1.1. Настоящая Политика обработки персональных данных (далее – «Политика») определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в деятельности Индивидуального предпринимателя Талызина Сергея Александровича (далее – «Исполнитель» или «Оператор»).

1.2. Настоящая Политика составлена в соответствии со статьями 7, 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ-152), статьей 152.2 Гражданского кодекса Российской Федерации, а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных. Она действует в отношении всех персональных данных (далее – Данные), которые Оператор может получить от субъектов персональных данных – Клиентов и Заказчиков Услуг Исполнителя, а также Пользователей Сайта.

1.3. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями ФЗ-152.

1.4. Оператор - Индивидуальный предприниматель Талызин Сергей Александрович (ИНН 771205248142, ОГРНИП 321774600629801) находится по адресу: 109125 г. Москва, ул. Окская, дом 1, корп.1, кв.153.

1.5. Настоящая Политика и изменения к ней утверждаются Оператором. Оператор обязан обеспечить свое ознакомление с данной Политикой и изменениями к ней. Настоящая Политика является обязательной для исполнения Оператором при обработке персональных данных.

1.6. Исполнитель с целью обеспечения неограниченного доступа к настоящему документу, определяющему политику Оператора в отношении обработки персональных данных и в сфере реализуемых мер по защите персональных данных, размещает текст настоящей Политики на своем официальном сайте https://fasciopraktika.com/ (далее – «Сайт»).

1.7. Сайт может содержать гиперссылки на другие веб-сайты, предоставленные третьими лицами. Оператор не контролирует и не несет ответственности за сайты третьих лиц, на которые пользователь может перейти по ссылкам, доступным на Сайте. После того как пользователь покинул Сайт, Оператор не несет ответственности за защиту и конфиденциальность любой информации, которую предоставляет пользователь как субъект персональных данных и персональной информации. Субъект персональных данных должен проявлять осторожность и знакомиться с соответствующей политикой конфиденциальности веб-сайта, который он посещает.

1.8. Оператор оставляет за собой право вносить необходимые изменения в Политику при изменении действующего законодательства РФ и условий своей деятельности.

2.1. В настоящей Политике используются следующие основные понятия:

Персональные данные (Данные) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Такой информацией, в частности, являются фамилия, имя, отчество, дата рождения, адрес, контактные данные, сведения из документа, удостоверяющего личность, и иные сведения, необходимые для заключения и исполнения договоров.

Конфиденциальная персональная информация – информация, которая может обрабатываться при посещении Сайта, автоматически передаваемая сервисам Сайта в процессе их использования с помощью установленного на устройстве субъекта персональных данных программного обеспечения с использованием файлов cookie (метрических программ).

Оператор – Индивидуальный предприниматель Талызин Сергей Александрович, самостоятельно организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Общедоступные персональные данные – персональные данные, размещённые субъектом персональных данных в общедоступных источниках персональных данных (в том числе справочниках, адресных книгах), доступ к которым предоставлен неограниченному кругу лиц, либо персональные данные, размещённые в общедоступных источниках персональных данных на основании письменного согласия субъекта персональных данных.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Специальные категории персональных данных – сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Оператор не осуществляет обработку специальных категорий персональных данных, за исключением случаев, прямо предусмотренных законодательством РФ и не связанных с получением услуг Исполнителя.

2.2. Обработка персональных данных в деятельности Оператора выполняется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов персональных данных.

2.3. Обработка персональных данных без использования средств автоматизации может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.

2.4. Категории субъектов персональных данных, которые обрабатываются Оператором:

Клиенты Услуг – физические лица (Клиенты, Заказчики), заключающие или намеревающиеся заключить гражданско-правовой договор с Оператором об оказании физкультурно-оздоровительных и/или информационно-консультационных и образовательных услуг по Авторской методике фасциопрактики.

Пользователи Сайта – физические лица, посещающие Сайт Оператора в информационно-телекоммуникационной сети «Интернет» с целью получения информации, оформления заявки или иного взаимодействия с Сайтом.

