональных данных другому лицу ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
4.2.9. Распространение персональных данных может осуществляться только после получения согласия на распространение персональных данных, в котором должен быть определен перечень персональных данных, разрешенных субъектом персональных данных для распространения.
4.2.10. Уточнение персональных данных осуществляется по запросам субъектов персональных данных, их законных представителей или в случае обращения уполномоченных органов.
4.2.11. Основанием для уничтожения персональных данных, обрабатываемых Оператор, является:
  • достижение цели обработки персональных данных;
  • прекращение необходимости в достижении цели обработки персональных данных;
  • отзыв субъектом персональных данных согласия на обработку персональных данных, за исключением случаев, когда обработка указанных персональных данных является обязательной в соответствии с законодательством РФ или договором, либо обработка может осуществляться без согласия субъекта персональных данных;
  • выявление неправомерных действий с персональными данными и невозможность устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты такого выявления;
  • истечение срока хранения персональных данных, установленного законодательством РФ, локальными нормативными актами Оператора, договором, заключенным с субъектом персональных данных, согласием субъекта персональных данных;
  • предписание Роскомнадзора или иного уполномоченного органа.
  • иные установленные законодательством случаи.

5. Права субъектов персональных данных

5.1. Право субъекта персональных данных на доступ к его персональным данным
5.1.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
  • подтверждение факта обработки персональных данных Оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Оператором способы обработки персональных данных;
  • наименование и место нахождения Оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных 152-ФЗ;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
  • информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 152-ФЗ (меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных № 152-ФЗ);
  • иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.
5.1.2. Указанные в п. 5.1.1 Политики сведения предоставляются субъекту персональных данных или его представителю (далее – представитель) Оператором в течении 10 (десяти) рабочих дней с момента обращения либо получения Оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Запрос должен содержать:
  • номер основного документа, удостоверяющего личность субъекта персональных данных,
  • сведения о дате выдачи указанного документа и выдавшем его органе,
  • сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором,
  • доверенность или адвокатское удостоверение представителя, если запрос подается представителем субъекта персональных данных,
  • подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет сведения, указанные в п. 5.1.1 Политики, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
5.1.3. Указанные в п 5.1.1 Политики сведения должны быть предоставлены субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
5.1.4. В случае, если сведения, указанные в п. 5.1.1 Политики, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить повторный запрос не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
5.1.5. Субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в п. 5.1.1. Политики, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 5.1.4 Политики, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 5.1.2 Политики, должен содержать обоснование направления повторного запроса.
5.1.6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 5.1.4 и 5.1.5 Политики. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
5.1.7. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
  • обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма;
  • доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
  • иных случаях, предусмотренных федеральным законодательством.
5.1.8. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.2. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке
5.2.1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Оператор не докажет, что такое согласие было получено.
5.2.2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в п. 5.2.1 Политики.
5.3. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
5.3.1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных п. 5.3.2 Политики.
5.3.2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
5.3.3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
5.3.4. Оператор обязан рассмотреть возражение, указанное в п. 5.3.3 Политики, в течение 30 (тридцати) дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
5.4. Право на обжалование действий или бездействия Оператора
5.4.1. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований № 152-ФЗ или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в территориальном органе Роскомнадзора или в судебном порядке.
5.4.2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6. Основные участники системы управления процессом обработки персональных данных

