ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

1. ПЕРЕЧЕНЬ ТЕРМИНОВ И СОКРАЩЕНИЙ

ТЕРМИН	ОПРЕДЕЛЕНИЕ
Оператор	Индивидуальный предприниматель Даникер Яна Сергеевна (ОГРНИП 320784700178421, ИНН 100703881901), осуществляющая обработку персональных данных Пользователей.
Политика	Настоящая Политика обработки персональных данных, размещенная в постоянном доступе по адресу: https://daniker.com/politika-konfidencialnosti
Персональные данные (ПДн)	Любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Сайт	Интернет-сайт, расположенный по адресу https://daniker.com/, содержащий информацию об услугах Оператора, формы обратной связи, контактные данные.
Субъект ПДн / Пользователь	Физическое лицо, которое использует Сайт, заполняет формы на Сайте (в том числе форму заявки), взаимодействует с Оператором через указанные на Сайте каналы связи (электронная почта, мессенджеры, телефон), а также физическое лицо – представитель юридического лица или ИП (клиента, партнера), чьи ПДн обрабатываются Оператором.
Партнер	Физическое лицо, зарегистрированное в качестве индивидуального предпринимателя или плательщика налога на профессиональный доход (самозанятый), привлекаемое Оператором для оказания услуг в рамках проектов Оператора.
ФЗ-152	Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
Автоматизированная обработка ПДн	Обработка ПДн с помощью средств вычислительной техники.
Блокирование ПДн	Временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
Обезличивание ПДн	Действия, в результате которых невозможно определить без использования дополнительной информации принадлежность ПДн конкретному субъекту ПДн.
Обработка ПДн	Любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Предоставление ПДн	Действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
Распространение ПДн	Любые действия, направленные на раскрытие ПДн неопределенному кругу лиц.
Трансграничная передача ПДн	Передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
Cookie	Небольшие текстовые файлы, сохраняемые на устройстве Пользователя при посещении сайтов в сети Интернет. Используются для обеспечения работы сайта, запоминания предпочтений пользователя.
Уничтожение ПДн	Действия, в результате которых ПДн уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания ПДн в информационной системе и (или) уничтожаются материальные носители ПДн.
Яндекс. Метрика	Сервис веб-аналитики, предоставляемый ООО «Яндекс» (ИНН 7736207543, ОГРН 1027700229193), используемый Оператором для сбора обезличенных статистических данных о посещаемости Сайта.
Электронный адрес Оператора	daniker.consult@yandex.ru – адрес для направления запросов, касающихся обработки ПДн, в том числе для отзыва согласий.
IP-адрес	Уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.

2. ОБЩИЕ ПОЛОЖЕНИЯ
   1. Настоящая Политика разработана в соответствии с Конституцией РФ, ФЗ-152 и иными нормативными правовыми актами в области защиты ПДн. Политика применяется к ПДн, полученным как до, так и после ввода ее в действие, если иное не предусмотрено законом.
   2. Действие Политики распространяется на все действия по обработке ПДн, которые Оператор осуществляет в рамках своей предпринимательской деятельности, включая, но не ограничиваясь:

· функционирование Сайта;

· обработку заявок и обращений, поступивших через Сайт (форма заявки), электронную почту, мессенджеры, телефонные звонки;

· заключение, исполнение, изменение и прекращение договоров с клиентами (юридическими лицами, индивидуальными предпринимателями, физическими лицами), а также с партнерами (ИП и самозанятыми);

· ведение бухгалтерского и налогового учета, составление первичных учетных документов;

· взаимодействие с государственными органами в предусмотренных законом случаях;

· сбор статистических данных и анализ поведения пользователей с помощью сервиса Яндекс.Метрика (при наличии отдельного согласия).