3.1. Персональные данные Клиентов Услуг (указанных в п. 2.4.1 настоящей Политики) обрабатываются в целях:

• Подготовки, заключения и исполнения обязательств в рамках договоров об оказании физкультурно-оздоровительных и/или информационно-консультационных и образовательных услуг по Авторской методике фасциопрактики.
• Обеспечения предоставления заявленных Услуг, включая проведение индивидуальных сессий и обучающих курсов.
• Предоставления консультационной, организационной, технической и клиентской поддержки.
• Учета и контроля качества оказанных услуг, выдачи сертификатов.
• Продвижения услуг Оператора на рынке (в том числе путем публикации отзывов, фото- и видеоизображений) – ТОЛЬКО при наличии отдельного письменного согласия субъекта персональных данных, в соответствии с п. 3.1.3 настоящей Политики.

3.1.1. Перечень Данных Клиентов Услуг, обрабатываемых Оператором в указанных целях:

• Фамилия, имя, отчество (при наличии).
• Дата и место рождения.
• Вид, серия, номер документа, удостоверяющего личность (например, паспорта РФ), наименование органа, код подразделения, выдавшего его, дата выдачи.
• Адрес места жительства (регистрации).
• Номер телефона, адрес электронной почты.
• Иные сведения, которые субъект персональных данных пожелал сообщить о себе для целей исполнения договора и которые отвечают целям обработки персональных данных, указанным в п. 3.1. настоящей Политики (например, уровень подготовки для выбора ступени курса).

3.1.2. Документами Оператора, которые содержат персональные данные Клиентов Услуг, являются:

• Гражданско-правовые договоры об оказании услуг (включая Публичную оферту и индивидуальные договоры на оказание услуг).
• Копии паспорта или иного документа, удостоверяющего личность (в случае, если предоставление требуется для заключения договора).
• Журналы записи, электронные базы данных клиентов.
• Иные документы, оформляемые в процессе оказания Услуг.

3.1.3. Публикация отзывов, фото- и видеоизображений:

• Для целей, связанных с продвижением услуг Оператора на рынке, включая публикацию отзывов, фото- и видеоизображений Клиентов/Заказчиков (например, «ДО/ПОСЛЕ», видео-отзывы, фото- и видеосъемка с Курсов), такая обработка осуществляется ТОЛЬКО на основании отдельного письменного согласия субъекта персональных данных. Условия и объем такой публикации определяются в соответствующем согласии, например, в «Согласии на использование изображения «ДО/ПОСЛЕ» или «Согласии на использование видео-отзыва», «Согласии на фото- и видеосъемку», упоминаемых в Публичной оферте.

3.2. Конфиденциальная персональная информация Пользователей Сайта (указанных в п. 2.4.2 настоящей Политики) обрабатывается в целях:

• Сбора статистической информации о действиях и функциях, которые больше всего интересуют пользователей Сайта, с целью обеспечения лучшего и более персонализированного опыта, изучения спроса, повышения качества обслуживания, организации доступа к информации о деятельности Оператора, размещаемой на Сайте.
• Обеспечения технической функциональности Сайта.

3.2.1. Перечень Конфиденциальной персональной информации Пользователей, обрабатываемой Оператором в указанных целях:

• Данные, которые автоматически передаются сервисам Сайта в процессе их использования с помощью установленного на устройстве пользователя программного обеспечения (IP-адрес, данные файлов cookie, параметры и настройки интернет-браузеров, файлы журналов, технические характеристики оборудования и программного обеспечения, используемых пользователем, дата и время доступа к сервисам Сайта, адреса запрашиваемых страниц, история заказов, информация о подписках и сообщениях в службу поддержки, иная подобная информация).

3.2.2. Конфиденциальная персональная информация Пользователей содержится в текстовых файлах, которые Сайт сохраняет на компьютере пользователя с помощью браузера (файлы cookie).

4.1. Получение персональных данных:

4.1.1. Получение персональных данных, за исключением общедоступных персональных данных и конфиденциальной персональной информации (cookies), осуществляется Оператором непосредственно у субъектов персональных данных, либо лиц, имеющих надлежащим образом оформленные полномочия представлять интересы субъектов персональных данных при передаче персональных данных Оператору.