6.1. Поскольку у Оператора отсутствуют сотрудники, Оператор является участником системы управления процессом обработки персональных данных самолично.
6.1.1. Оператор, в частности:
  • определяет, рассматривает и утверждает политику Оператора в отношении обработки персональных данных;
  • принимает решения по реализации действий Оператора, связанных с использованием персональных данных, подверженных риску;
  • разрабатывает, организует и контролирует процесс обработки персональных данных (осуществляемый с использованием средств автоматизации или без использования таких средств, в том числе на бумажных носителях) в соответствии с Законодательством о персональных данных, настоящей Политикой, внутренними нормативными документами Оператора;
  • осуществляет управление и постоянное совершенствование процесса обработки персональных данных по единым правилам, стандартизацию и тиражирование процесса;
  • осуществляет анализ, оценку и прогноз рисков, связанных с обработкой персональных данных у Оператора, выработку мер по снижению рисков;
  • осуществляет оценку влияния процессов на права и свободы субъектов персональных данных;
  • осуществляет анализ автоматизированных систем и процессов обработки персональных данных на предмет соответствия установленным обязательным требованиям в области обработки и защиты персональных данных;
  • осуществляет ведение учета процедур и средств обработки персональных данных;
  • осуществляет разработку и организацию применения правовых, организационных и технических мер защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных;
  • осуществляет определение угроз безопасности персональных данных при их обработке;
  • осуществляет организацию и контроль уровня защищенности информационных систем персональных данных;
  • осуществляет оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;
  • разрабатывает внутренние процедуры, направленные на обеспечение безопасности и защиты персональных данных;
  • организует и осуществляет внутренний контроль за соблюдением Законодательства о персональных данных, настоящей Политики, внутренних нормативных документов Оператора, требований к защите персональных данных;
  • организует прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов;
  • осуществляет взаимодействие с органами государственной власти по вопросам защиты персональных данных;
  • осуществляет уведомление надзорного органа в соответствии с применимыми требованиями о фактах утечки персональных данных;
  • организует оповещение субъектов персональных данных о фактах утечки их персональных данных.

7. Организация системы управления процессом обработки персональных данных

7.1. Обработка персональных данных субъекта персональных данных осуществляется с его согласия на обработку персональных данных, а также без такового, если Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является cубъект персональных данных, а также для заключения договора по инициативе cубъекта персональных данных или договора, по которому cубъект персональных данных будет являться выгодоприобретателем или поручителем или в иных случаях, предусмотренных Законодательством о персональных данных.
7.2. Оператор вправе поручить обработку персональных данных другому лицу с согласия cубъекта персональных данных, если иное не предусмотрено федеральным законом. Такая Обработка персональных данных осуществляется только на основании договора, заключенного между Оператором и третьим лицом, в котором должны быть определены:
  • перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных;
  • цели обработки персональных данных;
  • обязанности третьего лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, а также требования к защите обрабатываемых персональных данных.
7.3. Оператор осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.
7.4. Оператор несет ответственность перед cубъектом персональных данных за действия лиц, которым Оператор поручает обработку персональных данных субъекта персональных данных.
7.5. Обработка персональных данных прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного законом, договором, или согласием субъекта персональных данных на обработку его персональных данных. При отзыве субъектом персональных данных согласия на обработку его персональных данных, Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных, если такая обработка предусмотрена договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных, либо если Оператор вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных» или другими федеральными законами.
7.6. Обработка персональных данных осуществляется с соблюдением конфиденциальности, под которой понимается обязанность не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
7.7. Оператор обеспечивает конфиденциальность персональных данных субъекта персональных данных со своей стороны, со стороны своих аффилированных лиц, а также обеспечивает использование персональных данных вышеуказанными лицами исключительно в целях, соответствующих закону, договору или иному соглашению, заключенному с субъектом персональных данных.
7.8. Обеспечение безопасности обрабатываемых персональных данных осуществляется Оператором в рамках единой комплексной системы организационно-технических и правовых мероприятий по защите информации, составляющей коммерческую тайну, с учетом требований Законодательства о персональных данных, принятых в соответствии с ним нормативных правовых актов.

8. Основные обязанности Оператора

8.1. Оператор обязан предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки Оператором его персональных данных, в течение 10 рабочих дней, начиная с даты обращения или получения запроса.
8.2. Оператор обязан предоставить возможность субъекту персональных данных ознакомиться с его персональными данными, находящимися у Оператора, либо дать письменный отказ в предоставлении такой информации в течение 10 рабочих дней, начиная с даты обращения или получения запроса.
8.3. Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные, в случае если предоставление персональных данных является обязательным в соответствии с федеральным законом.
8.4. Оператор обязан предоставить в Роскомнадзор запрошенные сведения в течение 10 рабочих дней, начиная с даты обращения или получения запроса.
8.5. Оператор обязан прекратить обработку персональных данных по требованию субъекта персональных данных в течение 10 рабочих дней, начиная с даты обращения или получения запроса.
8.6. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
8.7. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.8. Оператор обязан предоставить субъекту персональных данных информацию о том, какие данные о нем он будет обрабатывать; в случае, если такие персональные данные получены не от субъекта персональных данных – обеспечить взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА) и информировать Роскомнадзор о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
8.9. Оператор обязан уведомить Роскомнадзор в течение 24 часов о факте неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов персональных данных (инцидент), а также о предполагаемых причинах и вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий инцидента.
8.10. Оператор обязан уведомить Роскомнадзор в течение 72 часов о результатах внутреннего расследования по поводу инцидента и сообщать о лицах, действия которых стали причиной утечки персональных данных.
8.11. Оператор обязан соблюдать требования к оператору, установленные ФЗ «О персональных данных».