2. 3. Использование Сайта, включая его просмотр, заполнение любых форм, означает, что Пользователь ознакомлен с условиями настоящей Политики. Акцептом условий Политики в отношении обработки ПДн на основании согласия является проставление отметки (чекбокса) в соответствующем поле формы сбора ПДн. Если Пользователь не согласен с условиями Политики, он обязан немедленно прекратить использование Сайта.
   4. Оператор не проверяет достоверность ПДн, предоставляемых Пользователем. При этом Оператор исходит из того, что Пользователь предоставляет достоверную и достаточную информацию. Риск предоставления недостоверных сведений несет предоставившее их лицо.
   5. Политика не регулирует обработку ПДн сотрудников Оператора (для этого принят отдельный локально-правовой акт), а также не охватывает отношения, на которые не распространяется действие ФЗ-152 (п. 2 ст. 1 ФЗ-152).
   6. Отношения, связанные с использованием файлов cookie и сервиса Яндекс.Метрика, регулируются отдельной Политикой использования файлов cookie, размещенной по адресу https://daniker.com/politika-ispolzovaniya-cookies. В части сбора обезличенных статистических данных настоящая Политика содержит только общие положения о целях обработки и составе данных.
3. Правовые основания обработки ПДн

Правовыми основаниями обработки ПДн Оператором являются:

3. 1. Заключение, исполнение, изменение и прекращение договора, стороной которого является субъект ПДн (п. 5 ч. 1 ст. 6 ФЗ-152). Применяется для обработки ПДн, необходимых для заключения и исполнения договоров с клиентами и контрагентами.
   2. Согласие субъекта ПДн на обработку его ПДн (п. 1 ч. 1 ст. 6 ФЗ-152). Данное согласие запрашивается для целей, не вытекающих непосредственно из договора, но необходимых для обработки запросов и обращений, поступивших через Сайт (форма заявки, иные каналы связи).
4. Механизмы получения согласия субъекта ПДн

Для сбора согласия Оператор использует следующие механизмы, обеспечивающие явное, информированное и осознанное согласие:

4. 1. Для целей заключения и исполнения договоров (офлайн-режим, по электронной почте, телефону): Согласие на обработку ПДн может быть выражено путем подписания отдельного документа (согласия), включения соответствующего пункта в текст договора либо путем совершения конклюдентных действий – направления реквизитов для оплаты счета, предоставления документов, содержащих ПДн, по запросу Оператора во исполнение договоренностей.
   2. Для целей обработки заявок и обращений через Сайт (форма обратной связи):
      В форме сбора ПДн используется чекбокс, не активированный по умолчанию, сопровождающийся текстом: «Я даю согласие на обработку моих персональных данных в соответствии с Политикой обработки персональных данных» (с активной гиперссылкой на полный текст Политики и отдельную страницу с текстом Согласия на обработку ПДн). Активация кнопки отправки формы технически невозможна без проставления данной отметки.
   3. Для использования аналитических сервисов (Яндекс.Метрика) и файлов cookie, требующих согласия: Согласие запрашивается через специализированный cookie-баннер при первом посещении Сайта в соответствии с Политикой использования файлов cookie. До получения явного согласия соответствующие скрипты и файлы не загружаются и не обрабатываются
   4. Если предоставление ПДн является обязательным в силу закона или необходимо для исполнения договора, Оператор уведомляет об этом Субъекта. При отказе Субъекта предоставить необходимые ПДн Оператор не сможет выполнить обязательства и будет вынужден отказать в заключении договора или оказании услуги.
5. Основные права и обязанности Оператора
   1. Оператор имеет право:

· получать достоверные ПДн;

· обрабатывать ПДн в объеме и для целей, предусмотренных Политикой;

· в случае отзыва согласия продолжать обработку на ином законном основании (например, для исполнения договора или выполнения требований налогового законодательства);

· передавать ПДн для обработки третьим лицам, указанным в разделе «Передача ПДн третьим лицам»;

· самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ-152 и принятыми в соответствии с ним нормативными правовыми актами.

1. 2. Оператор обязан:

· публиковать настоящую Политику на Сайте;

· организовывать обработку ПДн в порядке, установленном действующим законодательством РФ;

· предоставлять Субъекту по его просьбе информацию, касающуюся обработки его ПДн;

· использовать полученную информацию исключительно для заявленных целей;

· отвечать на обращения и запросы Субъектов и их законных представителей в соответствии с требованиями ФЗ-152;

· принимать правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий;

· прекратить обработку и уничтожить ПДн в порядке и случаях, предусмотренных ФЗ-152;

· сообщать в уполномоченный орган по защите прав Субъектов по запросу этого органа необходимую информацию в течение 30 (тридцати) календарных дней с даты получения такого запроса;

своевременно уведомлять Роскомнадзор в случае установления факта неправомерной или случайной передачи ПДн, повлекшей нарушение прав субъектов ПДн: в течение 24 часов – о факте инцидента, предполагаемых причинах, предполагаемом вреде и принятых мерах, в течение 72 часов – о результатах внутреннего расследования и лицах, действия которых стали причиной инцидента;

· исполнять иные обязанности, предусмотренные ФЗ-152.