4.1.2. Если персональные данные субъекта можно получить только у третьей стороны, то субъект уведомляется об этом заранее и от него должно быть получено письменное согласие. Оператор сообщает субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.

4.1.3. При получении персональных данных Оператор обязан сообщить субъекту персональных данных:

• о целях получения Оператором персональных данных;
• о перечне персональных данных, запрашиваемых Оператором;
• о перечне действий, которые Оператор намерен совершать с персональными данными;
• о сроке, в течение которого действует согласие субъекта персональных данных на обработку персональных данных;
• о порядке отзыва согласия на обработку персональных данных;
• о последствиях отказа субъекта персональных данных предоставить Оператору согласие на получение и обработку персональных данных.

4.1.4. Конфиденциальная персональная информация собирается автоматически с помощью метрических программ (например, Yandex Метрика) в связи с активностью пользователя на Сайте. При посещении Сайта могут фиксироваться входы в аккаунт (если таковой предусмотрен). Использование указанных сервисов необходимо Оператору для оперативного анализа посещений Сайта, внутренней и внешней оценки посещаемости, глубины просмотров, активности пользователей. Данные, полученные от указанных сервисов, используются в обезличенном или агрегированном виде и не хранятся Оператором с целью идентификации конкретного пользователя.

4.2. Особенности обработки специальных категорий персональных данных (данных о здоровье):

4.2.1. Оператор НЕ ОСУЩЕСТВЛЯЕТ получение и обработку специальных категорий персональных данных, касающихся состояния здоровья субъектов персональных данных, равно как и иных специальных категорий персональных данных, определенных ФЗ-152, за исключением случаев, прямо предусмотренных законодательством Российской Федерации и не относящихся к основной деятельности Исполнителя по оказанию физкультурно-оздоровительных и образовательных услуг.

4.2.2. Требование к Клиенту/Заказчику "подтверждать, что ознакомлен и не имеет противопоказаний" к физкультурно-оздоровительным практикам (согласно Публичной оферте и Договорам на оказание услуг) является декларативным заявлением самого Клиента/Заказчика. Оператор полагается на данное заявление для обеспечения безопасности и надлежащего оказания Услуг. Оператор не собирает, не хранит и не обрабатывает конкретные медицинские диагнозы, истории болезней или подробную информацию о состоянии здоровья Клиентов/Заказчиков.

4.2.3. В случае, если субъект персональных данных добровольно предоставляет Оператору информацию, которая может быть отнесена к специальным категориям персональных данных, Оператор предупреждает о нежелательности предоставления таких сведений и не осуществляет их обработку для целей, указанных в настоящей Политике и договорах на оказание услуг, кроме как для фиксации факта наличия или отсутствия противопоказаний (в случае их прямого указания Клиентом/Заказчиком и необходимости отказа в оказании услуг в целях безопасности самого субъекта).

4.3. Общие условия обработки персональных данных:

4.3.1. Обработка персональных данных осуществляется Оператором с соблюдением принципов и правил, предусмотренных ФЗ-152, в следующих случаях:

• С согласия субъекта персональных данных на обработку его персональных данных. Согласие на обработку персональных данных считается полученным Оператором с момента предоставления субъектом персональных данных письменного согласия либо с момента проставления специальной отметки (галочки) в соответствующем поле формы сбора персональных данных, размещенной на Сайте.
• Обработка персональных данных необходима для подготовки, заключения, исполнения гражданско-правового договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
• В случаях, когда обработка персональных данных необходима Оператору для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей.
• Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
• Сбор и обработка конфиденциальной персональной информации с использованием cookie осуществляется с согласия пользователя Сайта, выраженного путем продолжения использования Сайта или соответствующего действия.

4.3.2. Обработке подлежат только те персональные данные, которые отвечают указанным в настоящей Политике целям обработки. Персональные данные не подлежат обработке в случае несоответствия их характера и объема поставленным целям.

