УТВЕРЖДАЮ:
Индивидуальный предприниматель
Лукашов Александр Александрович
«02» марта 2023 г.
Политика обработки персональных данных и реализуемых требований к защите персональных данных ИП Лукашова А.А.
1. Общие положения
1.1. Настоящая Политика разработана в соответствии с положениями Конституции РФ, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и иных нормативно-правовых актов, регулирующих вопросы защиты персональных данных.
1.2. Настоящая Политика определяет основные вопросы, связанные с обработкой персональных данных Индивидуального предпринимателя Лукашова Александра Александровича (далее – ИП или Оператор) с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств.
1.3. Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
1.4. Персональные данные являются конфиденциальной, охраняемой информацией и на них распространяются все требования, установленные внутренними документами ИП к защите конфиденциальной информации.
2. Цели и случаи обработки персональных данных
2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.3. Обработка персональных данных осуществляется Оператором в следующих целях:
- подготовки, заключения и исполнения гражданско-правового договора с субъектом персональных данных на оказание услуг в области деятельности агентств недвижимости;
- продвижения товаров, работ, услуг на рынке.
- информирования о предоставляемых Оператором услугах, предоставления доступа к сервисам, информации или материалам, осуществления обратной связи.
2.4. Обработка персональных данных допускается в случаях если:
- обработка персональных данных осуществляется с согласия субъекта персональных данных;
- обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для осуществления прав и законных интересов ИП или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- обработка персональных данных необходима для осуществления научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
- обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законом.
3. Правовые основания обработки персональных данных
3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
- Конституция РФ, Гражданский кодекс РФ, Налоговый кодекс РФ, Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете", Федеральный закон от 08.08.2001 № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей», Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью ИП;
- лист записи о государственной регистрации физического лица в качестве индивидуального предпринимателя;
- договоры, заключаемые между ИП и субъектом персональных данных;
- согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Оператора).
4. Объем и категории обрабатываемых персональных данных, категорий субъектов персональных данных
4.1. ИП обрабатываются следующие категории субъектов персональных данных:
4.1.1. Контрагенты.
4.1.2. Представители контрагентов.
4.1.3. Клиенты.
4.1.4. Законные представители.
4.1.5. Собственники/законные представители собственников объектов недвижимости, выставленных на продажу/аренду.
4.1.6. Выгодоприобретатели по договорам.
4.1.7. Посетители сайта.
4.2. В целях подготовки, заключения и исполнения гражданско-правового договора с субъектом персональных данных на оказание услуг в области деятельности агентств недвижимости ИП обрабатываются следующие категории персональных данных субъектов, указанных в п. 4.1.1-4.1.6 настоящей Политики:
общие персональные данные:
- фамилия, имя, отчество;
- год, месяц, дата рождения;
- место рождения;
- семейное положение;
- социальное положение;
- имущественное положение;
- доходы;
- пол;
- адрес места жительства;
- адрес регистрации;
- номер телефона;
- адрес электронной почты;
- СНИЛС;
- ИНН;
- гражданство;
- данные документа, удостоверяющего личность;
- данные документа, удостоверяющего личность за пределами Российской Федерации;
- данные документа, содержащиеся в свидетельстве о рождении;
- отношение к воинской обязанности, сведения о воинском учете;
- сведения об образовании;
- профессия;
- сведения, собираемые посредством метрических программ;
специальные категории персональных данных:
- сведения о состоянии здоровья;
- национальная принадлежность;
иные персональные данные: данные документа, содержащиеся в свидетельстве о заключении (расторжении) брака; сведения о заключении (расторжении) брака, данные правоустанавливающих документов на объекты недвижимости, данные из Бюро кредитных историй, сведения из документов органов опеки и попечительства; сведения о материнском (семейном) капитале; данные социальных сетей и мессенджеров; сведения ЕГРН, иных документов с целью исполнения договорных обязательств; фото, аудио- и видеозаписи с участием собственников/законных представителей собственников объектов недвижимости, выставленных на продажу (аренду).
4.3. В целях продвижения товаров, работ, услуг на рынке ИП обрабатываются следующие категории персональных данных субъектов, указанных в п. 4.1.1-4.1.5, 4.1.7 настоящей Политики:
общие персональные данные:
- фамилия, имя, отчество;
- семейное положение;
- социальное положение;
- имущественное положение;
- доходы;
- адрес места жительства;
- номер телефона;
- адрес электронной почты;
- гражданство;
- отношение к воинской обязанности, сведения о воинском учете;
- сведения об образовании;
- профессия;
- сведения, собираемые посредством метрических программ;
иные персональные данные: город проживания; данные правоустанавливающих документов на объекты недвижимости, данные из Бюро кредитных историй; данные социальных сетей и мессенджеров; сведения ЕГРН; фото, аудио- и видеозаписи с участием собственников/законных представителей собственников объектов недвижимости, выставленных на продажу (аренду).