6. Основные права и обязанности субъектов ПДн
   1. Субъект имеет право:

· на отзыв согласия на обработку ПДн;

· получать информацию, касающуюся обработки его ПДн, за исключением случаев, предусмотренных федеральными законами,  в частности, право знать: подтверждение факта обработки, правовые основания, цели и способы обработки, наименование и место нахождения Оператора, сведения о лицах, имеющих доступ к ПДн, обрабатываемые ПДн и источник их получения, сроки обработки, порядок осуществления прав, информацию о трансграничной передаче (при ее наличии);

· требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

· обжаловать действия Оператора в уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) или в судебном порядке;

· на обжалование решений, принятых на основании исключительно автоматизированной обработки ПДн. Оператор не принимает решений, влекущих юридические последствия для субъекта, на основании исключительно автоматизированной обработки его ПДн. В случае внедрения таких систем в будущем субъект будет уведомлен дополнительно;

· на осуществление иных прав, предусмотренных законодательством РФ.

1. 2. Субъект обязан:

· предоставлять Оператору достоверные данные о себе;

· своевременно сообщать Оператору об уточнении (обновлении, изменении) своих ПДн.

6. 3. Оператор не проверяет достоверность ПДн, предоставляемых Субъектом. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом Субъекте ПДн без согласия последнего, несут ответственность в соответствии с законодательством РФ.
   4. Субъект ПДн вправе направить Оператору запрос, касающийся обработки его ПДн, включая запрос на отзыв согласия, по электронной почте Оператора. Оператор обязан рассмотреть запрос и дать ответ в течение 10 (десяти) рабочих дней. В исключительных случаях срок может быть продлен, но не более чем на 5 (пять) рабочих дней, с уведомлением Субъекта.
   5. Запрос должен содержать: номер основного документа, удостоверяющего личность Субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе; сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором; подпись Субъекта ПДн или его представителя.
7. Принципы обработки ПДн
   1. Обработка осуществляется на законной и справедливой основе.
   2. Обработка ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора.
   3. Обрабатываются только ПДн, которые отвечают целям их обработки (принцип минимизации данных).
   4. Содержание и объем обрабатываемых ПДн соответствуют заявленным целям. Не допускается избыточность.
   5. Обеспечивается точность и актуальность ПДн. Оператор принимает меры по удалению или уточнению неполных или неточных данных.
   6. Хранение ПДн осуществляется в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки, если иной срок не установлен федеральным законом или договором.
   7. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в несовместимых между собой целях.
   8. При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн Субъектов персональных данных с использованием баз данных, находящихся на территории Российской Федерации.
8. ЦЕЛИ ОБРАБОТКИ ПДН

Оператор обрабатывает ПДн Пользователей и иных субъектов строго для заранее определенных и законных целей. Обработка осуществляется только в объеме, необходимом для достижения каждой конкретной цели. Ниже приведено детальное описание всех целей обработки, а сводная таблица с дополнительными параметрами (способы обработки, перечень действий, сроки хранения, порядок уничтожения) содержится в Приложении № 1 к настоящей Политике.

1. 1. Цель 1. Заключение, исполнение, изменение и прекращение договоров с клиентами и контрагентами, а также соблюдение требований налогового и бухгалтерского законодательства Российской Федерации (в том числе исполнение иных обязанностей, возложенных федеральными законами). Данная цель включает:

· подготовку, согласование и подписание договоров, дополнительных соглашений с клиентами;

· подготовку, согласование и подписание договоров, дополнительных соглашений с контрагентами;

· выставление счетов на оплату (офлайн), формирование актов;

· ведение бухгалтерского и налогового учета;

· урегулирование претензий, связанных с исполнением договоров;

· обмен документами;

· хранение документов, содержащих ПДн, в течение установленных законом сроков;

· представление отчетности в государственные органы (ФНС, СФР и др.);

· исполнение иных обязанностей, возложенных на Оператора федеральными законами.

1. 2. Цель 2. Обработка заявок и обращений, поступивших через Сайт и через указанные на Сайте каналы связи (электронная почта, мессенджеры, телефонные звонки). 