9. Меры по обеспечению безопасности персональных данных при их обработке

9.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
9.2. Обеспечение безопасности персональных данных достигается, в частности:
9.2.1. определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
9.2.2. применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
9.2.3. применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
9.2.4. применением для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
9.2.5. оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
9.2.6. учетом машинных носителей персональных данных;
9.2.7. обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
9.2.8. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
9.2.9 установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9.2.10. контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

10. Заключительные положения

10.1. Оператор несет гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки персональных данных физических лиц, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Российской Федерации.
10.2. Оператор предоставляет неограниченный доступ к Политике по запросу субъекта персональных данных, по запросу Роскомнадзора и его территориальных подразделений, а также иным образом обеспечивает общедоступность указанного документа.



ПРИЛОЖЕНИЕ 1. Список терминов и определений

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Административно-хозяйственная деятельность – внутренние процессы Оператора, направленные на текущее обеспечение деятельности Оператора товарно-материальными ценностями, на организацию документооборота (ведение архива, библиотек, баз данных), на организацию рабочего процесса и иное.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Доступ к персональным данным - возможность получить сведения об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к субъекту персональных данных, а также на ознакомление с такими персональными данными.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Клиент - термин, используемый при совместном упоминании корпоративного клиента и розничного клиента.
Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Оператор – Индивидуальный предприниматель Соболева Виктория Викторовна, осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, и действия, совершаемые с персональными данными.
Корпоративный клиент - юридическое лицо, индивидуальный предприниматель, а также физическое лицо, заключившее или намеревающееся заключить с Оператором договор на оказание услуг, куплю-продажу.
Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам.
Обработка персональных данных - любое действие (операция) Компании или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (Предоставление, доступ), Обезличивание, Блокирование, удаление и уничтожение персональных данных. В рамках Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» установлены следующие определения:
• Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Представитель Корпоративного клиента – физическое лицо, персональные данные которого переданы Компании и входящее в органы управления корпоративного клиента, являющееся владельцем/учредителем/акционером/участником Корпоративного клиента, действующее от имени корпоративного клиента на основании доверенности/указанное в карточке с образцами подписей и оттиска печати корпоративного клиента.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Розничный клиент - физическое лицо, которое заключило с Оператором договор на оказание услуг/покупку товара/выполнение работ, в том числе путем присоединения к условиям публичного договора, и персональные данные которого переданы Оператору.
Субъект персональных данных - физическое лицо, которое прямо или косвенно определено с помощью персональных данных.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

ПРИЛОЖЕНИЕ 2. Перечень ссылочных документов

  1. Конституция Российской Федерации. (принята всенародным голосованием 12.12.1993 с изменениями, одобренными в ходе общероссийского голосования 01.07.2020)
  2. Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера (ETS N 108, заключена в г. Страсбурге 28.01.1981).
  3. Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ с учетом изменений и дополнений.
  4. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» с учетом изменений и дополнений.
  5. Регламент № 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных)» (принят в г. Брюсселе 27.04.2016).
  6. Постановлением Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  7. Постановлением Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  8. Постановлением Правительства Российской Федерации от 29.06.2021 №1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных» (вместе с «Положением о федеральном государственном контроле (надзоре) за обработкой персональных данных»);
  9. Приказом Роскомнадзора от 30.05.2017 №94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения» (Методические рекомендации по уведомлению РКН);
  10. Приказом Роскомнадзора от 24.02.2021 №18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения» (далее – Приказ РКН №18);
  11. Приказом Роскомнадзора от 21.06.2021 №106 «Об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, в том числе порядка взаимодействия субъекта персональных данных с оператором» (далее – Приказ РКН №106);
  12. Приказом Роскомнадзора от 28.10.2022 №179 «Об утверждении Требований к подтверждению уничтожения персональных данных» (далее – Приказ РКН №179).
  13. Иные нормативные источники