4.3.3. Оператор также имеет право попросить субъекта персональных данных предоставить дополнительное согласие в случае необходимости использования персональных данных и персональной информации для целей, не указанных в настоящей Политике (например, для публикации отзыва с фото).

4.4. Письменное согласие субъекта персональных данных на обработку персональных данных должно включать в себя сведения, указанные в статье 9 ФЗ-152.

4.5. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 ФЗ-152.

4.6. Если пользователь не желает, чтобы установленные на Сайте сервисы получали доступ к его конфиденциальной персональной информации, пользователь может по собственному желанию очистить «cookies» (через настройки своего браузера).

5.1. До начала обработки персональных данных Оператор уведомил Роскомнадзор о намерении осуществлять обработку персональных данных (при необходимости).

5.2. Правовым основанием обработки персональных данных являются:

5.2.1. Для обработки персональных данных Клиентов Услуг:

• Гражданско-правовые договоры, заключаемые между Оператором и Клиентом/Заказчиком (включая Публичную оферту и индивидуальные договоры на оказание услуг).
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
• Гражданский кодекс РФ.
• Согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством РФ, но соответствующих полномочиям Оператора).

5.2.2. Для обработки персональных данных Пользователей Сайта:

• Законные интересы Оператора, направленные на техническое обеспечение работы интернет-ресурса (Сайта) и предоставление Пользователю необходимого уровня сервиса.
• Согласие Пользователя на использование файлов cookie, обработки информации с помощью метрических программ.
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

5.3. Обработка персональных данных в деятельности Оператора выполняется следующими способами:

• Неавтоматизированная обработка персональных данных.
• Автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.
• Смешанная обработка персональных данных.

5.4. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных в деятельности Оператора осуществляются посредством:

• Получения оригиналов документов либо их копий.
• Внесения сведений в учетные формы на бумажных и электронных носителях.
• Внесения сведений в регистрационные и иные формы сбора на Сайте.
• Создания документов, содержащих персональные данные, на бумажных и электронных носителях.
• Внесения персональных данных в информационные системы персональных данных.
• Получения информации о персональных данных в телефонном режиме или с помощью электронной почты.
• Метрических программ (для конфиденциальной персональной информации Пользователей Сайта).

5.5. В деятельности Оператора могут использоваться следующие информационные системы:

• Электронная почта Оператора.
• Система поддержки клиентов (CRM).
• Информационный портал (Сайт).
• Метрические программы (например, Yandex Метрика).

5.6. Оператору (а также уполномоченным им лицам, действующим по гражданско-правовому договору) для доступа к соответствующей информационной системе предоставляется уникальный логин и пароль в соответствии с выполняемыми функциями.

5.7. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, достигается путем исключения несанкционированного, в том числе случайного доступа к персональным данным.

5.8. Доступ Оператора (или уполномоченных им лиц) к персональным данным, находящимся в информационных системах персональных данных, предусматривает обязательное прохождение процедуры идентификации и аутентификации.

5.9. Обмен персональными данными при их обработке в информационных системах персональных данных Оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и применения программных и технических средств в соответствии со статьей 19 ФЗ-152.

5.10. В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных Оператора, Оператором или уполномоченным им лицом принимаются меры по установлению причин нарушений и их устранению с момента обнаружения таких нарушений.

6.1. При передаче Оператором персональных данных субъект персональных данных должен дать на это согласие в письменной или электронной форме (с использованием усиленной электронной подписи при необходимости).

6.2. Оператор вправе передать информацию, которая относится к персональным данным Клиента/Заказчика без его согласия, если такие сведения нужно передать по запросу государственных органов, в порядке, установленном законодательством РФ.

6.3. Оператор не вправе предоставлять персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных законодательством РФ (например, для исполнения договора, если третьи лица задействованы в оказании услуг по поручению Оператора).

6.4. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение информации, относящейся к персональным данным субъекта персональных данных, Оператор обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации.

6.5. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения (например, для публикации отзывов с фото/видео), оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

6.6. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на распространение персональных данных.

6.7. В случае если из предоставленного субъектом персональных данных согласия на распространение персональных данных не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются Оператором без права распространения.