· прием и обработку заявок (в том числе на консультацию, расчет стоимости услуг, аудит);

· идентификацию лица, направившего обращение;

· предоставление ответов на вопросы, консультаций по услугам;

· направление коммерческих предложений и информации об услугах (в рамках обработки конкретной заявки, без осуществления массовых рассылок).

8. 3. Цель 3. Анализ поведения пользователей и улучшение работы Сайта с помощью сервиса Яндекс.Метрика. Данная цель включает сбор обезличенных статистических данных о посещаемости, действиях пользователей на Сайте для улучшения его функциональности, юзабилити и контента. Обработка осуществляется исключительно при наличии отдельного согласия Пользователя, предоставляемого через cookie-баннер в соответствии с Политикой использования файлов cookie. Подробный состав собираемых технических данных и порядок управления согласием регулируются указанной Политикой.
9. Состав обрабатываемых ПДн

В зависимости от цели, Оператор может обрабатывать следующие ПДн:

1. 1. Для цели 1 (договоры, партнеры, налоги, исполнение обязанностей по закону):

· фамилия, имя, отчество (при наличии);

· адрес электронной почты;

· номер контактного телефона;

· паспортные данные (серия, номер, кем и когда выдан, адрес регистрации / места жительства);

· ИНН, ОГРН/ОГРНИП (для клиента – юридического лица или ИП, а также для партнера);

· банковские реквизиты (для выставления счетов и оплаты);

1. 2. Для цели 2 (обработка заявок и обращений):

· фамилия, имя, отчество (при указании);

· адрес электронной почты;

· номер контактного телефона;

· текст обращения, комментарии, история переписки;

· данные, передаваемые через мессенджеры – в объеме, указанном Пользователем.

9. 3. Для цели 3 (функционирование Сайта и аналитика): Обработка данных регулируется Политикой использования файлов cookie и осуществляется на основании отдельного согласия. В рамках данной цели могут обрабатываться обезличенные технические данные, перечень которых приведен в указанной Политике.
10. Категории субъектов ПДн

Оператор обрабатывает ПДн следующих категорий субъектов. Для каждой категории определен свой состав данных и цели обработки, что обеспечивает принцип целевого ограничения и минимизации.

10. 1. Клиенты – физические лица, а также представители юридических лиц и индивидуальных предпринимателей, с которыми Оператор заключает договоры в офлайн-режиме.
    2. Пользователи Сайта – физические лица, заполняющие форму заявки на Сайте, направляющие обращения по электронной почте, через мессенджеры или по телефону, а также лица, в отношении которых осуществляется сбор обезличенных статистических данных через сервис Яндекс.Метрика (при наличии отдельного согласия).
    3. Представители контрагентов – физические лица, являющиеся работниками или представителями юридических лиц и ИП (не являющихся клиентами Оператора), с которыми Оператор взаимодействует в процессе хозяйственной деятельности.
11. Срок хранения и обработки ПДн
    1. Обработка ПДн осуществляется в течение сроков, необходимых для достижения целей обработки, если иное не предусмотрено требованиями законодательства Российской Федерации.
    2. Условиями прекращения обработки ПДн могут являться:

· достижение целей обработки ПДн;

· отзыв согласия Субъектом (для обработки, основанной на согласии);

· выявление неправомерной обработки ПДн;

· прекращение деятельности Оператора;

· истечение установленных законодательством сроков хранения документов, содержащих ПДн.

1. 3. Конкретные сроки обработки и хранения ПДн применительно к каждой цели обработки указаны в Приложении № 1 к настоящей Политике. Основные сроки:
      1. ПДн по договорам с клиентами и партнерами (включая данные бухгалтерского и налогового учета) – 5 (пять) лет с момента окончания срока действия договора или последнего взаимодействия (срок исковой давности и требования ст. 23 НК РФ).
      2. ПДн, обработанные на основании согласия для обработки заявок (без заключения договора) – 6 (шесть) месяцев с момента последнего взаимодействия или до отзыва согласия.
      3. Обезличенные данные, собираемые сервисом Яндекс.Метрика, хранятся и обрабатываются ООО «Яндекс» в течение срока, установленного в Политике использования файлов cookie (стандартный срок – 26 месяцев).
   4. По истечении установленных сроков хранения или при наступлении иных условий прекращения обработки Оператор производит уничтожение персональных данных в следующем порядке:

· электронные данные: уничтожаются методами гарантированного стирания (перезапись, низкоуровневое форматирование) с использованием специализированного лицензионного программного обеспечения, исключающего возможность последующего восстановления информации.

