Политика обработки персональных данных

1. Общие положения

1.1. Настоящая Политика индивидуального предпринимателя Некипеловой Екатерины Сергеевны в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных).
1.2. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных Политика публикуется в свободном доступе в сети Интернет на сайте Оператора.
1.3. Основные понятия, используемые в Политике:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор персональных данных (оператор) - индивидуальный предприниматель Некипелова Екатерина Сергеевна, расположенный по адресу: 197110, г. Санкт-Петербург, ул. Спортивная д, 2, строение 1, квартира 147;
сайт оператора – сайт в сети Интернет, расположенный по адресу artme.today;
пользователь сайта – субъект персональных данных, предоставляющий оператору посредством совершения ряда действий технического характера в соответствующей части графического пользовательского интерфейса сайта свои персональные данные;
обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.4. Основные права и обязанности оператора.
1.4.1. Оператор имеет право:
1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
2) поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;
3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
1.4.2. Оператор обязан:
1) организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
2) отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
3) сообщать в Роскомнадзор по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса.
1.5. Основные права субъекта персональных данных. Субъект персональных данных имеет право:
1) получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных;
2) требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
3) обжаловать в Роскомнадзор или в судебном порядке неправомерные действия или бездействие оператора при обработке его персональных данных.
1.6. Контроль за исполнением требований Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у оператора.
1.7. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

2. Цели сбора персональных данных

2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.3. Обработка оператором персональных данных осуществляется в следующих целях:
· предоставление пользователям сайта возможности использовать его функционал, в частности, зарегистрироваться на нем, использовать личный кабинет, выбирать онлайн-курсы из каталога, оставлять заявки на обучение, оплачивать услуги оператора;
· заключение и исполнение договоров с пользователями сайта оператора;
· информирование пользователей сайта о деятельности оператора, оказываемых им услугах, выполняемых им работах и реализуемых им товаров.

3. Правовые основания обработки персональных данных

3.1. Правовыми основаниями обработки персональных данных являются:
· осуществление и выполнение возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
· согласие субъектов персональных данных на обработку их персональных данных;
· заключение и исполнение договоров с пользователями сайта оператора.

4. Объем и категории обрабатываемых персональных данных,

категории субъектов персональных данных

4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 2 Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Оператор может обрабатывать нижеуказанные персональные данные следующих категорий субъектов персональных данных:
· пользователи сайта: обработке подлежат персональные данные, которые были предоставлены пользователем при регистрации и использовании сайта оператора (в частности, ФИО, логин, дата рождения, пол, фото (аватар), электронный адрес, номер телефона, страна и город пребывания, информация о профилях в социальных сетях и мессенджерах, информация, предоставляемая пользователем при заполнении полей на сайте оператора или в процессе взаимодействия с оператором, а также данные, которые автоматически передаются оператору в процессе использования сайта оператора с помощью установленного на устройстве пользователя программного обеспечения или в процессе обмена с оператором электронными сообщениями, включая IP-адрес, идентификатор пользовательского устройства, информация из cookie, информация о браузере Клиента (или иной программе, с помощью которой осуществляется доступ к сайту оператора), время доступа, адрес запрашиваемой страницы);
· лица, заключающие или заключившие с оператором гражданско-правовой договор: обработке подлежат персональные данные, перечисленные в абзаце 2 настоящего пункта, а также информация о прохождении пользователем онлайн-курсов оператора, результатах обучения и иная информация, предоставленная пользователем оператору в процессе заключения или исполнения соответствующего договора.
4.3. Оператором не осуществляется обработка биометрических персональных данных, а также специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Оператором не осуществляется трансграничная передача персональных данных.

5. Порядок и условия обработки персональных данных

5.1. Обработка персональных данных осуществляется оператором в соответствии с требованиями законодательства Российской Федерации.
5.2. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
5.3. К обработке персональных данных допускаются работники оператора, в должностные обязанности которых входит обработка персональных данных.
5.4. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5.5. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.6. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
· определяет угрозы безопасности персональных данных при их обработке;
· принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
· назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах оператора;
· создает необходимые условия для работы с персональными данными;
· организует учет документов, содержащих персональные данные;
· организует работу с информационными системами, в которых обрабатываются персональные данные;
· хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним.
5.7. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
5.8. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

6. Актуализация, исправление, удаление и уничтожение

персональных данных, ответы на запросы субъектов

на доступ к персональным данным

6.1. Подтверждение факта обработки персональных данных оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в Законе о персональных данных, предоставляются оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос должен содержать:
· номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
· сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
· подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
6.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
6.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.