6.8. В случае если из предоставленного субъектом персональных данных согласия на передачу персональных данных не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных или не указал категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, Оператор обрабатывает такие персональные данные без возможности передачи (распространения, предоставления, доступа) неограниченному кругу лиц.

6.9. Согласие субъекта персональных данных на распространение персональных данных может быть предоставлено Оператору непосредственно или с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

6.10. В согласии на распространение персональных данных субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ Оператора в установлении субъектом персональных данных запретов и условий не допускается.

6.11. Оператор обязан в срок не позднее трех рабочих дней с момента получения согласия субъекта персональных данных на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных субъекта для распространения.

6.12. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению.

6.13. Действие согласия субъекта персональных данных на распространение персональных данных прекращается с момента поступления Оператору требования, указанного в пункте 6.12 настоящей Политики.

6.14. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений ФЗ-152 или обратиться с таким требованием в суд.

6.15. Оператор или третье лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования или в срок, указанный во вступившем в законную силу решении суда.

6.16. Доступ к персональным данным субъектов персональных данных разрешен только Оператору (или специально уполномоченным им лицам, действующим по гражданско-правовому договору), при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.

7.1. Оператор обеспечивает защиту персональных данных субъектов персональных данных от неправомерного использования или утраты.

7.2. Документы, содержащие данные субъектов персональных данных, хранятся в бумажном виде в папках в специально отведенном месте, обеспечивающем защиту от несанкционированного доступа.

7.3. Персональные данные могут также храниться в электронном виде в локальной компьютерной сети или облачных сервисах (с соблюдением требований по защите). Доступ к электронным базам данных, содержащим персональные данные, обеспечивается системой паролей.

7.4. Копировать и делать выписки из персональных данных разрешается исключительно в служебных целях с письменного разрешения Оператора.

7.5. Обработка персональных данных Оператором прекращается в следующих случаях:

• При выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение трех рабочих дней с даты выявления такого факта.
• При достижении целей их обработки (за некоторыми исключениями).
• По истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с ФЗ-152 их обработка допускается только с согласия.
• При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 ФЗ-152). Срок прекращения обработки - не более 10 рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).

7.6. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.

7.7. Персональные данные на бумажных носителях хранятся в деятельности Оператора в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (например, Перечень типовых управленческих архивных документов, утв. Приказом Росархива от 20.12.2019 № 236).

7.8. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

8.1. Оператор блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.

8.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.

8.3. Персональные данные, полученные в результате обезличивания, могут обрабатываться с использованием и без использования средств автоматизации и не подлежат разглашению.

8.4. Персональные данные, полученные в результате обезличивания, не подлежат предоставлению третьим лицам, осуществляющим обработку персональных данных с использованием дополнительной информации, позволяющей прямо или косвенно определить конкретное физическое лицо.

8.5. При обработке персональных данных, полученных в результате обезличивания, без использования средств автоматизации обеспечивается сохранность содержащих их материальных носителей и порядок доступа в помещения, в которых они хранятся, в целях исключения несанкционированного доступа к обезличенным персональным данным, возможности их несанкционированного уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий.

8.6. При обработке персональных данных, полученных в результате обезличивания, в информационных системах персональных данных обеспечивается соблюдение парольной защиты информационных систем персональных данных, антивирусной политики, правил работы со съемными носителями (в случае их использования), правил резервного копирования, правил доступа в помещения, где расположены элементы информационных систем персональных данных.

8.7. При хранении персональных данных, полученных в результате обезличивания, обеспечивается раздельное хранение персональных данных, полученных в результате обезличивания, и информации о выбранном методе обезличивания персональных данных и параметрах процедуры обезличивания персональных данных.

8.8. Уничтожение персональных данных осуществляет Оператор (или уполномоченное им лицо, действующее по гражданско-правовому договору).

8.9. Оператор (или уполномоченное им лицо) составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.

8.10. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.

8.11. Уничтожение персональных данных подтверждается актом об уничтожении персональных данных и/или выгрузкой из журнала регистрации событий в информационной системе персональных данных в соответствии с Требованиями к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 № 179.