· материальные (бумажные) носители: уничтожаются путем механического измельчения (шредирования) до состояния, исключающего прочтение текста. По факту уничтожения составляется акт с указанием состава уничтоженных документов и способа уничтожения.

12. Передача ПДн третьим лицам
    1. Оператор может предоставлять доступ к ПДн третьим лицам, которые осуществляют их обработку по поручению Оператора для достижения целей, указанных в настоящей Политике. При этом с такими лицами заключаются соответствующие соглашения о конфиденциальности и защите ПДн, обязывающие их соблюдать принципы и правила обработки, а также обеспечивать безопасность ПДн в соответствии с законодательством РФ.
    2. Оператор передает ПДн следующим категориям третьих лиц:

· CRM-система AmoCRM (АО «Амоцрм», ОГРН 5157746087681, ИНН 7709477879) – для обработки заявок клиентов, автоматизации и хранения данных (учет клиентов, договоров, взаимодействия). Передаются: ФИО, телефон, e-mail, данные заявок, история переписки, данные договоров. Обработка осуществляется на основании договора поручения. Серверы CRM-системы расположены на территории РФ.

· ООО «Яндекс» (ИНН 7736207543, ОГРН 1027700229193) – для анализа посещаемости Сайта, сбора статистики с использованием сервиса Яндекс.Метрика. Передаются обезличенные технические данные (IP-адрес, cookie-идентификаторы, данные о действиях на Сайте). Обработка осуществляется на основании отдельного согласия Пользователя, получаемого через cookie-баннер.

· государственные органы (ФНС, СФР, суды, правоохранительные органы и др.) – в случаях, предусмотренных законодательством РФ (по запросу суда, налоговой проверке). Передача осуществляется в объеме и порядке, установленном законом, без заключения отдельного договора поручения.

12. 3. Передача данных осуществляется только для целей, указанных в Политике. Оператор не осуществляет трансграничную передачу ПДн (все серверы третьих лиц находятся на территории РФ). В случае изменения локализации кем-либо из обработчиков Оператор незамедлительно примет меры по замене такого сервиса или получению разрешения Роскомнадзора.
    4. Обработка ПДн, полученных через электронную почту, осуществляется с использованием почтовых сервисов, которые являются самостоятельными операторами. Пользователь, инициируя обращение по электронной почте, принимает условия обработки данных соответствующим провайдером услуг.
13. ИСПОЛЬЗОВАНИЕ СЕРВИСА ЯНДЕКС.КАРТЫ 
    1. Для визуального отображения местоположения гостиницы Оператор использует картографический сервис Яндекс.Карты.
    2. При посещении главной страницы с картой браузер Пользователя автоматически загружает необходимые данные с серверов Яндекса. В рамках этого технического процесса Яндекс может получать следующие данные: IP-адрес, информацию из cookie, данные о браузере и устройстве (User-Agent).
    3. Загрузка карты происходит без предварительного запроса согласия, так как необходима для информирования об адресе (ст. 6 152-ФЗ). Обработка данных (IP-адрес) при этом осуществляется Яндексом как самостоятельным оператором.
    4. Оператор не использует функционал определения точного местоположения (геолокации). Карта отображается исключительно для удобства Пользователя и показывает только расположение объекта Оператора.
    5. Обработка ПДн Яндексом регулируется его собственной Политикой конфиденциальности, которую можно найти по ссылке https://yandex.ru/legal/confidential/.
14. Перечень действий, производимых Оператором с полученными ПДн

Оператор осуществляет полный цикл обработки ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. Указанная обработка проводится с использованием средств автоматизации, а также без использования таких средств (например, при работе с бумажными документами), исключительно в целях, предусмотренных настоящей Политикой.