4.4. В целях информирования о предоставляемых Оператором услугах, предоставления доступа к сервисам, информации или материалам, осуществления обратной связи ИП обрабатываются следующие категории персональных данных субъектов, указанных в п. 4.1.7 настоящей Политики:
- имя;
- номер телефона;
- сведения, собираемые посредством метрических программ.
5. Порядок и условия обработки персональных данных
5.1. ИП осуществляет обработку персональных данных с использованием средств автоматизации и без использования таких средств (смешанная обработка), включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), распространение, обезличивание, блокирование, удаление, уничтожение персональных данных.
5.2. ИП не осуществляет трансграничную передачу персональных данных.
5.3. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных настоящей Политикой и законодательством Российской Федерации.
5.4. Обработка персональных данных ИП ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
5.6. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
5.7. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.
5.8. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
5.9. Обработка персональных данных ИП прекращается в следующих случаях:
- при выявлении факта неправомерной обработки персональных данных;
- при достижении целей их обработки;
- по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных с учетом условий, предусмотренных ст. 21 Федерального закона;
- при обращении субъекта ПДн к ИП с требованием о прекращении обработки персональных данных, за исключение случаев, предусмотренных ч. 5.1 ст. 21 Федерального закона.
5.10. Сроки хранения персональных данных определяются в соответствии со сроком действия гражданско-правовых отношений между субъектом персональных данных и ИП, сроком исковой давности, сроками хранения документов на бумажных носителях и документов в электронных базах данных, иными требованиями законодательства РФ, а также сроком действия согласия субъекта на обработку его персональных данных.
5.11. ИП обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
6. Меры по обеспечению безопасности персональных данных
6.1. При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.2. Обеспечение безопасности персональных данных достигается, в частности:
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием необходимых мер;
- учетом машинных носителей персональных данных;
- применением прошедшей в установленном порядке процедуры оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационной системы персональных данных.
7. Права субъекта персональных данных
Субъект персональных данных имеет право:
7.1. На получение информации, касающейся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами, в том числе содержащей:
- подтверждение факта обработки персональных данных оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые ИП способы обработки персональных данных;
- наименование и место нахождения ИП, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ИП или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ИП, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 ФЗ «О персональных данных»;
- иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.
7.3. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством РФ.
7.4. Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы.
7.5. На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8. Обязанности ИП
ИП обязуется:
8.1. Осуществлять обработку персональных данных субъекта персональных данных исключительно в целях оказания законных услуг субъекту персональных данных.
8.2. Принимать необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.3. Осуществлять мероприятия по организационной и технической защите персональных данных в соответствии с требованиями законодательства РФ по вопросам обработки персональных данных.
8.4. В целях обеспечения защиты персональных данных проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения безопасности их персональных данных, а также определять актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.
8.5. При выявлении актуальных угроз применять необходимые и достаточные правовые, организационные и технические меры по обеспечению безопасности персональных данных.
8.6. Сообщить в порядке, предусмотренном ст. 14 Федерального закона, субъекту персональных данных информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных в течение десяти рабочих дней с даты получения запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления ИП в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
8.7. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных при его обращении либо при получении запроса субъекта персональных данных обязан дать в письменной форме мотивированный ответ в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных либо с даты получения запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
8.8. Разъяснять субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку, если в соответствии с Федеральным законом предоставление персональных данных и (или) получение Оператором согласия на обработку персональных данных являются обязательными.
8.9. Не получать и не обрабатывать персональные данные субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, биометрические персональные данные, за исключением случаев, предусмотренных законом.
8.10. В порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерном инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
9.1. Действующая редакция Политики хранится на бумажном носителе.
9.2. Электронная версия действующей редакции Политики общедоступна на сайте Оператора в сети Интернет: https://online-kvartira.ru/privacy/
9.3. При внесении изменений в заголовке Политики указывается дата утверждения действующей редакции Политики.
9.4. Политика актуализируется и заново утверждается по мере внесения изменений в нормативные правовые акты в сфере персональных данных или в локальные акты, регламентирующие организацию обработки и обеспечение безопасности персональных данных.
9.5. Контроль исполнения требований настоящей Политики осуществляется ИП самостоятельно.