8.12. После составления акта об уничтожении персональных данных и/или выгрузки из журнала регистрации событий в информационной системе персональных данных, Оператор обеспечивает их хранение в течение трех лет с момента уничтожения персональных данных.

9.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных, состоящая из подсистем правовой, организационной и технической защиты.

9.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование систем защиты персональных данных.

9.3. Подсистема организационной защиты включает в себя организацию структуры управления систем защиты персональных данных, разрешительной системы, защиты информации при работе с партнерами и сторонними лицами.

9.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.

9.5. Основными мерами защиты персональных данных, используемыми Оператором, являются:

• Назначение лица, ответственного за организацию обработки персональных данных (коим является сам Оператор), которое осуществляет организацию обработки персональных данных, обучение и инструктаж (при необходимости привлеченных лиц), внутренний контроль за соблюдением требований к защите персональных данных.
• Определение актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных и разработка мер и мероприятий по защите персональных данных.
• Установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных.
• Установление индивидуальных паролей доступа к информационной системе для Оператора и уполномоченных им лиц (при наличии).
• Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
• Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
• Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.
• Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
• Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
• Обучение лиц, непосредственно осуществляющих обработку персональных данных по поручению Оператора (при наличии), положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, ознакомление с документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
• Для обеспечения безопасности программного обеспечения сканирование сервисов и приложений на наличие уязвимостей.
• Шифрование всех данных пользователей при транспортировке с использованием TLS.
• Проведение на ежегодной основе независимого теста Сайта на проникновение (при наличии технической возможности и экономической целесообразности).
• Осуществление внутреннего контроля и аудита.

10.1. Основные права субъекта персональных данных:

10.1.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• 1) подтверждение факта обработки персональных данных оператором;
• 2) правовые основания и цели обработки персональных данных;
• 3) цели и применяемые оператором способы обработки персональных данных;
• 4) наименование и место нахождения оператора, сведения о лицах (за исключением Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
• 5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• 6) сроки обработки персональных данных, в том числе сроки их хранения;
• 7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
• 8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• 9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
• 10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами. Указанные сведения должны быть предоставлены субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. Указанные сведения предоставляются субъекту персональных данных или его представителю уполномоченным лицом Оператора, осуществляющим обработку соответствующих персональных данных, в течение десяти рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней, в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать: номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения) либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.

10.1.2. Субъекты персональных данных вправе требовать от Оператора уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

10.2. Обязанности Оператора:

Оператор обязан:

• 1) при обращении субъекта персональных данных предоставить информацию об обработке персональных данных;
• 2) в случаях, если персональные данные были получены не от субъекта персональных данных, уведомить субъект персональных данных о факте получения персональных данных Оператором;
• 3) при отказе в предоставлении персональных данных разъяснить субъекту персональных данных последствия такого отказа;
• 4) опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику Оператора в отношении обработки персональных данных;
• 5) принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
• 6) давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных;
• 7) отказать субъекту персональных данных в выполнении запроса о предоставлении сведений, указанных в п. 10.1.1. в случае несоответствия запроса условиям, предусмотренным п. 10.1.1. или иным требованиям законодательства. Такой отказ должен быть мотивированным.
• 8) В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в сроки, установленные ч. 3.1 ст. 21 ФЗ-152.

11.1. Срок действия согласия субъекта персональных данных является неограниченным, однако, субъект персональных данных вправе в любой момент отозвать согласие на обработку Оператором персональных данных в случаях, установленных законодательством, путём направления письменного уведомления по адресу местонахождения Оператора или на электронный адрес: talyzin-15352@mail.ru с пометкой «Отзыв согласия на обработку персональных данных».

11.2. Отзыв согласия на обработку персональных данных влечёт за собой прекращение обработки персональных данных Оператором и их уничтожение в срок, не превышающий 10 рабочих дней с момента получения, за исключением случаев, предусмотренных ч. 5.1 ст. 21 ФЗ-152, когда обработка может быть продолжена без согласия субъекта.