15. Блокирование, уточнение и уничтожение ПДн при выявлении неточностей или нарушений
    1. Выявление и обращение к Оператору: Субъект ПДн вправе направить запрос на уточнение своих ПДн при обнаружении неточностей на электронный адрес Оператора с пометкой «Актуализация ПДн». В случае выявления неправомерной обработки ПДн, Субъект или уполномоченный орган вправе потребовать прекратить такие действия.
    2. Блокирование ПДн: при поступлении обращения о неправомерности обработки Оператор блокирует спорные ПДн с момента получения обращения на время проверки. При обнаружении неточностей Оператор вправе заблокировать данные до завершения проверки и уточнения.
    3. Уточнение (актуализация) ПДн: Оператор обязан рассмотреть запрос и провести проверку в течение 7 (семи) рабочих дней с момента получения подтверждающих документов. В случае подтверждения неточностей Оператор вносит изменения, после чего блокирование снимается.
    4. Прекращение обработки ПДн:

· по отзыву согласия: обработка прекращается, а ПДн уничтожаются в срок, не превышающий 30 (тридцати) календарных дней, если иное не предусмотрено договором или федеральным законом (например, обязанность хранить бухгалтерские документы 5 лет).

· при выявлении незаконной обработки: Оператор незамедлительно прекращает незаконную обработку. Уничтожение незаконно обрабатываемых ПДн осуществляется в срок, не превышающий 10 (десяти) рабочих дней.

15. 5. Уничтожение ПДн по истечении срока хранения: документы с истекшим сроком хранения уничтожаются по решению Оператора. Составляется акт уничтожения. Уничтожение электронных данных производится методами, исключающими восстановление. Если уничтожение невозможно, данные блокируются на 6 месяцев.
16. Специальные процедуры отзыва согласий
    1. Отзыв согласия на обработку ПДн (общее): Субъект направляет запрос на электронный адрес Оператора с пометкой «Отзыв согласия на обработку ПДн». Обработка, основанная на согласии, прекращается в течение 30 календарных дней. Данные уничтожаются, если отсутствуют иные правовые основания для хранения (например, договорные отношения или требования налогового законодательства).
    2. Отзыв согласия на использование сервиса Яндекс.Метрика и обработку файлов cookie: Осуществляется в порядке, предусмотренном Политикой использования файлов cookie (через виджет управления cookie в футере Сайта или путем направления запроса Оператору).
17. Меры по обеспечению безопасности ПДн
    1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий, в соответствии со статьями 18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 01.11.2012 № 1119 (4-й уровень защищенности), Приказом ФСТЭК России № 21 и иными нормативными правовыми актами.
    2. Правовые и организационные меры:
       1. Разработана и действует настоящая Политика обработки персональных данных, а также иные локальные акты по вопросам обработки и защиты ПДн (при необходимости). Лица, непосредственно осуществляющие обработку ПДн, знакомятся с ними под подпись. 
       2. Назначено лицо, ответственное за организацию обработки ПДн.
       3. Работники, непосредственно осуществляющие обработку ПДн, ознакомлены с положениями законодательства о ПДн и локальными актами.
       4. Ограничен состав лиц, имеющих доступ к ПДн, и разграничение их прав доступа.
       5. Проводится оценка вреда, который может быть причинен субъектам ПДн в случае нарушения ФЗ-152, и принимаются адекватные меры для недопущения такого вреда.
       6. Определены угрозы безопасности ПДн при их обработке в информационных системах персональных данных (ИСПДн) с учетом актуальных угроз для 4-го уровня защищенности.
       7. Организован учет и хранение материальных носителей ПДн (бумажных и электронных), исключающий их хищение, подмену, несанкционированное копирование и уничтожение.
       8. Обеспечено раздельное хранение ПДн, обрабатываемых в разных целях.
    3. Технические меры:
       1. Используется лицензионное антивирусное программное обеспечение (Kaspersky, Dr.Web или иное) на всех устройствах, используемых для обработки ПДн.
       2. Применяются межсетевые экраны и средства защиты информации (шифрование каналов связи при передаче данных, резервное копирование баз данных).
       3. Обеспечивается восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа.
       4. Используются надежные пароли (не менее 12 символов, включая буквы разного регистра, цифры и спецсимволы) для доступа к информационным системам (CRM, почта, хостинг). Где это технически возможно, применяется двухфакторная аутентификация.
       5. Осуществляется регулярное обновление операционной системы и прикладного программного обеспечения (не реже одного раза в месяц).
       6. Обеспечена физическая сохранность носителей информации: бумажные документы с ПДн хранятся в запираемом металлическом шкафу (сейфе) в помещении, доступ в которое имеет только Оператор. Доступ в помещение посторонних лиц исключен.
       7. На устройствах, используемых для обработки ПДн, включена автоматическая блокировка сеанса при бездействии более 5 минут.
       8. Ведется журнал учета машинных носителей ПДн (внешних дисков, флеш-накопителей) с отметкой о их выдаче и возврате.
       9. Осуществляется регистрация и учет всех действий, совершаемых с ПДн в информационных системах (логирование доступа, даты и времени операций).
    4. Меры при обработке ПДн без использования средств автоматизации (на бумажных носителях):
       1. ПДн на бумажных носителях хранятся в запираемых металлических шкафах (сейфах), исключающих доступ посторонних лиц.
       2. Передача бумажных носителей с ПДн третьим лицам осуществляется только при наличии соответствующего правового основания и с обязательным составлением акта приема-передачи.
       3. Уничтожение бумажных носителей производится с помощью шредера с составлением акта об уничтожении.
    5. Оператор проводит регулярную оценку эффективности принимаемых мер по обеспечению безопасности ПДн (не реже одного раза в год), а также при изменении модели угроз или после инцидентов.
18. Сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите ПДн, установленными Правительством РФ
    1. В соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», для информационной системы персональных данных Оператора установлен 4-й уровень защищенности, поскольку:

· обрабатываются «иные» категории персональных данных (не специальные и не биометрические);

· количество субъектов персональных данных, чьи данные обрабатываются в информационной системе, составляет менее 100 000;

· актуальные угрозы относятся к 3-му типу (угрозы, связанные с действиями нарушителя без наличия недекларированных возможностей в системном и прикладном ПО).

1. 2. Для обеспечения 4-го уровня защищенности ПДн Оператором реализованы следующие меры:
      1. Назначено лицо, ответственное за обеспечение безопасности. Указанное лицо проинформировано об особенностях и правилах обработки ПДн, локальными актами установлены места хранения ПДн и перечень лиц, осуществляющих обработку ПДн.
      2. Определены и применяются меры по обеспечению сохранности машинных носителей ПДн (учет, хранение в сейфе, контроль доступа).
      3. Реализован доступ к данным только для уполномоченных лиц. Доступ третьих лиц к ПДн в информационной системе невозможен без заключения договора поручения.
      4. Осуществляется контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
      5. Проводится оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода ИСПДн в эксплуатацию и при изменении условий обработки.
   3. В соответствии с Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», при обработке ПДн без использования средств автоматизации (на бумажных носителях) Оператором:

· определены места хранения материальных носителей ПДн (запираемый металлический шкаф/сейф по адресу регистрации Оператора);

· определен перечень лиц, осуществляющих такую обработку;

· обеспечены условия хранения, исключающие несанкционированный доступ (запираемые помещения, контроль ключей).

18. 4. В случае выявления инцидентов (неправомерной или случайной передачи ПДн, повлекшей нарушение прав субъектов) Оператор обязуется уведомить Роскомнадзор в сроки, установленные ч. 3.1 ст. 21 ФЗ-152 (в течение 24 часов – о факте инцидента, в течение 72 часов – о результатах внутреннего расследования).
19. Трансграничная передача ПДн
    1. Трансграничная передача ПДн Оператором не осуществляется. Все базы данных, содержащие ПДн граждан РФ, находятся на серверах, расположенных на территории Российской Федерации (хостинг-провайдер ООО «БЕГЕТ» и иные используемые сервисы, подтвердившие локализацию данных в РФ).
    2. Передача данных сторонним сервисам, указанным в разделе «Передача ПДн третьим лицам», не является трансграничной передачей в смысле ст. 12 ФЗ-152, так как все указанные лица обеспечивают хранение данных на территории РФ (подтверждено договорами или общедоступными сведениями).
    3. В случае возникновения необходимости трансграничной передачи (например, при смене хостинг-провайдера) Оператор обязуется соблюдать условия, предусмотренные ст. 12 ФЗ-152: убедиться в надлежащей защите прав субъектов ПДн на территории иностранного государства либо получить письменное согласие Субъекта.
20. Ответственность сторон
    1. Оператор несет ответственность за нарушение требований законодательства РФ в области ПДн в соответствии с действующим законодательством (ст. 13.11 КоАП РФ, ст. 24 ФЗ-152).
    2. Оператор не несет ответственность за утрату или разглашение конфиденциальной информации, если данная информация:

· стала публичным достоянием до ее утраты или разглашения;

· была получена от третьей стороны до момента ее получения Оператором;

· была разглашена с согласия Субъекта.

21. Заключительные положения
    1. Субъект может получить любые разъяснения по интересующим вопросам, касающимся обработки его ПДн, обратившись к Оператору по электронному адресу Оператора.
    2. Настоящая Политика является общедоступным документом и подлежит размещению на Сайте по адресу https://daniker.com/politika-konfidencialnosti. Актуальная редакция Политики всегда доступна по этому адресу.
    3. Оператор вправе вносить изменения в настоящую Политику в одностороннем порядке. Все изменения вступают в силу с момента их опубликования на Сайте, если иной срок не указан в новой редакции. Пользователь обязуется самостоятельно следить за актуальной редакцией Политики.
    4. Недействительность одного или нескольких положений настоящей Политики не влечет недействительности остальных положений. В случае признания какого-либо положения недействительным, стороны обязуются руководствоваться нормами законодательства РФ, максимально близко к подразумеваемому сторонами.
    5. Политика действует бессрочно до замены ее новой версией.
22. Реквизиты Оператора

Индивидуальный предприниматель Даникер Яна Сергеевна

ИНН: 100703881901

ОГРНИП: 320784700178421

Телефон: +7 (921) 933-10-78

Электронная почта:  daniker.consult@yandex.ru

Приложение № 1

ПЕРЕЧЕНЬ ЦЕЛЕЙ, СРОКОВ, СПОСОБОВ ОБРАБОТКИ ПДН, КАТЕГОРИЙ СУБЪЕКТОВ И ОБРАБАТЫВАЕМЫХ ПДН

№	Цель обработки ПДн	Правовое основание	Категории субъектов	Перечень ПДн	Способы обработки	Перечень действий с ПДн	Срок обработки и хранения	Порядок уничтожения
1	Заключение, исполнение, изменение и прекращение договоров с клиентами и контрагентами	п. 5, п. 2 ч. 1 ст. 6 ФЗ-152 (договор, закон)	клиенты контрагенты представители контрагентов	ФИО; e-mail; телефон; банковские реквизиты; данные первичных учетных документов ИНН, ОГРН/ОГРНИП должность паспортные данные адрес регистрации/ места жительства	Смешанная	сбор запись систематизация накопление хранение уточнение (обновление, изменение), извлечение использование передача (предоставление, доступ), обезличивание блокирование удаление уничтожение	5 лет с момента окончания договора или последнего взаимодействия (ст. 196 ГК РФ, п. 8 ч. 1 ст. 23 НК РФ)	По истечении срока – шредирование бумажных носителей, гарантированное стирание электронных данных (акт уничтожения)
2	Обработка заявок и обращений, поступивших через Сайт и через указанные на Сайте каналы связи (электронная почта, мессенджеры, телефонные звонки)	Согласие (п. 1 ч. 1 ст. 6 ФЗ-152)	Пользователи Сайта	ФИО e-mail; телефон; текст обращения; история переписки данные, передаваемые через мессенджеры – в объеме, указанном Пользователем	смешанная	сбор запись систематизация накопление хранение уточнение (обновление, изменение), извлечение использование передача (предоставление, доступ), обезличивание блокирование удаление уничтожение	6 месяцев с момента последнего взаимодействия, если не привело к заключению договора; если привело – применяется срок цели № 1	Удаление электронной переписки без возможности восстановления; бумажные носители (при наличии) – шредирование
3	Анализ поведения пользователей и улучшение работы Сайта с помощью сервиса Яндекс.Метрика	Согласие (через cookie-баннер)	Посетители Сайта (при наличии согласия)	Обезличенные технические данные:   IP-адрес, cookie-идентификаторы, данные о посещении (страницы, время, клики), геолокация (страна, город), данные об устройстве и браузере	Автоматизированная	сбор запись систематизация накопление хранение уточнение (обновление, изменение), извлечение использование передача (предоставление, доступ), обезличивание блокирование удаление уничтожение	До отзыва согласия, в ином случае – в течение срока, установленного Политикой использования файлов cookie (стандартно 26 месяцев)	Автоматическое обезличивание или удаление сервисом Яндекс.Метрика по истечении срока хранения